极客巅峰第二场writeup

1、 抛转引玉

刚开始这个题目的靶机一直卡。只能先从第二题开始做起。最后才开始做的这个题目 给了提示有源码泄露，扫描了一下有一个www.zip

然后打开一下 ，找到config.php 发现题目的root 密码

剩下的两个考点因为实在进不去靶场就没做,

2、暗度陈仓

首先是获取到上传的点，那么AVWS扫描一下 ,发现一个上传的点

第一个考点提交/u-Are-Admin/ 就OK

第二个考点因为提交系统的hack用户名的全名,而后台直接打开上传的文件提示的是下载,不能getshell

所以首先需要getshell ,继续黑盒测试发现存在任意文件下载

所以读了读后台上传的源码文件upload.php

首先找到了所有上传文件存放的路径

其次对后缀进行了一定的防护

直接phP绕过,上传一个shell上去

http://a9b4647b-33c9-4d48-8d35-16e1314658ef.dgctf.ichunqiu.com/u-Are-Admin/u-upload-file/3.phP

直接菜刀连接

whoami一下直接是system权限

执行一下net users发现hack 全名是Hacked356

然后桌面的admin.txt 内容为：ad16a159581c7085c771f5d2a80af0d1所以第二关就直接搞定了

3.漫天过海

通过扫描发现存在注入,因为题目已经关闭只能说下思路

4.偷梁换柱

手工测试发现后台地址(不敢扫描,害怕扫挂了耽误时间)

发现一个git源码泄露.用gitHack.py读取泄露的源代码

在源码中发现密码

登陆后台发现有一个上传点

黑盒尝试几个上传姿势发现不行于是白盒阅读上传部分的源代码

本来还在测试如何构造命令执行,但是手动测试3.php.png就能getshell

权限还算大满足做题的条件,用菜刀执行命令cat /etc/passwd就能读到ichunqiu用户的全名

然后查看一下tmp下面的东西41c74c52c82f40d1

5.反客为主

访问robots.txt发现/info/目录

打开发现文件包含

然后扫描到了一个phpmyadmin1 账号是root 密码是root

发现常规的写文件是不能getshell,提示安全模式

于是尝试日志文件getshell

但是发现菜刀连接不上 火狐手工提交参数发现还是能用的

执行g=system('net user');发现没有回显,在这纠结了一会打算换思路,执行dir发现还有DVWA1目录

直接调到low等级上传php大马直接

然后尝试上传udf提权 和mof提权 因为尝试起来还要绕过一些东西 即使能提权因为是内网所以还得lcx 然后就直接尝试上传getpass.exe 尝试提取ichunqiu用户的hash

去cmd5破解一下 就做出所有题目来了

CTF部分

签到题

第一部分flag是关注公众号后给了一半,另外给了一个doc文件,改成zip后缀后 解压 然后直接搜索文件夹

拼接后提交就对了

WEB题

开头以为是要测试注入但是发现注入不同,于是想起了phithon师傅的admin%c2绕过大法

参考文章

PWN题

game()函数，buf缓冲区溢出，程序开启NX，用ROP方式，首先利用write函数泄露libc地址，然后计算system函数地址，执行system(/bin/sh)

逆向题

Welcome to my game,please pwn me大致判断sub_4011A0为判断函数找到函数，F5提示：positive sp value has been foundstack pointer发现

RSA