1st 陇剑杯部分WP

jwt

2.1

跟踪 TCP 流可发现 token 为 jwt 认证

2.2

用成功拿到 shell 的 token 去 jwt解码网站可以解出来，10087#admin

2.3

拿到 shell 的 TCP 流中可以看到是 root 权限。

2.4

通过后面的命令可以得到 => 1.c

2.5

通过解码创建的 Makefile 文件即可得到 => looter.so

2.6

通过后面的命令可以得到 => /etc/pam.d/common-auth

1	command=echo%20"auth%20optional%20looter.so">>/etc/pam.d/common-auth

webshell

3.1

可在 login 得到 => Admin123!@#

3.2

在注入 shell 的地方可以看到

但要注意要的是绝对路径，所以要补全 /var/www/html/data/Runtime/Logs/Home/21_08_07.log

3.3

就在 3-2 的流里可以看到 => www-data

3.4

在后面的 33 流里可以看到 => 1.php

3.5

查看 37 http 流并与 39 http 流对比可发现多了一个 frpc.ini 文件，猜测上传的代理工具客户端为 frpc。

3.6 / 3.7

3-6 和 3-7 都可以在上传文件的 38 tcp 流中看到

跑一下就可以看到

日志分析

4.1

直接看哪个是 200 即可 => www.zip

4.2

最下面可以看到

?filename=..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Ftmp%2Fsess_car&content=func%7CN%3Bfiles%7Ca%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A16%3A%22.%2Ffiles%2Ffilename%22%3Bs%3A20%3A%22call_user_func_array%22%3Bs%3A28%3A%22.%2Ffiles%2Fcall_user_func_array%22%3B%7Dpaths%7Ca%3A1%3A%7Bs%3A5%3A%22%2Fflag%22%3Bs%3A13%3A%22SplFileObject%22%3B%7D

转码一下得到 => sess_car

4.3

根据 4-2 的上传内容即可得到 => SplFileObject

?filename=../../../../../../../../../../../../../../../../../tmp/sess_car&content=func|N;files|a:2:{s:8:"filename";s:16:"./files/filename";s:20:"call_user_func_array";s:28:"./files/call_user_func_array";}paths|a:1:{s:5:"/flag";s:13:"SplFileObject";}