type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
WEEK1
WEB
Level 47 BandBomb
题目给了源码,主要代码如下
其中/rename提供了重命名文件的功能,前端根据res.render(‘mortis’, { files: files });可以看出使用ejs模板进行渲染的,所以想着可以把上传的文件通过目录穿越重命名为../views/mortis.ejs去当作前端的界面去渲染,在上传的文件中需要包含恶意代码
上传文件
image-20250204113309501
进行重命名
image-20250204113325521
再次访问前端
image-20250204113344709
Level 69 MysteryMessageBoard
先进行密码爆破,用户名是shallot ,密码是888888
登录之后得到session
image-20250204134650138
先用session去目录扫描
image-20250204134804878
发现了三个路由
其中flag路由需要admin的session,admin路由是去访问留言板的,留言板存在xss漏洞
所以分以下两步
1、用admin路由访问留言板得到admin的session
2、用得到的session去访问/flag得到flag
xss的payload(中间填写自己服务器的地址)
在服务器上开一个HTTP服务
image-20250204135029218
然后将payload写入留言板
提交之后用访问一下/admin
根据ip和时间找到了外带的admin的session
image-20250204135154250
去用这个session访问/flag
image-20250204135224674
得到了flag
- 作者:qetx
- 链接:http://qetx.top/article/93a0792f-2bc1-435c-86e4-36ea1787c57e
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
