某企业内部CTF - Writeup

1、 签到题目

Xor解密 直接解密即可获得flag

2、 Web1

访问robots.txt提示有.index.php.swp

路径是 http://ctf/uploads/sha1($source)/$filename
因为source默认不存在就是0-1000的随机数，可以直接进行爆破
上传冰蝎马（普通马会被杀），然后直接爆破路径

连接

在根目录获得flag
flag{d8f56695-9577-4e11-aaf2-83d5742af667}

3、 Web2

经典xxe任意文件读取题目

直接构造xxe语句
<?xml version = “1.0”?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM “file:///etc/passwd”>
]>

<?xml version = “1.0”?>
<!DOCTYPE ANY [
<!ENTITY f SYSTEM “file:///flag”>
]>

找了个遍发现找不到flag 无下文。。。

4、 流量分析

流量分析
Wireshark 过滤 http contains login

可以看到盲注流量，然后连续盲注流量时间戳差值为3的最后一个则为正确的值
这样一个个找出来就好
98 97 99 107 100 48 48 114 46 112 104 112 95 97 97 123 77 18742 102 108 97 103 123 97 51 101 98 48 102 102 56
Ascii码转字符得到flag前半部分
flag{a3eb0ff8
然后看backd00r.php 流量
这是一个antsword的流量
Wireshark过滤 http contains back

挨个查看包内容可以发现在列目录、读写文件。

找到这个包 去除前后随机字符串 可以得到一串base64,解码得到base32,然后再解base64得到后半段flag -e467-5036-7c9b-287f6848d5f3}
拼接起来flag为flag{a3eb0ff8-e467-5036-7c9b-287f6848d5f3}

本文始发于微信公众号（Khan安全攻防实验室）：某企业内部CTF - Writeup