前言

大部分都是安恒的原题,差两题没做出来,拿了个垫底省一。

由于是赛后写的WP,只有一些比赛时候的截图,所以这篇文章可能有点水,不过毕竟大部分原题,尽量放出有完整wp的地址了。


正文

常规操作

注意到url中有一个参数url,内容为文件名,于是试了一下文件包含来读取flag

Base64解码获得flag


送分的md5

查看源代码发现一段php代码

这里直接用数组绕过即可。


!!!A_A

这题见过无数次了,原题叫奇怪的恐龙特性,代码:

由于PHP会把“+“、“.“等非法的字符转为下划线,所以可以用A.A来绕过第一个限制,听说也可以用url编码绕过。后面两个分别用数组和弱类型绕过即可,随便构造一个A.A[]=sfasf,flag常在源代码里。


简单文件上传

这道题会检测文件头并修改文件后缀,但是只会替换截取到的第一个后缀名,所以就上传一个图马,把后缀改成.php.php,然后上传成功,之后就可以为所欲为了。



新的新闻搜索

没看出来是新的,和之前的新闻搜索一样,抓个包用sqlmap跑就可以了。
sqlmap.py -r post.txt -D news --dump




真的是dedecms


弱口令进后台,然后利用这个漏洞就可以写入一句话
DedeCMS V5.7 SP2后台存在代码

然后find查找flag。

get flag

这题不会做,赛后问了一下,是有弱口令登陆,然后上传一个压缩文件,利用软连接获取flag,具体操作可以看这篇文章。
一个有趣的任意文件读取



不一样的上传系统

还是之前的新瓶装旧酒,apache解析漏洞,安恒一月月赛的题,没截图就不提了,飘零大哥博客里有。


不一般的注入

不懂不会不知道


秘密的系统

这题似乎是原创了?过程比较简单但还是挺有意思的。
首先扫目录,发现robots.txt

访问发现登陆页面

然后查看源代码,发现一段提示

显然是要去github找源代码了(xswl还以为是恶心的代码审计)

就给了一个游客账号,和一小段代码,这段代码显然就是设置登陆的cookie了。先登录游客账号,发现cookie里面果然有一个cib,是一段经过serialize()序列化后的字符串,非字母数字部分都经过了url编码,解码后得到:

a:3:{s:2:"id";i:2;s:4:"name";s:4:"test";s:4:"sign";s:32:"7cbab5cea99169139e7e6d8ff74ebb77";}

根据上面给的代码,后面32位的就是md5后的id拼上用户名,游客账号的id为2,显然admin的id为1。
然后生成1admin的md5

然后按照游客账号的cib构造admin的cib

a:3:{s:2:"id";i:1;s:4:"name";s:5:"admin";s:4:"sign";s:32:"6c5de1b510e8bdd0bc40eff99dcd03f8";}

url编码后加到cookie里,然后刷新页面,发现上传页面可以访问了。

这里也是用到了apache解析漏洞

直接上传后缀为.php.jpg的一句话木马就可以运行。

Last modification:November 6th, 2018 at 09:51 pm
If you think my article is useful to you, please feel free to appreciate