记一次参加CTF比赛翻车记!

 

开始还是挺有信心的,毕竟也是经常打一些CTF锻炼,然而比赛发现大佬们平时不显山不漏水的一比赛全出来了!赛后看了一下各题的writeup发现自己的确技不如人啊!借鉴一个案例拿出来分析一下!

正言:

 

这是入口界面登录+注册,开始注册登录看了一下

 

有了一个简单的提示:你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~

然而成功误导了我,百度了一番找到XDSEC官网,拿XDSEC的队员名称注册了一番,并无卵用!然后爆破目录、并无任何发现。

思路断了!之后才知道是由于Phpstorm IDE 开发过程中会生成一个.idea的缓存目录(里面包含一些敏感文件)输入url/.idea/workspace.xml 成功下载下来

 

发现一个zip压缩包(里面是它的源码无疑)下载后

 

里面只有三个文件注册、登录、用户下面开始我们的代码审计

Register.php

<?php

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

if (strlen($username) > 16 || strlen($username) > 16) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT username FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch() !== false) {

die('username has been registered');

}

$sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

$sth->execute([':username' => $username, ':password' => $password]);

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

$sth->execute([':username' => $username, ':identity' => $matches[1]]);

} else {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

$sth->execute([':username' => $username]);

}

echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

Login.php

<?php

session_start();

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

if (strlen($username) > 32 || strlen($password) > 32) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT password FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch()[0] !== $password) {

die('wrong password');

}

$_SESSION['username'] = $username;

unset($_SESSION['is_logined']);

unset($_SESSION['is_guest']);

#echo $username;

header("Location: member.php");

?>

Member.php

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

</head>

<body background="./images/1.jpg">

<object type="application/x-shockwave-flash" style="outline:none;" data="http://cdn.abowman.com/widgets/hamster/hamster.swf?" width="300" height="225"><param name="movie" value="http://cdn.abowman.com/widgets/hamster/hamster.swf?"></param><param name="AllowScriptAccess" value="always"></param><param name="wmode" value="opaque"></param></object>

<p style="color:orange">你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~</p>

</body>

</html>

直到member.php发现是一个文件读取漏洞,既然是一个文件读取漏洞而前面看.idea缓存里面有config.php 这样也许就可以获取我们所需要的信息,而漏洞形成是需要条件的下面我们来具体分析一下。

如果你能看懂上面的代码那么应该已经发现漏洞地点了。

漏洞触发地点:

member.php 第28行

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

readfile($_GET['file']); 导致文件读取漏洞,漏洞利用的前提是先达到前面的条件

isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true

想让他们执行到else语句,必须绕过isset($_SESSION['is_guest']) === true这个判断条件

 $sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

    $sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

    }

继续跟踪到register.php

  $sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

    $sth->execute([':username' => $username, ':password' => $password]);

    preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

    if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    } else {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

        $sth->execute([':username' => $username]);

    }

    echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

这里进行一个判断满足条件

  if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    }

那么我们只需要通过这个判断就可以绕过isset($_SESSION['is_guest']) === true这个条件

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

而过程就是这个正则
$code 是可控的匹配字符、$matches是返回值储存地址

而上面就是需要让$matches[0]===$admin

而$matches[0]是匹配到的值

$admin的值由于str_shuffle函数是不确定的,当然我们也可以通过爆破来实现,然而我们还有一个更好的方法。

通过$code传入长字符串来让preg_match函数消耗资源(拖延时间)导致后面的语句暂时无法执行,而此时我们的账户已经注册成功了,由于传入大量字符串preg_match不能在短时间内执行完成所以我们可以在这段时间内进行漏洞利用,由于数据库查询是空的所以可以绕过验证。

漏洞复现:

payload:to=reg&did=0&username=coolbreeze&password=coolbreeze&code=xdsec###超长字符串

注册处使用burp拦截修改

 

这是点击Go
进入登录
直接构造payload:member.php?file=php://filter/resource=config.php
因为前面通过is_file()函数来过滤所以这里通过php伪协议来读取数据

 

 

这里成功获取CTF

$flag = "LCTF{pr3_maTch_1s_A_amaz1ng_Function}"
到此结束

												


											
某CTF代码审计题的更多相关文章
	

    
								
  1. 4.ctf实战题
		
    一道ctf实战题. 先亮出网址: http://fb2ad00f-0a28-4e38-8fff-849d7391e2d0.coding.io 打开连接,看到下面页面.Web题,首先就是扫描(御剑啊还有 ...
    
		
    2. 
						
  2. 一道简单的CTF登录题题解
		
    一.解题感受 这道题50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平. 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQ ...
    
		
    3. 
						
  3. 社团的CTF逆向题WriteUp
		
    最近社团弄了CTF比赛,然后我就帮忙写了逆向的题目,这里写一下WriteUp,题目和源码在附件中给出 一个简单的逆向:one_jmp_to_flag.exe 这题算是签到题,直接OD智能搜索就完事了, ...
    
		
    4. 
						
  4. 百道CTF刷题记录(一)
		
    简介 最近在刷CTF题,主攻Web,兼职Misc Shiyanbar 0x01 简单的登陆题 简单概括: 考点: %00截断正则 CBC字节翻转攻击 难度: 难 WP:https://blog.csd ...
    
		
    5. 
						
  5. z3 巧解CTF逆向题
		
    z3 巧解逆向题 题目下载链接:http://reversing.kr/download.php?n=7 这次实验的题目为Reversing.kr网站中的一道题目. 题目要求: ReversingKr ...
    
		
    6. 
						
  6. i春秋CTF web题(1)
		
    之前边看writeup,边做实验吧的web题,多多少少有些收获.但是知识点都已记不清.所以这次借助i春秋这个平台边做题,就当记笔记一样写写writeup(其实都大部分还是借鉴其他人的writeup). ...
    
		
    7. 
						
  7. 结合order by 解CTF某题
		
    真tmd不容易 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '& ...
    
		
    8. 
						
  8. 校园网络安全CTF 第一题 和 你真了解我吗?
		
    第一题: 需要先找到相应头(REsponse header中的tips) <?php$flag = "***";if (isset($_GET['repo']))//检测变量 ...
    
		
    9. 
						
  9. 由一道CTF pwn题深入理解libc2.26中的tcache机制
		
    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. ant用法
			
    下载ant包,解压版,解压到某目录后配置环境变量即可,这里不在赘述.配置成功cmd ant-version,显示ant版本即OK.           ant是Apache的跨平台的构建工具,他可以实 ...
    
			
    2. 
						
  2. 三大集合框架之Set
			
    Set介绍 Set相对于List.Map是最简单的一种集合.集合中的对象不按特定的方式排序,并且没有重复对象. 特点: 它不允许出现重复元素: 不保证和政集合中元素的顺序 允许包含值为null的元素, ...
    
			
    3. 
						
  3. 实现动态代理(Java和spring)
			
    一.Java实现动态代理 1.创建接口 package com.oyy.mw.biz.i; public interface Cal { public int add(int num1,int num ...
    
			
    4. 
						
  4. ubuntu怎么关防火墙
			
    1.关闭ubuntu的防火墙 ufw disable2.卸载了iptables apt-get remove iptables 1.用iptables -F这个命令来关闭防火墙,但是使用这个命令前,千 ...
    
			
    5. 
						
  5. 我的HTML总结之常用基础便签
			
    HTML:是Hyper Text Markup Language(超级文本标记语言)的缩写,HTML不是一种程序,只是一种控制网页中数据显示的标识语言. HTML由一组标签组成. HTML的基本结构  ...
    
			
    6. 
						
  6. SpringBoot应用和PostgreSQL数据库部署到Kubernetes上的一个例子
			
    创建一个名为ads-app-service的服务: 上述Service的yaml文件里每个字段,在Kubernetes的API文档里有详细说明. https://kubernetes.io/docs/ ...
    
			
    7. 
						
  7. OC @protocol(声明协议 )
			
    @protocol Study; int main(int argc, const char * argv[]) { @autoreleasepool { Student *stu = [[[Stud ...
    
			
    8. 
						
  8. C语言 条件编译(if )
			
    #include <stdio.h> #define NUM -1 int main(int argc, const char * argv[]) { #if NUM > 0 pri ...
    
			
    9. 
						
  9. codeforces 676C
			
    C. Vasya and String time limit per test 1 second memory limit per test 256 megabytes input standard  ...
    
			
    10. 
						
  10. Uva 10559 消除方块
			
    题意: 每次可以选择一个区间(连续相同的序列)消除,得分为 len*len:问最大得分. 分析: 很容易想到是区间DP,但是不像普通的区间DP一样切割方式~~~ 如果定义 d[ i ][ j ] 区间 ...
    
			
    11.