LoRexxar's Blog

pwnhub 改行做前端

题目说实话是完成了一半,后一半是无意中上车的,有一些迷…关于注入部分是后来才发现的。 这里先按照我的思路来吧 self-xss站内有提交bug的地方,地址必须是http://54.222.168.105:8065/开头,也就是说我们必须找到一个self-xss的地方。 无意间发现,如果提交错误,那么错误是通过302跳回?error=xxx来输出到页面内jquery中,然后通过jquery输出到页面的,输出内容大多都经过了转义。 也就是说我们没办法通过闭合语句来执行js。 这里有一个小trick,假设<>没有被过滤,那么可以直接插入一个</script>,那么s...

finecms分析

在过去的一段时间里,我对FineCMS公益版进行了一波比较详尽的审计,我们找到了包括SQL注入、php代码执行、反射性XSS、任意url跳转等前台漏洞,其中部分漏洞危害巨大。 CVE-2017-11581CVE-2017-11582CVE-2017-11583CVE-2017-11584CVE-2017-11585CVE-2017-11586CVE-2017-11629 更新至v5.0.11即可修复大部分漏洞 URL 任意跳转漏洞(CVE-2017-11586)漏洞分析/finecms/dayrui/controllers/Weixin.php 204~219 sync函数123456...

第十届信息安全国赛 Web MISC writeup

周末花了一整天的打国赛技能赛的线上赛,去年比赛没能进入线下,当时就是因为感觉选手之间py太严重,今年没想到又遇到了这样的问题,所幸的是,今年运气比较好,做出来的题目比较多,所以py没有太过影响到我们。 下面就奉上web和misc的writeup,就我个人看的话,题目虽然不够新颖,但质量已经算是中上了,所谓的抄袭不知道是不是我见识短浅,就我个人看来都是比较正常的思路,xss可能抄袭了一个sandbox吧,感觉对题目本身没有太大的影响。 webphp挺有趣的一题,虽然过滤很多,但是php是世界上最好的语言,能做的事情还是有很多 列目录,可以找到flag文件1code=$f=[];$d=ne...

0ctf2017 final

几周前刚刚从0ctf final的现场回来,虽然名词不好,但是收获很多,一直没来得及整理,今天终于整理完了… AVATAR CENTER题目很简单,但是刚上手的时候挺萌比的,一共两个功能。 1、修改时区,登陆注册之后有一个修改时区的功能。(盲测讲道理是没什么卵用的)2、上传头像,这里盲测的结果是没有不会做任何处理,包括文件名和内容,但是头像内容是通过函数返回的,访问getavatar,返回文件内容,没办法找到目录在哪。 研究了一会儿发现这题被秒的差不多了,感觉有忽略的条件,于是扫端口发现2121存在ftp服务,匿名登陆上了服务器,翻了翻拿到了源码。 分析下逻辑主要是这样的。 输入时区必...

RCTF2017 web writeup

膜蓝猫师傅,比赛中的很多题目使用的技巧其实都是常用的技巧,但是却没想到会在不同的情况下产生新的利用,让我有了新的理解。 rcdn12345Are you pro?http://rcdn.2017.teamrois.cnThere is no XSS or SQLi. Just prove you are a pro(e.g owning a pro short domain), you will get flag. 这里是个挺常见的trick,之所以做出来的人,可能是没有想明白题目中的提示。 站内有效的功能不多,可以新建basic的cdn,新建成功之后,会获得一个8位的随机字符串做...

360春秋杯2017 writeup

题目不是太有趣,基本都是从hincon那里扒来的,正好整理完了,就发出来吧 where is my cat没什么好说的,很有ichunqiu风格的一题 进去发现https签发机构不合法,点开发现颁证机关找到一个域名 到这里本以为是抄hitcon的,然后一通操作发现并不是… 然后发现cookie里有个host=0 把host改成那个域名,getflag 写一写 看一看题目是原题抄http://www.2cto.com/article/201510/446796.html 但是因为没有运维,所以服务器日常爆炸 进来发现可以编辑文件,然后找到exec.php 1234567891011121...

bctf2017 web部分wp

周末干了一发bctf,因为周六出去玩了,所以没能看完所有的web题还是挺可惜的,先整理已经做了的2道火日聚聚的web题,后面在整理别的题目。 paint 打开题目是一个画画板,除了基本的画画功能以外,还可以上传图片文件。浅逛一下整个站不难发现有效的目标点只有2个,image.php和upload.php。 首先分析upload.php,可以上传任意文件,但要求上传文件后缀必须为图片,感觉应该是白名单,上传之后文件会改名,最重要的一点,上传图片的目录服务端做了设置,php后缀的文件会直接返回403,这也说明了后面的漏洞类型。 查看右键源码获得提示,flag在flag.php。 然后是i...

pwnhub 之小m的复仇

做题的时候思路差不多是对的,但是没想明白,讲道理是菜了,稍微整理下,这是一个比较特别的利用方式。 纵观整个站,看着很大但是有用的功能并不多,看上去唯一的输入点是注册的第三个参数,但是没意义,会经过实体编码。所以我感觉关键在于怎么找到xss点。 1、首先,classes.php这里有专门的路由,而且这个页面里有个单独存在的css,http://52.80.19.55/classes.php/,这里肯定是故意的。 2、css的引入方式是相对路径,<link rel="stylesheet" type="text/css" href="...

0ctf201 web部分writeup

纪念下偷偷登上萌新榜第一的比赛,也实现了比赛前的愿望,0ctf争取不0分,rsctf争取高名次,:> Temmo’s Tiny Shop题目是个类似于小卖铺的站,最有趣的是刚开始的时候,这题进去是钱很多的,可以随便买,也可以看到hint1OK! Now I will give some hint: you can get flag by use `select flag from b7d8769d64997e392747dbad9cd450c4` 后来突然题目就改了,只有4000块了,买不了hint,很气…(看别人的wp听说admin是弱口令还是什么的,里面一百多万可以随便买…...

NJCTF Web部分writeup

又到了一年一度的比赛季,这次打了打赛宁自己办的NJCTF,这里稍微整理下Web部分的wp,虽然不知道题目是谁出的,但是我觉得大部分题目还是挺蠢的…看的人从中汲取自己想要的知识就好。 WebLogin1login? 没啥好玩的,注册的时候有超长用户名截断 原理就是用户名在check的时候是不同的,但是数据库字段保存是有长度的,所以会发生截断,注册中间为空格的超长用户名就可以截断为admin Get Flag123别BB,来拿FLAGPS:delay 5s 命令执行,没什么好说的。 cat 后用 & ls 列目录下文件flag在../../../9iZM2qTEmq67SOd...

pwnhub_another php web部分

周末不是太有时间,所以就没怎么打pwnhub,后来快结束的时候完成了web部分,这里贴上web部分的wp吧 开始没啥可说的,应该是用来当一些咸鱼的吧,index.php~ 登陆框,验证码很普通的,没啥可说的,试了试没啥可玩的,那就扫目录,找到了.svn 123http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/.svn/400 跑脚本拖源码报错了,搜了搜好像是拖的数据库报错了,所以手动看看,好像是内容被改过了 12345678http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/...

pwnhub 打开电脑

这是个比较特别的题目,开始上来逛了逛发现其实挺迷的… 123456题目介绍http://52.80.1.108:66662017.02.18 20:00:00没有SQL注入,仔细看CSP头。2017.02.18 12:00:00管理员只爱看有意思的东西,谁关心bug啊哈哈哈哈。 看看站内的功能,min.php和max.php可以提交md5,会显示最大或者最小的md5,但是输入的地方存在正则,研究了一下发现不能输入任何符号,也就意味着这里不存在问题。 有个contact和report bug,content提交有趣的md5,但不同的是,没有正则提示,很多都提示提交成功,report bu...

有趣的cdn bypass CSP

最近在逛github的时候看到一个bypass csp的挑战,也是我最近才知道的一个新思路,一般人bypass csp都是通过允许域下的某个漏洞构造文件绕过,但是其实往往没人注意到cdn的问题。 先贴上原文https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it%27s-CSP!%22 这个利用方式其实我在ctf里也遇到过https://blog.0daylabs.com/2016/09/09/bypassing-csp/ 我们写个简单的demo 12345678910111213...

聊聊hctf2016

hctf2016在11月底落幕了,零零散散已经过去了2个月了,时至今日,才算是有空收拾下一下去年的得失… 过年了总想写点儿什么,下面的东西就随便说说,祝大家新年大吉x. 聊点儿有的没得相信很多人都知道当年十一期间闹得沸沸扬扬的L-CTF和XDCTF的事,很多事情的发生让人措手不及,所以西电的大佬们选择了这样的方式来解决问题,而同样的事情其实当时正在发生在杭电HDUISA的身上…但就如当年在知乎上发的一样,为了能让杭电的CTF走的更远,我们选择了今天这条路。 早在16年的5、6月份时候,杭电成立了浙江第二个网络空间安全学院,但没想到的是,在整个信息安全专业被剥离到网安学院的同时,信息安全协...

pwnhub 深入敌后

从第一天晚上开始零零散散到17号晚,差不多做了几十个小时…由于实在没日过windows服务器,整个过程遇到各种没玩过的东西…稍微整理下writeup 为了能让看的人理解,下面的wp我保留了大部分思考过程 getshell123456789101112详情http://54.223.229.139/ 禁止转发入口ip机器的rdp服务端口,禁止修改任何服务器密码,禁止修改删除服务器文件。 禁止对内网进行拓扑发现扫描,必要信息全部可以在服务器中获得。 文明比赛,和谐共处。更新2017.01.15 11:50:00administrator:啊,好烦啊,需要设置那么多密码,偷懒好了,妈蛋,w...