CTF导航 CTF导航

2023年春秋杯网络安全冬季联赛RDG部分Writeup

WriteUp 3个月前 admin
8 0 0

永信至诚春秋GAME于2021年开创了春秋杯赛事宇宙,这个广袤的宇宙就像一片繁星闪烁的星河,吸引了众多新晋战队前来探索。2023年,春秋杯网络安全联赛冬季赛拉开帷幕,本次赛事的题目设计涵盖了多个领域的安全技术,包括常规CTF比赛和RDG比赛。 

2023年春秋杯网络安全冬季联赛RDG部分Writeup

1、档案任意文件上传

代码位置在这里
application/controllers/Patient.php
这里是一个文件上传的功能,漏洞点在于allowed_types=*,未限制文件类型。

 2023年春秋杯网络安全冬季联赛RDG部分Writeup

漏洞修复就是添加文件名过滤规则

$config[allowed_types]=jpg|gif|doc|docx|ppt|pptx|xls|xlsx 

2、头像设置位置有命令注入

System/libraries/Upload.php

 2023年春秋杯网络安全冬季联赛RDG部分Writeup

修复去掉自定义binary :$bin_file = file;

3、邮件功能命令注入漏洞

 2023年春秋杯网络安全冬季联赛RDG部分Writeup

关注公众号获取每日满满干货分享

2023年春秋杯网络安全冬季联赛RDG部分Writeup


原文始发于微信公众号(小话安全):2023年春秋杯网络安全冬季联赛RDG部分Writeup

版权声明:admin 发表于 2024年2月8日 下午8:20。
转载请注明:2023年春秋杯网络安全冬季联赛RDG部分Writeup | CTF导航

相关文章

AntCTF x D³CTF 2023 d3op复盘笔记
admin
315
看雪·众安 2021 KCTF 秋季赛 | 第十一题设计思路及解析
admin
824
西湖论剑线下-WriteUp
admin
985
[原创]Realworld CTF 2023 The_cult_of_8_bit详解
admin
499
Android爬虫比赛 第一关解析
admin
529
D3CTF 2023 Writeup- Polaris战队
admin
524

相关文章

2024FIC第四届全国网络空间取证竞赛线上初赛全解参考wp
0
第十五届蓝桥杯大赛网络安全赛项个人赛Writeup
0
2024 能源网络安全大赛预赛 【金盾检测】
0
官网WP!DASCTF X GFCTF 2024
0
腾讯游戏安全大赛2024决赛题解
0
vctf apples leak libc操作复现(高版本libc overlapping)
0
腾讯游戏安全大赛2024初赛题解
0
基于cpu_entry_area利用的Linux内核权限提升
0
第二届数据安全大赛暨首届“数信杯”东部赛区writeup
0
第二届数据安全大赛暨首届“数信杯”数据安全大赛数据安全积分争夺赛预赛南区- WriteUp By EDISEC
0