AntCTF X D^3CTF shellgen2 题解

最新推荐文章于 2022-03-08 09:21:48 发布
最新推荐文章于 2022-03-08 09:21:48 发布
阅读量670 收藏 1
点赞数
分类专栏: 安全 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38677814/article/details/115037481
版权

文章目录

1. 前言

本题是一个misc题目,但其中涉及了一些PHP的知识,巧妙的用到了一些算法,笔者将分析本题的设计思想,并给出一个“较”完美的算法。

先来看题目,我们需要给一个php写的webshell,题目会输入一串随机小写字母串,如字符串S:skadkehqasbjkaskad,运行该webshell要输出一模一样的字符串S。

2. 题目描述

题目的waf如下:

def waf(phpshell):
    if not phpshell.startswith(b'<?php'):
        return True
    phpshell = phpshell[6:]
    for c in phpshell:
        if c not in b'0-9$_;+[].=<?>':
            return True
        else:
            print(chr(c), end='')
    return False

简单看下来,我们能用的字符很有限,数字就两个0,9,字母一个都没有,几番搜寻,我们找到了p牛曾经写的一篇文章《一些不包含数字和字母的webshell》,通读下来,收获良多。

回归到题目本身,这题需要有一个比较短的webshell,需要一个优秀的算法来做这件事情。

既然要输出字母,那我们就得构造字母了,p牛的文章里给了如下方法:

php > var_dump([[].[]]);
array(1) {
  [0]=>
  string(10) "ArrayArray"
}
php > var_dump([[].[]][0]);
string(10) "ArrayArray"
php > var_dump([[].[]][0][1]);
string(1) "r"
php > var_dump([[].[]][0][3]);
string(1) "a"

简直nice!

那怎么得到其余字符呢?用递增的办法

php > $test = [[].[]][0][3];
php > echo $test;
a
php > $test++;
php > echo $test;
b
php > $test++;
php > echo $test;
c

递减可不可以呢? 不可以的。

php > $test = 'h';
php > $test--;
php > echo $test;
h
php > $test--;
php > echo $test;
h

如何在限制条件下得到a? 要尽可能的短。

这里就不卖关子了,Array拼接大法。

php > var_dump([[].[].[].[]][0][9+9]);
string(1) "a"

3. 暴力的算法

看完上面这些,写代码就很容易了,给每个字母一个变量名,利用a递增得到b~z,最后拼接输出即可。

target=input()
def gen(ch):
    return (ch - ord('a') + 1) * '_'

payload = "<?php ${}=[[].[].[].[]][0][9+9];".format(gen(ord('a')))

for ch in range(ord('b'), ord('z') + 1):
    payload += "${}=${};".format(gen(ch), gen(ch - 1))
    payload += "${}++;".format(gen(ch))

ans = []
for c in target:
    ans.append("${}".format(gen(ord(c))))
    
payload += "$_={};".format(".".join(ans))
payload += "?><?=$_;"
print(payload)

with open('1.php','w') as f:
    f.write(payload)

4. 优化思想

4.1 节省变量个数

我们有好多字符没用到,我给你一堆aaaaaaaaaa,你还需要拼接其他字符b~z吗?

4.2 Array中剩下的字母r、y怎么用起来
a = "${}=[[].[].[].[]][0][9+9];"

r = "${}=[[].[]][0][0==0];"

y = "${}=[[].[]][0][9];"

利用y直接构造z,理论上会更加方便

4.3 变量名只能一堆下划线吗

显然不是的

$_0
$_09
$_9

这些都是非常简短的变量名,类似三进制

4.4 变量名怎么分配

这个主要体现在最后拼接的时候,aaaaaaaaaz,我们自然希望给a分配$_,而不是$_0

一个简单的思想就是根据频率分配,高频的分配短一些的变量名。考虑到有两个步骤,构造和拼接,因此比较好的办法是将两个步骤统一起来考虑。python可以采用如下写法,非常优雅。

>>> s = "${a};${b};${c}"
>>> s.format(**{'a':'2333','b':'6666','c':'anquanke'})
'$2333;$6666;$anquanke'

5. 编写代码

思想:暴力枚举是否需要加入a、r、y, 频度分析节省payload长度,最后取最小长度

import itertools, string
target = input()
name_list = []
for i in range(4):
    name_list += ["_" + "".join(x) for x in itertools.product(['_', '0', '9'], repeat=i)]

def gen_from_last(ch, last_ch):
    payload = "${%s}=${%s};" % (ch, last_ch)
    payload += ("${%s}++;" % ch )* (ord(ch) - ord(last_ch))
    return payload

def gen_from_construct(ch):
    if ch == 'a':
        return "${%s}=[[].[].[].[]][0][9+9];" % ch
    if ch == 'r':
        return "${%s}=[[].[]][0][0==0];" % ch
    if ch == 'y':
        return "${%s}=[[].[]][0][9];" % ch

def generate_str(need_a, need_r, need_y):
    payload = "<?php "
    we_have = set()
    if need_a: we_have.add('a')
    if need_r: we_have.add('r')
    if need_y: we_have.add('y')
    payload += gen_from_construct('a') if need_a else ""
    payload += gen_from_construct('r') if need_r else ""
    payload += gen_from_construct('y') if need_y else ""
    alpha_order = list(set(target) | we_have)
    alpha_order.sort()

    last_ch = None

    for alpha in alpha_order:
				# 已经构造好了就不用再次构造了
        if alpha in we_have: 
            last_ch = alpha
            continue
        # 上一个字符不存在,意味着无法继续构造
        if last_ch is None:
            return None
        we_have.add(alpha)
        payload += gen_from_last(alpha, last_ch)
        last_ch = alpha
    
    ans = []
    for c in target:
        ans.append("${%s}" % c)
    payload +="?><?={};".format(".".join(ans))

    freq_list = []
    for c in string.ascii_lowercase:
        freq_list.append((c, payload.count("${%s}" % c)))
    freq_list.sort(key=lambda x:x[1], reverse=True)
    
    record = {}
    for idx, pair in enumerate(freq_list):
        record[pair[0]] = name_list[idx]
    return payload.format(**record)
            
MIN = 1 << 233
good_payload = None
for need_a in range(2):
    for need_r in range(2):
        for need_y in range(2):
            payload = generate_str(need_a,need_r,need_y)
            if payload and len(payload) < MIN:
                MIN = len(payload)
                good_payload = payload

print(good_payload)
with open('1.php','w') as f:
    f.write(good_payload)

6. 测试样例

abcdefghijklmnopqrstuvwxyzzyxwvutsrqponmlkjihgfedcbazyxwvutsrqponmlkjihgfedcbazzzzzzzzzzzaaaaaaaaaaaaaaaa
aaaaaaaazzzzzzz
aaaaaabbbbbbbddddddddd
ddddddddaaaaaaaaaccccccccc
zzzzzzzzzzyyyyyzzzzzzzzz
yyyyyyyyyyyyy
rrrrrrr
aaaaayyyyyyyyy
aaaarrrryyyyyyrrrryyyyyy
zzzzzzzzzzyyyyyyy

对拍脚本

#!/bin/bash
while read line
do
    echo -n $line > input
    python3 exp.py < input
    php 1.php > output
    if (diff input output) then
      echo "Accepted"
    else
      echo "Wrong Answer"
      break
    fi
    sleep 0.1;
done

7. 后记

php warning会影响本题的输出,这也是为什么我们最后花许多功夫写成这副样子,起初的几个优化一直过不了。

php > echo _.[];

Warning: Use of undefined constant _ - assumed '_' (this will throw an Error in a future version of PHP) in php shell code on line 1
_Array

本题的最终实现离不开和队友的激烈讨论,是一道非常好的web与算法的结合题。

god_speed丶
关注
专栏目录
Ant x D^3 CTF Official Writeup.pdf
03-22
Ant x D^3 CTF Official Writeup.pdf
2022-03-09
m0_57291352的博客
03-09 392
d3factor (来源:AntCTF & Dˆ3CTF 2022) from Crypto.Util.number import bytes_to_long, getPrime from secret import msg from sympy import nextprime from gmpy2 import invert from hashlib import md5 flag = 'd3ctf{'+md5(msg).hexdigest()+'}' p = getPrime(256) q
AntCTF x D^3CTF MISC部分Writeup
末初的CSDN博客
03-08 1488
文章目录BadW3terWannaWacca BadW3ter 附件是wav,但是文件头有点问题,对比一下正常的wav即可发现前十六个字节被修改了 第一行的内容猜测也是个有用的线索: CUY1nw31lai 修改前十六个进制正常的wav文件头 然后测试几个常见的wav文件隐写:SilentEye、Deepsound等 稍微测试一下发现是DeepSound 输入前面的到线索作为密码。得到flag.png file识别文件发现flag.png是TIFF文件 PS可以选择打开TIFF文件 首先有两
AntCTF 2021 d3dev
yongbaoii的博客
01-26 248
绿 设备叫d3dev 两个id 一个mmio 一个pmio 结构体 看起来像tea #define DELTA 0x9e3779b9 void tea_encrypt(unsigned int* v, unsigned int* key) { unsigned int l = v[0], r = v[1], sum = 0; for (size_t i = 0; i < 32; i++) { //进行32次迭代加密,Tea算法作者的建议迭代次数 l += (((r &l.
php 字母递增,Antctf杂项-无数字字母 GETSHELL多种方式
weixin_26704651的博客
03-12 343
原标题:Antctf杂项-无数字字母 GETSHELL多种方式在前几天刚举办完成的Antctf,团队成员糖醋排骨师傅完成了一道杂项题,这次比赛题目思路很新颖,属实很有意思。下面是misc2-shellgen2,通过提交py脚本去绕过waf从而getflag,这类misc倒是很少见。 三种方法:异或,取反,a自增异或测试两者ASCII码转成二进制,两者进行异或,出字母 这个会输出 o,这就代表了能够...
D^3CTF 2019 Challenges.zip
08-16
D^3CTF 2019 CTF
D3CTF2022-官方WriteUp1
08-03
"D3CTF2022-官方WriteUp1" 本文将对 D3CTF 2022 官方 WriteUp1 进行总结,主要涉及 MySQL UDF 提权、Java 反序列化、MySQLInject、Web 短链技术等多方面的知识点。 1. MySQL UDF 提权 在 MySQL 中,可以使用 User...
CTF真题-Dest0g3CTF2022招新赛
06-01
CTF真题-Dest0g3CTF2022招新赛,来自BUUCTF
21t2-secsoc-x-csesoc-newbie-ctf:2021 T2 SecSoc x CSESoc 合作 CTF
08-04
21T2 SecSoc x CSESoc 新手 CTF 2021 SecSoc x CSESoc Newbie CTF 中挑战的存储库,其中包含大多数挑战的文章和源代码,以便您可以自己运行它。 想要提交您自己的社区文章以应对挑战(即使是已经有文章的人)? ...
D3CTF shellgen2 对无字母数字phpshell的学习
weixin_45805993的博客
03-24 250
原题waf def waf(phpshell): if not phpshell.startswith(b'<?php'): return True phpshell = phpshell[6:] for c in phpshell: if c not in b'0-9$_;+[].=<?>': return True else: print(chr(c), end=''
ant脚本通用模板 ant脚本通用模板
03-22
ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板ant脚本通用模板
2021 AntCTF&D3CTF之jumpjump
qq_43682582的博客
03-08 433
AntCTF&D3CTF之jumpjump前言正题后记 前言 其他的都太难惹。。。 正题 Ida打开,shift+F12查看字符串: 跟进后来到关键函数,F5大法查看伪代码: 通过分析,有两个关键函数,sub_40189D()和sub_40191E(),第一个函数: 继续跟进: for循环里的就是第一轮异或,后面的sub_408A80()函数经过动态调试发现为反调试手段, 只要不进入该函数,直接F9到下一个断点前即可继续运行程序。 第二个函数: 将第一轮异或后的值加4之后与0x33异或,再与
d^3CTF web部分wp
fmyyy1的博客
03-07 1100
d3oj 提示是尝试用oct用户登陆,翻组件版本看到个合适的 https://hackerone.com/reports/869574 编辑文章哪里很明显 POST /article/0/edit HTTP/1.1 Host: xxx User-Agent: xx Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0
2020_WHUCTF_Writeup(部分)
热门推荐
lysecl‘s blog
05-28 4万+
0x1 crypto bvibvi 首先要通过验证问题,对一个等式计算求解,简单的枚举求解即可。 通过验证过后,需要回答一系列问题,是关于B站BV号和AV号的。 题目给出BV号,让我们找出对应的AV号。多组正确后再给AV号,让我们找出BV号。 简单的了解了下Bilibili的av号和bv号知识后,发现 av号对应url格式为 url =‘https://www.bilibili.com/video/av’+aid bv号为 url =‘https://www.bilibili.com/video/’+b
2019 D^3CTF unprintableV详细题解
seaaseesa的博客
11-30 1576
unprintableV 这是2019 d3ctf的一道pwn题,由于当时知识储备不够没做出来,赛后就好好研究,从中学到了新的知识 本题用到的知识有:ROP、stdout指针与stderr指针、栈迁移、格式化字符串漏洞 首先,我们检查一下程序的保护机制 除了canary,其它的保护都开了 然后,我们用IDA分析一下 这个沙箱函数,把execve函数给禁用了,所以,我们不能getsh...
CTF题目记录3(二次编码,反序列化)
kkzzjx
05-15 1850
miniL被虐了QAQ太菜惹555 有精通php反序列化的旁友可以暗搓搓交换下思路 PHP2 (攻防世界) Can you anthenticate to this website? 其他什么都没有 index.phps源码泄露(记在小本本上,Phps是php的源码) 好脑洞 <?php if("admin"===$_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_G
两种CTF中特殊盲注的总结
蚁景网安学院
02-04 954
知识点实操概要MySQL注入中,3种盲注方式:基于布尔的盲注、基于时间的盲注、基于报错的盲注。以此掌握盲注原理!链接指路:https://www.hetianlab.com/expc.do...
D^3CTF babyrop 经验总结
qq_43189757的博客
11-29 620
思路: 调试时发现在栈中有一个libc_start_main的地址 可以根据这个地址算出距one_gadget 的偏移 得到这个偏移后再让libc_start_main这个地址加上这个偏移即可得到one_gaget的地址, 之后再用这个地址覆盖ret即可getshell, 需要注意的是要满足one_gadget的约束条件, 我选则的是偏移为0x4526a 处的one_gadget, 所以需要保...
2019 D^3CTF new_heap详细题解
seaaseesa的博客
11-28 1480
new_heap(高质量题) 这题是2019 d3ctf赛的一题,当时没做出来,后来看了大佬的exp脚本,慢慢研究,终于明白了原理,现在,我们就来详细的解析一下这题 首先,我们还是检查一下程序的保护机制,保护全开 再看一下给我们的libc.so.6的版本,可见是glibc2.29,那么对于堆的管理,就存在tcache机制 程序只有简单的3个功能,没有show,也没有edit,这让我...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值