Anheng429|再戦のウェブ記事作成と決勝戦の経験

再戦できる環境がないので言葉でしか思い出せません

再戦はweb2 350に譲りました。元々SSRFを撮りたかったのですが試験し、gopher を使用して fastcgi 外部ポートを取得し、コマンドを実行します。

特定の記事

http://zone.wooyun.org/content/1060

http:// Drops.wooyun.org/ web/9845

しかし、Guan Changting が 3 分で質問を解いた後、質問をした人は、基本的には奇妙な解決策があると推測しました。 >

それは実際には単純なファイルプロトコルです file://index.php がフラグ

を取得し、Web 1 300 が最初は非常に長い文字列を登録したことが原因でした。登録を繰り返すと重複エントリ

が管理者のハッシュを取得 admin_7365598732 24461a3ef270c652949f5fc37f37fcb2

復号化後、RGoN7r}G8lnrYBAX6n

を取得します。管理ページにログインします。 、ありますファイルを削除する関数。渡された id パラメータはペイロードの挿入に使用できます

+and(select+1+from(select+count(*),concat((select+table_name+from+information_schema.tables+limit+0,1),floor(rand(0)*2))x+from+information_schema.tables+group+by+x)a)%23

フラグを取得しましたが、それでもファーストブラッドを取得しました。たぶん登録が面倒だからだと思います。

自分が勝ち取った650点＋神の500点と、他校のチームメイトが勝ち取った暗号7問目を頼りに決勝戦に臨みました。

=========================================== == ===============================

彼はたった 3 秒間だけイケメンだったが、残酷に殴られた午後の決勝

Dacun を送り出した後、少し落ち込んでいたのですが、先手を打ったのが捕まりました

最初に Web コードを監査しなかったとき、次の時点で発見しました。少なくとも 3 ポイント

ここでのフィルタリングにはブラックリストが使用され、php5 などのサフィックスをバイパスできます

さらに、フロントのルート注入ポイントがあります-記事終了

ただし、修復時に正規表現/select が使用されます。 *from/i

は s 修飾子がない場合、これを回避できます。 %0a。

outfile に注入すると、常に以前のユーザー データが読み込まれます。私が最初に考えた方法は

ユーザー名を c556706f1e21fe46fca707cb6d1ee621 として登録し、エクスポートします。 🎜 >

wildwolf のウェブシェルを入手しました。しかしその後、メモリーカード挿入時のエラーにより、データがすべて破壊されてしまいました。

その後、union selectを使って前のデータを上書きし、再エクスポートしましたが、200点以上しか取得できませんでした。

この期間中、pwn および Web サービスが中断され、ポイントが大幅に失われます。

最後に、今日帰ってきて、PHP の自動保護スクリプトを書き直しました。今後の攻守のゲームに使用できれば幸いです。