记4月5日360众测考核
群里的老哥们都说是墨者学院的题,而且拿到的key也有mozhe字样,所以想顺利通过可以看看墨者学院的题
一、php弱类型
下载下来一个login.tar文件,解压后是login.php的代码。
CTF中很常见,php弱比较,比如输入一个
s878926199a即可绕过二、数据库漏洞
打开靶机后发现是tcp协议,映射的原端口是873,说明是rsync服务
三、网站后门
题目提示网站被黑了,被黑客上传并篡改了一些文件。
可以下载网站源码,下载下来用D盾扫了一下就找到了后门的位置。
菜刀链接构造方法:
四、Supervisor远程命令执行漏洞(CVE-2017-11610)
EXP
使用方法
出处:
https://blog.51cto.com/eth10/1955450
五、CVE-2018-7600
https://github.com/a2u/CVE-2018-7600
以上是修改后的exp,利用完以后访问hello.txt即可拿到key。
六、数据分析(一)
很简单,但是分值却很高
如果下载下来数据包名为
20.pcapng即可用此方法根据提示说黑客利用一句话木马在数据库中添加了一个身份证号
这里用了一个笨方法,先是搜了一下字符串,得到了一个名为
xiaoma.php的文件
总共
xiaoma.php这个文件也没调用几次,跟踪一下HTTP流得到一些信息
解密后发现执行了数据库操作,然后找了几次找到了添加身份证号的SQL语句
七、数据分析(二)
巨简单。。。如果下载下来数据包名为
21.pcapng即可用此方法题目提示黑客上传了一句话木马,需要找到黑客的IP地址
思路就是过滤一下POST请求,找到upload一类的字眼即可
题目资源已上传百度云:
链接:https://pan.baidu.com/s/1xeTG3gqstznjeU0bXTdS0Q 提取码:sod3
最终以62.8的超低分幸运的通过了考核,不得不感叹自己真是太菜了。
- Author:Linuz
- URL:https://linuz.me/article/360-zhongce
- Copyright:All articles in this blog, except for special statements, adopt BY-NC-SA agreement. Please indicate the source!
Relate Posts
