2021_CSTC_WP

五一假期结束太快了,早上起来想偷懒睡觉被 @LemonPrefect 师傅拖起来做题,中午想睡午觉被 @Guoke 师傅拖起来做题,最后是和师傅们一起 A 了四道 web(guoke 太猛了),晚上出去了最后没来得及做 web5,随便贴贴当时记录的文档吧,好像也没有复现了。

ezweb

简单的绕过,payload:

?foo={"bar1":"2022a","bar2":[[],2,3,4,5],"a2":["nudt"]}&cat[0]=%00cstc2021&cat[1]=1&dog[]=%00

easyweb2

http://49.232.167.183:30013/swagger-resources/configuration/ui

好像是这个地方吧,可以看到所有路由,有个爆破UID的接口。通过爆破UID。得到900多的一个ctf_admin账号以及密码md5解密得到ctfer123!@#

curl -X GET "http://49.232.167.183:30012/login?username=ctf_admin&password=ctfer123!%40%23"

获得 token:9c618e664319512ef7db2d3c0672bee0

然后 ssrf 访问 ftp://localhost/flag.txt 得到flag。

ctfweb3

访问 robots.txt,存在 /PassOn/,源码泄露:

http://49.232.3.115:49400/PassOn/PassOnbackupDirect0ry/info.php

style.css 中发现用户 Ptn4rdn Ptn4rdn@gmail.com

reset 申请改一下密码,login 写🐎,然后访问日志完事。

hackerweb

存在 /login 路由,java 题。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
@Configuration
public class WebMvcConfig implements WebMvcConfigurer {
@Override
public void addInterceptors(InterceptorRegistry registry) {
registry.addInterceptor(handlerInterceptor())
.addPathPatterns("/**");
}

@Bean
public HandlerInterceptor handlerInterceptor() {
return new PermissionInterceptor();
}
}

@Component
public class PermissionInterceptor implements HandlerInterceptor {
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response,
Object handler) throws Exception {
String uri = request.getRequestURI();
uri = uri.replaceAll("//", "/");
System.out.println("RequestURI: " + uri);
if (uri.contains("..") || uri.contains("./")) {
return false;
}
if (uri.startsWith("/login") || uri.startsWith("/index") || uri.startsWith("/image") || uri.startsWith("/css")) {
return true;
}
return false;
}

可以 POST /login/%2e%2e/%61%64%6d%69%6e 绕。

1
Username=admin&Password=admin

发现 domain & secert,这里纠结了很久。

domain 处传 dns 试试,回显 127.0.0.1,同时 dnslog 也有了回显:

总共大概是这四个:

1
ea197db0 bf03c5f3 8841a402 75aaaf2e

secert 处排列组合交一下 flag 就出了。


顺带一提,这里是出题人英语比👴还差,打错单词了(secert -> secret

superadmin

register 处 sql 注入,还没做出来,等一波赛后 wp 吧。