Rmb122's Notebook

在 AWD 模式下经常碰到不死马, 不干掉的话就会一直被偷 flag, 很难受. 所以研究一下怎么干掉.

本文首发于先知

周末打了两天, 自闭 web 狗就做出来这一题, 另一题不知道调用啥 mbean 能拿 shell. 总之题目质量真的是非常高, 学到了很多.

描述

1
2
3
4
5

Imagick is a awesome library for hackers to break `disable_functions`.
So I installed php-imagick in the server, opened a `backdoor` for you.
Let's try to execute `/readflag` to get the flag.
Open basedir: /var/www/html:/tmp/949c1400c8390865cb5939a106fec0b6
Hint: eval($_POST["backdoor"]);

本文首发于先知

在家里无聊打了 nullcon, 其中有一题用到了 Meet-in-the-middle 这种攻击方式,
在这里分享给大家.

今天突然发现在 http://burp 上信任证书后竟然还提示不安全…
原因是 iOS 更新后又添加一道防护, 得手动在
通用 -> 关于本机 -> 证书信任设置(最底下) 里面打开对 PortSwiggerCA 的信任.

happyPython

随便 fuzz 一下发现 404 页面有模板注入, http://118.25.18.223:3001/asd%7B%7Bconfig%7D%7D.
拿到 'SECRET_KEY': '9RxdzNwq7!nOoK3*', 把 session 里的 user_id 改成 1 就行了.

之前一直就很想了解的技术, 这次同样是在 hgame 上碰到, 刚好从师傅那里学习一下, 更详细的可以去看 wiki.

简单来讲就是通过服务器对 Padding 正确和错误返回的不同状态, 来猜解所谓的中间值, 从而达成解密数据, 伪造数据.

这几天沉迷 hgame, 题目质量还是不错的, 其中有一题用到了 DNS rebind, 这里重新记一下笔记. 因为我估计也没多少人看我博客 233, 就直接写了, 不等比赛结束了.

起因是刚出来那天刚好有个站是 5.0.23 但是分析文章没给完整的截图, 打了码. 干脆自己分析一波写写 poc.

PHP 支持了不少协议, 特别是其中的 php:// 和 phar:// 经常能在意想不到的地方发挥意想不到的作用 233. 之前都是花式百度, 这次系统学习一下. 所有的协议都可以在官网上找到.

这些协议一般配合 file_get_contents, include 使用, 部分情况下受到 php.ini 里面的 allow_url_fopen(默认开启) 和 allow_url_include(默认关闭) 限制. 如果 allow_url_include 开启的话, 是非常危险的, 可能存在远程文件包含.

Misc

0x01 签到

base64 解码一下就行, 不懂的同学可以看一下这个

1
2
3

$ base64 -d                                     
QzFDVEZ7dzNsZWMwbWVfdE9fQzFDVEZ9
C1CTF{w3lec0me_tO_C1CTF}