type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
ez_remove
看源代码发现主要是绕过preg_match进行代码执行,这边可以用16进制编码绕过,而且下面有throw new Error(“快来玩快来玩~”);所以要fast destruct,fast destruct主要通过在反序列化最后去掉一个},使它提前触发destruct
payload
这边要注意S的大写
然后用system进行命令执行,发现被搬
image-20231101181954141
后来经过尝试发现貌似只有proc_open没被过滤
用法如下
最后的payload
在公网上监听
image-20231101182636864
反弹成功
接下来读取flag
image-20231101182707716
SYC{2kxBFYwOhKfr3jKi80}
Pupyy_rce
打开环境,发现源码
关键代码
一眼顶真,是无参rce具体参考我的博客无参数命令执行学习
image-20231105112320415
因为是随机返回,所以要多试几次
SYC{1zDgyejyGY3xNMYuAV}
klf_ssti
打开环境查看源码
image-20231105115855402
访问路由/hack
image-20231105115916084
尝试一下get传参klf
image-20231105115944104
根据题目的描述,怀疑存在ssti注入漏洞,但是是盲注,我们先要找到哪里有popen
附盲注的脚本
得到运行结果
image-20231105120117871
经过尝试发现117里有popen,所以构造反弹shell的payload
url加密一下执行上传,同时服务器进行监听
image-20231105120234396
反弹shell之后就是找flag了,这边找得我奔溃了,根本找不到,还好我锲而不舍
image-20231105120650304
SYC{PqCgjFkyhVn6XVdXEU}
you konw flask?
image-20231105151947535
使用robots.txt,发现/3ysd8.html,我们先访问一下
image-20231105152203707
发现session的key
我们去生成一个字典
然后用字典去解session的key,我们先注册一个账户获取key
image-20231105152528856
其中session_key.txt保存密钥,session.txt保存要解密的session
最后得到解密的session和密钥
image-20231105152641587
然后去用flask_session_cookie_manager去加密
其中用户名和session的key换成自己的
image-20231105152804641
拿session去访问
image-20231105153013255
点学员管理
image-20231105153035480
SYC{hIfB1FTMy6A4upFs1B}
famale_imp_l0ve
打开环境
image-20231106185604831
发现只能上传zip文件,而且还不会解压,所以先进行了目录扫描,看看有没有什么其它路由
用dirmap扫描之后发现了一些可疑的路由
image-20231106185733078
访问/index.php/login并查看源代码,发现另一个重要的路由/include.php
image-20231106185838805
访问/include.php路由,得到源码
- 作者:qetx
- 链接:http://qetx.top/article/1c48efbb-87d7-4db6-b720-716ea0271d2e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
