记一次参加CTF比赛翻车记!

 

开始还是挺有信心的,毕竟也是经常打一些CTF锻炼,然而比赛发现大佬们平时不显山不漏水的一比赛全出来了!赛后看了一下各题的writeup发现自己的确技不如人啊!借鉴一个案例拿出来分析一下!

正言:

 

这是入口界面登录+注册,开始注册登录看了一下

 

有了一个简单的提示:你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~

然而成功误导了我,百度了一番找到XDSEC官网,拿XDSEC的队员名称注册了一番,并无卵用!然后爆破目录、并无任何发现。

思路断了!之后才知道是由于Phpstorm IDE 开发过程中会生成一个.idea的缓存目录(里面包含一些敏感文件)输入url/.idea/workspace.xml 成功下载下来

 

发现一个zip压缩包(里面是它的源码无疑)下载后

 

里面只有三个文件注册、登录、用户下面开始我们的代码审计

Register.php

<?php

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

if (strlen($username) > 16 || strlen($username) > 16) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT username FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch() !== false) {

die('username has been registered');

}

$sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

$sth->execute([':username' => $username, ':password' => $password]);

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

$sth->execute([':username' => $username, ':identity' => $matches[1]]);

} else {

$sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

$sth->execute([':username' => $username]);

}

echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

Login.php

<?php

session_start();

include('config.php');

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$username = (isset($_POST['username']) === true && $_POST['username'] !== '') ? (string)$_POST['username'] : die('Missing username');

$password = (isset($_POST['password']) === true && $_POST['password'] !== '') ? (string)$_POST['password'] : die('Missing password');

if (strlen($username) > 32 || strlen($password) > 32) {

die('Invalid input');

}

$sth = $pdo->prepare('SELECT password FROM users WHERE username = :username');

$sth->execute([':username' => $username]);

if ($sth->fetch()[0] !== $password) {

die('wrong password');

}

$_SESSION['username'] = $username;

unset($_SESSION['is_logined']);

unset($_SESSION['is_guest']);

#echo $username;

header("Location: member.php");

?>

Member.php

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">

</head>

<body background="./images/1.jpg">

<object type="application/x-shockwave-flash" style="outline:none;" data="http://cdn.abowman.com/widgets/hamster/hamster.swf?" width="300" height="225"><param name="movie" value="http://cdn.abowman.com/widgets/hamster/hamster.swf?"></param><param name="AllowScriptAccess" value="always"></param><param name="wmode" value="opaque"></param></object>

<p style="color:orange">你好啊,但是你好像不是XDSEC的人,所以我就不给你flag啦~~</p>

</body>

</html>

直到member.php发现是一个文件读取漏洞,既然是一个文件读取漏洞而前面看.idea缓存里面有config.php 这样也许就可以获取我们所需要的信息,而漏洞形成是需要条件的下面我们来具体分析一下。

如果你能看懂上面的代码那么应该已经发现漏洞地点了。

漏洞触发地点:

member.php 第28行

<?php

error_reporting(0);

session_start();

include('config.php');

if (isset($_SESSION['username']) === false) {

die('please login first');

}

try{

$pdo = new PDO('mysql:host=localhost;dbname=xdcms', $user, $pass);

}catch (Exception $e){

die('mysql connected error');

}

$sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

$sth->execute([':username' => $_SESSION['username']]);

if ($sth->fetch()[0] === 'GUEST') {

$_SESSION['is_guest'] = true;

}

$_SESSION['is_logined'] = true;

if (isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true) {

}else{

if(isset($_GET['file'])===false)

echo "None";

elseif(is_file($_GET['file']))

echo "you cannot give me a file";

else

readfile($_GET['file']);

}

?>

readfile($_GET['file']); 导致文件读取漏洞,漏洞利用的前提是先达到前面的条件

isset($_SESSION['is_logined']) === false || isset($_SESSION['is_guest']) === true

想让他们执行到else语句,必须绕过isset($_SESSION['is_guest']) === true这个判断条件

 $sth = $pdo->prepare('SELECT identity FROM identities WHERE username = :username');

    $sth->execute([':username' => $_SESSION['username']]);

    if ($sth->fetch()[0] === 'GUEST') {

        $_SESSION['is_guest'] = true;

    }

继续跟踪到register.php

  $sth = $pdo->prepare('INSERT INTO users (username, password) VALUES (:username, :password)');

    $sth->execute([':username' => $username, ':password' => $password]);

    preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

    if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    } else {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, "GUEST")');

        $sth->execute([':username' => $username]);

    }

    echo '<script>alert("register success");location.href="http://ashe666.blog.163.com/blog/./index.html"</script>';

这里进行一个判断满足条件

  if (count($matches) === 3 && $admin === $matches[0]) {

        $sth = $pdo->prepare('INSERT INTO identities (username, identity) VALUES (:username, :identity)');

        $sth->execute([':username' => $username, ':identity' => $matches[1]]);

    }

那么我们只需要通过这个判断就可以绕过isset($_SESSION['is_guest']) === true这个条件

$admin = "xdsec"."###".str_shuffle('you_are_the_member_of_xdsec_here_is_your_flag');

$code = (isset($_POST['code']) === true) ? (string)$_POST['code'] : '';

preg_match('/^(xdsec)((?:###|\w)+)$/i', $code, $matches);

if (count($matches) === 3 && $admin === $matches[0]) {

而过程就是这个正则
$code 是可控的匹配字符、$matches是返回值储存地址

而上面就是需要让$matches[0]===$admin

而$matches[0]是匹配到的值

$admin的值由于str_shuffle函数是不确定的,当然我们也可以通过爆破来实现,然而我们还有一个更好的方法。

通过$code传入长字符串来让preg_match函数消耗资源(拖延时间)导致后面的语句暂时无法执行,而此时我们的账户已经注册成功了,由于传入大量字符串preg_match不能在短时间内执行完成所以我们可以在这段时间内进行漏洞利用,由于数据库查询是空的所以可以绕过验证。

漏洞复现:

payload:to=reg&did=0&username=coolbreeze&password=coolbreeze&code=xdsec###超长字符串

注册处使用burp拦截修改

 

这是点击Go
进入登录
直接构造payload:member.php?file=php://filter/resource=config.php
因为前面通过is_file()函数来过滤所以这里通过php伪协议来读取数据

 

 

这里成功获取CTF

$flag = "LCTF{pr3_maTch_1s_A_amaz1ng_Function}"
到此结束

												


											
某CTF代码审计题的更多相关文章
	

    
								
  1. 4.ctf实战题
		
    一道ctf实战题. 先亮出网址: http://fb2ad00f-0a28-4e38-8fff-849d7391e2d0.coding.io 打开连接,看到下面页面.Web题,首先就是扫描(御剑啊还有 ...
    
		
    2. 
						
  2. 一道简单的CTF登录题题解
		
    一.解题感受 这道题50分,在实验吧练习场算比较高分,而且通过率只有14%,比较低的水平. 看到这两个数据,一开始就心生惬意,实在不应该呀! 也是因为心态原因,在发现test.php之后,自以为在SQ ...
    
		
    3. 
						
  3. 社团的CTF逆向题WriteUp
		
    最近社团弄了CTF比赛,然后我就帮忙写了逆向的题目,这里写一下WriteUp,题目和源码在附件中给出 一个简单的逆向:one_jmp_to_flag.exe 这题算是签到题,直接OD智能搜索就完事了, ...
    
		
    4. 
						
  4. 百道CTF刷题记录(一)
		
    简介 最近在刷CTF题,主攻Web,兼职Misc Shiyanbar 0x01 简单的登陆题 简单概括: 考点: %00截断正则 CBC字节翻转攻击 难度: 难 WP:https://blog.csd ...
    
		
    5. 
						
  5. z3 巧解CTF逆向题
		
    z3 巧解逆向题 题目下载链接:http://reversing.kr/download.php?n=7 这次实验的题目为Reversing.kr网站中的一道题目. 题目要求: ReversingKr ...
    
		
    6. 
						
  6. i春秋CTF web题(1)
		
    之前边看writeup,边做实验吧的web题,多多少少有些收获.但是知识点都已记不清.所以这次借助i春秋这个平台边做题,就当记笔记一样写写writeup(其实都大部分还是借鉴其他人的writeup). ...
    
		
    7. 
						
  7. 结合order by 解CTF某题
		
    真tmd不容易 <?php error_reporting(0); if (!isset($_POST['uname']) || !isset($_POST['pwd'])) { echo '& ...
    
		
    8. 
						
  8. 校园网络安全CTF 第一题 和 你真了解我吗?
		
    第一题: 需要先找到相应头(REsponse header中的tips) <?php$flag = "***";if (isset($_GET['repo']))//检测变量 ...
    
		
    9. 
						
  9. 由一道CTF pwn题深入理解libc2.26中的tcache机制
		
    本文首发安全客:https://www.anquanke.com/post/id/104760 在刚结束的HITB-XCTF有一道pwn题gundam使用了2.26版本的libc.因为2.26版本中加 ...
    
		
    10. 
		

	


随机推荐
	

    
									
  1. spring---FactoryBean与BeanFactory的区别
			
    1.BeanFactory BeanFactory是IOC最基本的容器,负责生产和管理bean,它为其他具体的IOC容器提供了最基本的规范,例如DefaultListableBeanFactory,  ...
    
			
    2. 
						
  2. monkeyrunner之安卓开发环境搭建(二)
			
    在上一篇文章-安卓开发环境搭建中,我们创建并启动了eclipse自带的安卓模拟器,该模拟器不仅启动慢,而且在使用过程中的反应速度也是出奇的差,经常出现卡机现象.为了解决这种现象,因此,我们又寻找到了更 ...
    
			
    3. 
						
  3. 抓取android系统日志_记录一次定位app闪退故障
			
    在测试android客户端兼容性时,发现app闪退,上海的小伙伴需要闪退时的系统日志:故把快生锈的adb知识拿出来show一把: 1.下载adb工具包(adb的全称为Android Debug Bri ...
    
			
    4. 
						
  4. The Tao to Excellent 2
			
    就算自己现在的技术水平很菜,就算自己现在写的代码还是很烂,但我们还是要一直坚持在最前线,一直向上,也许,在前方,就有不一样的风景在等着我们. 因为我深深明白到一件事:人之所以选择混吃等死,是因为他们根 ...
    
			
    5. 
						
  5. poj 2356 抽屉原理
			
    基本原理: n+1个鸽子放到n个笼子里,至少有一个笼子里有两只及其以上的鸽子.若有n个笼子,kn+1个鸽子,至少有一个笼子里面有k+1个鸽子: 题意:给定N个数,挑出一些数,他们和和是n的整数倍: 分 ...
    
			
    6. 
						
  6. VOJ1049  送给圣诞夜的礼品 【矩阵经典4】
			
    任意门:https://vijos.org/p/1049 描述 当小精灵们把贺卡都书写好了之后.礼品准备部的小精灵们已经把所有的礼品都制作好了.可是由于精神消耗的缘故,他们所做的礼品的质量越来越小,也 ...
    
			
    7. 
						
  7. ms17_010利用复现(32位)
			
    准备阶段: 1,原版windows7:cn_windows_7_enterprise_x86_dvd_x15-70737.iso 2,kali系统,  虚拟机 3,用于32位机的攻击模块:Eterna ...
    
			
    8. 
						
  8. 【洛谷P4124】[CQOI2016]手机号码
			
    手机号码 数位DP模板题 记忆化搜索: #include<iostream> #include<cstring> #include<cstdio> using na ...
    
			
    9. 
						
  9. Windows下安装PCL点云库
			
    原文链接:http://blog.csdn.net/u012337034/article/details/38270109 简介:         在Windows下安装PCL点云库的方法大概有两种: ...
    
			
    10. 
						
  10. SQL Server笔记-语法
			
    1.USE <DatabaseName> //选择数据库 例:USE [master] //master是系统默认数据库 2.字段或表名与保留字或关键字重名时需要加. 3.COMPATIB ...
    
			
    11.