记一次参加CTF比赛翻车记!

 

开始还是挺有信心的,毕竟也是经常打一些CTF锻炼,然而比赛发现大佬们平时不显山不漏水的一比赛全出来了!赛后看了一下各题的writeup发现自己的确技不如人啊!借鉴一个案例拿出来分析一下!

正言:

 

这是入口界面登录+注册,开始注册登录看了一下

 

有了一个简单的提示:你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~

然而成功误导了我,百度了一番找到XDSEC官网,拿XDSEC的队员名称注册了一番,并无卵用!然后爆破目录、并无任何发现。

思路断了!之后才知道是由于Phpstorm IDE 开发过程中会生成一个.idea的缓存目录(里面包含一些敏感文件)输入url/.idea/workspace.xml 成功下载下来

 

发现一个zip压缩包(里面是它的源码无疑)下载后

 

里面只有三个文件注册、登录、用户下面开始我们的代码审计

Register.php

<?php

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

if (strlen($username) > 16 || strlen($username) > 16) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT username FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch() !== false) {

die('username has been registered');

}

$sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

$sth->execute([':username' => $username, ':password' => $password]);

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

$sth->execute([':username' => $username, ':identity' => $matches[1]]);

} else {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

$sth->execute([':username' => $username]);

}

echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

Login.php

<?php

session_start();

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

if (strlen($username) > 32 || strlen($password) > 32) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT password FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch()[0] !== $password) {

die('wrong password');

}

$_SESSION['username'] = $username;

unset($_SESSION['is_logined']);

unset($_SESSION['is_guest']);

#echo $username;

header("Location: member.php");

?>

Member.php

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

</head>

<body background="./images/1.jpg">

<object type="application/x-shockwave-flash" style="outline:none;" data="http://cdn.abowman.com/widgets/hamster/hamster.swf?" width="300" height="225"><param name="movie" value="http://cdn.abowman.com/widgets/hamster/hamster.swf?"></param><param name="AllowScriptAccess" value="always"></param><param name="wmode" value="opaque"></param></object>

<p style="color:orange">你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~</p>

</body>

</html>

直到member.php发现是一个文件读取漏洞,既然是一个文件读取漏洞而前面看.idea缓存里面有config.php 这样也许就可以获取我们所需要的信息,而漏洞形成是需要条件的下面我们来具体分析一下。

如果你能看懂上面的代码那么应该已经发现漏洞地点了。

漏洞触发地点:

member.php 第28行

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

readfile($_GET['file']); 导致文件读取漏洞,漏洞利用的前提是先达到前面的条件

isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true

想让他们执行到else语句,必须绕过isset($_SESSION['is_guest']) === true这个判断条件

 $sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

    $sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

    }

继续跟踪到register.php

  $sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

    $sth->execute([':username' => $username, ':password' => $password]);

    preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

    if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    } else {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

        $sth->execute([':username' => $username]);

    }

    echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

这里进行一个判断满足条件

  if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    }

那么我们只需要通过这个判断就可以绕过isset($_SESSION['is_guest']) === true这个条件

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

而过程就是这个正则
$code 是可控的匹配字符、$matches是返回值储存地址

而上面就是需要让$matches[0]===$admin

而$matches[0]是匹配到的值

$admin的值由于str_shuffle函数是不确定的,当然我们也可以通过爆破来实现,然而我们还有一个更好的方法。

通过$code传入长字符串来让preg_match函数消耗资源(拖延时间)导致后面的语句暂时无法执行,而此时我们的账户已经注册成功了,由于传入大量字符串preg_match不能在短时间内执行完成所以我们可以在这段时间内进行漏洞利用,由于数据库查询是空的所以可以绕过验证。

漏洞复现:

payload:to=reg&did=0&username=coolbreeze&password=coolbreeze&code=xdsec###超长字符串

注册处使用burp拦截修改

 

这是点击Go
进入登录
直接构造payload:member.php?file=php://filter/resource=config.php
因为前面通过is_file()函数来过滤所以这里通过php伪协议来读取数据

 

 

这里成功获取CTF

$flag = "LCTF{pr3_maTch_1s_A_amaz1ng_Function}"
到此结束

												


											
某CTF代码审计题的更多相关文章
	

    
								
  1. 4.ctf实战题
		
    一道ctf实战题. 先亮出网址: http://fb2ad00f-0a28-4e38-8fff-849d7391e2d0.coding.io 打开连接,看到下面页面.Web题,首先就是扫描(御剑啊还有 ...
    
		
    2. 
						
  2. 一道简单的CTF登录题题解
		
    一.解题感受 这道题50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平. 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQ ...
    
		
    3. 
						
  3. 社团的CTF逆向题WriteUp
		
    最近社团弄了CTF比赛,然后我就帮忙写了逆向的题目,这里写一下WriteUp,题目和源码在附件中给出 一个简单的逆向:one_jmp_to_flag.exe 这题算是签到题,直接OD智能搜索就完事了, ...
    
		
    4. 
						
  4. 百道CTF刷题记录(一)
		
    简介 最近在刷CTF题,主攻Web,兼职Misc Shiyanbar 0x01 简单的登陆题 简单概括: 考点: %00截断正则 CBC字节翻转攻击 难度: 难 WP:https://blog.csd ...
    
		
    5. 
						
  5. z3 巧解CTF逆向题
		
    z3 巧解逆向题 题目下载链接:http://reversing.kr/download.php?n=7 这次实验的题目为Reversing.kr网站中的一道题目. 题目要求: ReversingKr ...
    
		
    6. 
						
  6. i春秋CTF web题(1)
		
    之前边看writeup,边做实验吧的web题,多多少少有些收获.但是知识点都已记不清.所以这次借助i春秋这个平台边做题,就当记笔记一样写写writeup(其实都大部分还是借鉴其他人的writeup). ...
    
		
    7. 
						
  7. 结合order by 解CTF某题
		
    真tmd不容易 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '& ...
    
		
    8. 
						
  8. 校园网络安全CTF 第一题 和 你真了解我吗?
		
    第一题: 需要先找到相应头(REsponse header中的tips) <?php$flag = "***";if (isset($_GET['repo']))//检测变量 ...
    
		
    9. 
						
  9. 由一道CTF pwn题深入理解libc2.26中的tcache机制
		
    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. 用Webstorm 运行React-native 工程时,出错:xcrun: error: unable to find utility "instruments", not a developer tool or in PATH
			
    解决方法:在 终端执行如下命令 sudo xcode-select -s /Applications/Xcode.app/Contents/Developer/ 注意:前提是你已经安装了xcode
    
			
    2. 
						
  2. C# winform 跨线程修改界面
			
    我们可以使用invoke和bengininvoke invoke同步执行一个委托 begininvoke异步执行一个委托
    
			
    3. 
						
  3. mongorc.js文件
			
    当启动的时候,mongo检查用户HOME目录下的一个JavaScript文件.mongorc.js.如果找到,mongo在首次显示提示信息前解析.mongorc.js的内容.如果你使用shell执行一 ...
    
			
    4. 
						
  4. Codeforces Round #443 (Div. 2)
			
    C. Short Program Petya learned a new programming language CALPAS. A program in this language always  ...
    
			
    5. 
						
  5. [19/03/13-星期三] 数组_二维数组&冒泡排序&二分查找
			
    一.二维数组 多维数组可以看成以数组为元素的数组.可以有二维.三维.甚至更多维数组,但是实际开发中用的非常少.最多到二维数组(我们一般使用容器代替,二维数组用的都很少). [代码示例] import  ...
    
			
    6. 
						
  6. Jmeter 登陆性能测试
			
    1.打开Jmeter,新建一个线程组:测试计划--添加--Threads(users)---线程组 如图: 2.首先要添加一个HTTP默认请求,为什么要添加这个呢? 如果要测试的系统域名或者IP地址是 ...
    
			
    7. 
						
  7. table自适应
			
    当table大于屏幕时,table可以左右滑动 //给table的父元素设置样式 .edit_table{ width:100%; overflow: auto; }
    
			
    8. 
						
  8. 【洛谷P1351】[NOIP2014]联合权值
			
    联合权值 题目链接 首先,直接两重循环暴力枚举得了70分 然后发现第二重循环可以记忆化一下 记忆一下每个点的子节点的权值和.最大值. 次大值(为了处理该点的父节点权值恰好为最大值) 具体看代码 #in ...
    
			
    9. 
						
  9. 【洛谷P4124】[CQOI2016]手机号码
			
    手机号码 数位DP模板题 记忆化搜索: #include<iostream> #include<cstring> #include<cstdio> using na ...
    
			
    10. 
						
  10. HDU 2859  Phalanx(对称矩阵 经典dp样例)
			
    传送门: http://acm.hdu.edu.cn/showproblem.php?pid=2859 Phalanx Time Limit: 10000/5000 MS (Java/Others)  ...
    
			
    11.