记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

2019 神盾杯 final Writeup(二)

前言接之前的分析文章,本篇文章将2019 神盾杯线下赛后续两道web题也解析一下。web3预置后门扫描打开源码发现是主流cms typecho,先上工具扫一波:同时注意到版本号:根据github的开源项目回滚到当前版本:并进行diff:用户名RCE容易发现/admin/login.php处,$rememberName被反引号包裹,可以进行RCE。SSRF漏洞/var/Widget/XmlRpc.php:该漏洞应该为typecho对应版本的原生漏洞,可以搜到相关信息:那么关键点就在于过滤时,未把file协议过滤掉:/var/Typecho/Http/Client/Adapter.php:导致我们可以利用其进行SSRF任意
发布时间:2019-07-09 12:25 | 阅读:75318 | 评论:0 | 标签:Web安全 AWD CTF web

网络攻防竞赛的新形式--AWD

2015中国网络安全攻防大赛于5月26日落下帷幕,经全国范围层层选拔并进入决赛共有38支代表队,经五个小时的激烈对抗,一等奖得主为紫禁城战队。另外,在4月29日首都网络安全日的攻防赛中表现不俗的长亭外、PowerTime与ADLab战队均各有斩获。撇开各参赛队伍的表现不谈,安全牛关心的是这种新型的网络安全竞赛形式。与传统主流的网络安全竞赛CTF(夺旗赛)的人机攻防不同,这种攻防是人人攻防,这也是得名AWD(Attack With Defence,攻防兼备)的由来。在AWD的竞赛环境中,每支队伍有一个小型的虚拟网络,在虚拟网络的边界上会放一个虚拟的防火墙,一台防守机、一台Flag机。其中防守机上开有有十几个服务。在攻防对战中,防守的一方要保护自己防守机的上的业务能够正常打开,也就是开设的端口要能够正常访问。攻击时
发布时间:2015-05-27 23:25 | 阅读:468711 | 评论:0 | 标签:动态 AWD CTF 攻防比赛 永信至诚

公告

九层之台,起于垒土;黑客之术,始于阅读

推广

工具

标签云