四叶草网络安全学院牛年CTF大赛 |
您所在的位置:网站首页 › 2021年ctf比赛 › 四叶草网络安全学院牛年CTF大赛 |
第一届四叶草网络安全学院牛年CTF大赛WRITEUP队伍信息战队名称 战队成员姓名:Firebasky、Y4tacker、lastsward、atao、m1n9yu3 解题情况战队排名答题情况WebWebGET首先传?flag=1,发现似乎是smarty, 测试{$smarty.version}, 成功过滤cat,用tac发现是smarty注入简单了 那就flag={if passthru(“tac fl*”)}{/if} 即可获得flag WEBsite首先打开页面看到接收url参数,是ssrf考点 测试发现是只能http[s]://开头,然后尝试302跳转,自己vps上面开启, 发现居然可以得到 传入参数之后访问,获得flag StAck3d 1nj3c发现过滤太多了,from,or,等等还有长度限制, 之后拼接1;show tables%23得到堆叠注入 传入1;SHOW PROCESSLIST%23显示哪个线程正在运行 得到结果Array ( [0] => 1 ) Array ( [0] => 52 [1] => root [2] => localhost [3] => CTF [4] => Query [5] => 0 [6] => logging slow query [7] => SHOW PROCESSLIST#||flag from Flag ) 突然想到了在oracle 缺省支持 通过 ‘ || ’ 来实现字符串拼接。但在mysql 缺省不支持。需要调整mysql 的sql_mode模式:pipes_as_concat 来实现oracle 的一些功能。 因此得到payloadquery=1;set sql_mode=PIPES_AS_CONCAT;select 1 file manager打开题目Hello,F12后发现隐藏信息有write,dir,unlink,upload用了dir发现sandbox下面有code.html, 之后访问http://739c3f33.yunyansec.com/sandbox/code.html发现代码,再结合开始界面,有个unlink,很容易想到是phar反序列化 构造 1234567891011121314` |
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |