第四届全国网络空间安全技术大赛 writeup

web2

进去后url如下:

http://117.34.116.192/index.php?file=login.html

这道题一看url格式,便考虑到PHP文件包含。但是使用php://filter和php://input进行测试的时候,发现“:”被过滤了。
于是一套乱摸,倒是摸到了两个敏感文件:

http://117.34.116.192/index.php?file=../../../../etc/apache2/apache2.conf
http://117.34.116.192/index.php?file=../../../../etc/passwd

都能读出来,但没什么用,想找aceess.log也没找到。
后来发现存在git源码泄漏:

第四届全国网络空间安全技术大赛 writeup_第1张图片

于是使用githack这个工具,下载到了网站源码:

第四届全国网络空间安全技术大赛 writeup_第2张图片

查看了一下index.php,发现是php-screw加密的,到网上查了下,使用下面这款工具可以解密:
https://github.com/firebroo/screw_decode
解出来index.php源码如下:


果然过滤了“:”。无奈审计了一下upload.php:

 


  
    
    
    
    
    
    
    图床后台
    
    
  
  
    
         
    
添加图片

可以伪造cookie进行访问,并且cookie的条件一定要满足几个条件

  1. in_permission=2
  2. in_adminid、in_adminname、in_adminpassword、in_adminexpire都要设置
  3. in_adminexpire的值为前面几个组成字符串的md5。
    所以,构造cookie如下:
in_adminid=1
in_adminname=admin
in_adminpassword=admin
in_permission=2
in_adminexpire=5d7a9e2c9e55c06ac7d03e52dcacbb25

伪造cookie后可以成功访问upload.php:


第四届全国网络空间安全技术大赛 writeup_第3张图片

随便找张图片上传,结果正如上述源码中一样,会被重命名为随机数字+.jpg,并且图片地址会显示到前端:


第四届全国网络空间安全技术大赛 writeup_第4张图片
image.png

这样一来上传网马后,不能直接访问url运行木马了,但是综合前面的文件包含,可以做到让木马执行。
本来想上传个大马,结果成功加载了,奈何输入密码后页面乱了。。。
第四届全国网络空间安全技术大赛 writeup_第5张图片
成功出现大马页面
第四届全国网络空间安全技术大赛 writeup_第6张图片
尴尬的页面

大马不能执行,就了下换思路,手写php代码,读网站根目录 -> 找到flag文件 -> 读出flag。
首先是读网站根目录:


把这个文件上传后,使用文件包含,成功读出下级目录:


第四届全国网络空间安全技术大赛 writeup_第7张图片

接下来读/var/www/html目录下的文件:


第四届全国网络空间安全技术大赛 writeup_第8张图片

flag文件明显是f14g.php,本来以为访问就稳了,没想到是个空页面。看来只能把它读出来了。
使用下面命令:


读出来是这么一串:



使用php screw解密工具,发现解不出来,真的很烦人,眼看到最后一步了flag就是不出来。。
后来经过比对,发现应该是网页编码的原因,能正常解密的如下图上半部分所示,下半部分的明显跟它长的不一样。所以还得换种思路


第四届全国网络空间安全技术大赛 writeup_第9张图片

后来想到了一个骚操作,既然访问乱码,那干脆把你压缩后下载下来不就完事了?
骚代码如下:

注意,考虑到网站根目录可能不存在写权限,把它写到img文件夹下面是比较稳的选择。
执行完后,下载img123.tar,成功得到flag文件,这次使用php screw解密工具,终于拿到了flag……



web狗的生存越来越艰难了。。

后记:
看别人的writeup,是写了个一句木马连上的。。当时大马连接失败后为什么没用这个,唉。可以省不少时间

re1

题目给了一个pyc文件,可以用uncompyle2转成py文件

第四届全国网络空间安全技术大赛 writeup_第10张图片

发现主要是把输入作为encodestr()函数的参数,然后将返回值与一个数组比较。
看encodestr函数,发现keyc为输入求md5取后4位,string的末尾是输入字符串,只有这两个变量直接受输入影响,其他一些变量都是已知或受keyc影响,而string只在最后异或来求result。也就是说可以爆破keyc,通过result反求出string,如果string的末尾(输入内容)求md5的后4位与keyc相等,就说明得到了正确的string。爆破脚本如下:

#! /usr/bin/env python 2.7 (62211)
#coding=utf-8

from hashlib import md5
import base64
from time import time
from datetime import datetime
import sys
 
def encodestr(keyc):
    UC_KEY = '123456789'
    key = md5(UC_KEY.encode('utf-8')).hexdigest()
    keya = md5(key[0:16].encode('utf-8')).hexdigest()
    keyb = md5(key[16:32].encode('utf-8')).hexdigest()
    ckey_length = 4
    #keyc = md5(string.encode('utf-8')).hexdigest()[-ckey_length:] #输入md5后4位
    cryptkey = md5((keya + keyc).encode('utf-8')).hexdigest() #后4位与确定数的md5
    key_length = len(cryptkey)
    expiry = 20
    #string = '%10d' % expiry + md5((string + keyb).encode('utf-8')).hexdigest()[0:16] + string
    box = range(256)
    rndkey = [0] * 256
    for i in range(256):
        rndkey[i] = ord(cryptkey[i % key_length])
 
    string_length = 49
    d = [128, 220, 109, 113, 242, 153, 181, 203, 21, 122, 2, 101, 42, 55, 56, 19, 190, 181, 99, 47, 217, 109, 129, 221, 9, 65, 235, 48, 197, 103, 123, 86, 25, 112, 172, 175, 42, 168, 232, 81, 224, 170, 16, 210, 98, 229, 15, 30, 134]

    j = 0
    for i in range(256):
        j = (j + box[i] + rndkey[i]) % 256
        tmp = box[i]
        box[i] = box[j]
        box[j] = tmp
 
    a = 0
    j = 0
    string=''
    for i in range(string_length):
        a = (a + 1) % 256
        j = (j + box[a]) % 256
        tmp = box[a]
        box[a] = box[j]
        box[j] = tmp
        string+=chr(d[i]^box[(box[a] + box[j])%256])
    try:
        
        a=md5(string[26:].encode('utf-8')).hexdigest()[-ckey_length:]
        #print a
        if a==keyc:
            print string[26:]
            return 1
    except:
        pass
    return 0
 
 
mdstr='1234567890abcdef'
for c1 in mdstr:
    s1=c1
    for c2 in mdstr:
        s2=s1+c2
        for c3 in mdstr:
            s3=s2+c3
            for c4 in mdstr:
                s4=s3+c4
                encodestr(s4)


re2

第一个验证函数如下:


第四届全国网络空间安全技术大赛 writeup_第11张图片

因为是每个字符ascii值模37,其实范围已经很小了,直接把每个字符可能的结果打印一下就基本就能判断出来了,脚本如下:

array=[0,0x23,0x19,0x16,0x22,0x08,0x17,0x18,0x12,0x17,0x1C,0x01,0x21]
flag=[]
for i in range(12):
    s=''
    for c in range(0x20,0x7f):
        if (c + array[i])%37==array[i+1]:s+=chr(c)
    flag.append(s)
print flag

可以推出来就是Hell0~Kitty


rsa1

正常RSA的原理是:
ed=1 % phi_n
加密:c=m^e%n
解密:m=cd=m(e
d)=m%n

这道题里,利用Crypto库的inverse函数求e模phi_n的逆d(当然结果并不是真正的逆,因为两者不互素),计算e*d % phi_n,结果为8,这样解密过程就成了:


故求出的结果是明文的8次方
脚本如下:

from Crypto.Util.number import bytes_to_long, getStrongPrime, GCD, inverse, isPrime
p=111052706592359766492182549474994387389169491981939276489132990221393430874991652628482505832745103981784837665110819809096264457329836670397000634684595709283710756727662219358743235400779394350023790569023369287367240988429777113514012101219956479046699448481988253039282406274512111898037689623723478951613
q=146182161315365079136034892629243958871460254472263352847680359868694597466935352294806409849433942550149005978761759458977642785950171998444382137410141550212657953776734166481126376675282041461924529145282451064083351825934453414726557476469773468589060088164379979035597652907191236468744400214917268039573
e=200
c=7797067792814175554801975939092864905908878472965854967525218347636721153564161093453344819975650594936628697646242713415817737235328825333281389820202851500260665233910426103904874575463134970160306453553794787674331367563821223358610113031883172742577264334021835304931484604571485957116313097395143177603380107508691261081725629713443494783479897404175199621026515502716868988672289887933681890547568860707175288422275073767747544353536862473367590288531216644146154729962448906402712219657000812226637887827912541098992158458173920228864293993030475885461755767069329678218760943185942331149777258713727459739405
fin=(q-1)*(p-1)

d = inverse(e, fin)

print (e*d)%(fin) #e*d=8 %(fin)
s=pow(c,d,q*p)
print s

结果为:

8790672647699888791168395876725267498380050204509042605325148440775761512060209862878377062250498277565324799241101114626203022698873680727368886696009248411945050428305804829613871379890954039096785744465245794789247131505229329627996841022729341182437065625045609809888462300362847200777304046131988810944506109283470335905223526693623008137885581446429211468764465976794495528511148211351567422881

在大数分解网站http://www.factordb.com/index.php 上分解可以得出开8次方的结果,转hex每2位转字符就得到flag了。


misc2 wp

题目提示这题可以在windows下解。

显而易见有ntfs流藏匿文件。

下载压缩包后,7-zip打开可以看到ntfs流隐藏的文件。

第四届全国网络空间安全技术大赛 writeup_第12张图片

用word打开看了一遍,就只是个我有个梦想的英文版。

抖了个机灵用notepad打开,搜索f l a g(注意有空格),搜到了前半截flag。

这时候就陷入了江江江局。后面又抖了个机灵搜索 }, 于是拿到了后半截flag。

第四届全国网络空间安全技术大赛 writeup_第13张图片

第四届全国网络空间安全技术大赛 writeup_第14张图片
第四届全国网络空间安全技术大赛 writeup_第15张图片

第四届全国网络空间安全技术大赛 writeup_第16张图片

安卓 基础加密

进入看到MainActivity,关键代码如下,逻辑很清楚,就是输入的数字经过reinforce函数处理后作为submitFlag函数参数传入可以使返回值为1.


两个函数都是原生函数。


  1. 先看submitFlag


    第四届全国网络空间安全技术大赛 writeup_第17张图片

只是校验传入的字符串是否等于CxU+NEhbEVZDaWAmHUAlVgtxZ1lPaCQHBUoKQG4zJlk=,是则返回1

  1. 再看reinforce


    第四届全国网络空间安全技术大赛 writeup_第18张图片

    对字符串用passchange函数和encode函数处理后得到返回的字符串

Passchange 函数:将字符串依次与dest的每个字符异或,注意dest字符串为”my_S3cr3t_P@$$W0rD\0”,长度为0x13


第四届全国网络空间安全技术大赛 writeup_第19张图片

Encode函数是一个base64编码功能。
解题代码如下:

import base64

s = 'CxU+NEhbEVZDaWAmHUAlVgtxZ1lPaCQHBUoKQG4zJlk='
print len(s)
dest = 'my_S3cr3t_P@$$W0rD\0'
res = base64.b64decode(s)
result = ''
for i in xrange(len(res)):
    result+=chr(ord(res[i])^ord(dest[i%0x13]))
print result


misc第一题,图片隐写

先用binwalk提取出隐藏文件,一个zip和一个txt,zip解压出的文件和txt一样,就不说了。binwalk命令如下:

binwalk -e xxx.jpg

从stego.txt可以明显看出是base64编码过的,decode后发现有base64隐写。跑脚本找出隐写内容,脚本如下:

def get_base64_diff_value(s1, s2):
    base64chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789+/'
    res = 0
    for i in xrange(len(s1)):
        if s1[i] != s2[i]:
            return abs(base64chars.index(s1[i]) - base64chars.index(s2[i]))
    return res

def solve_stego():

    with open('stego.txt', 'rb') as f:
        file_lines = f.readlines()

    bin_str = ''
    for line in file_lines:
        steg_line = line.replace('\n', '')
        norm_line = line.replace('\n', '').decode('base64').encode('base64').replace('\n', '')
        diff = get_base64_diff_value(steg_line, norm_line)

        pads_num = steg_line.count('=')
        if diff:
            bin_str += bin(diff)[2:].zfill(pads_num * 2)

        else:
            bin_str += '0' * pads_num * 2

    res_str = ''

    for i in xrange(0, len(bin_str), 8):

        res_str += chr(int(bin_str[i:i+8], 2))
    print res_str

solve_stego()

输出内容即为flag内容

Web1 转自:https://www.anquanke.com/post/id/144862#h3-3

http://117.34.117.216
访问后跳转到登录页面
http://117.34.117.216/login.php
发现有注册,随意注册一个账号,登录后

第四届全国网络空间安全技术大赛 writeup_第20张图片

发现要以admin的身份访问flag.php
查看源代码,发现还有change_password的功能
第四届全国网络空间安全技术大赛 writeup_第21张图片

同时发现cookie中有username项
第四届全国网络空间安全技术大赛 writeup_第22张图片

猜想可能存在越权问题
进入修改密码页面:
第四届全国网络空间安全技术大赛 writeup_第23张图片

发现未做username的check
猜想直接使用了cookie中的username
随机修改cookie中的username为admin
同时修改密码
成功登入,来到管理页面:
第四届全国网络空间安全技术大赛 writeup_第24张图片

发现可以获取远程图片
随手测试,发现题目会将远程访问到的页面内容写到本地的图片img目录中
尝试访问
http://127.0.0.1/flag.php
下载图片文件后获得flag:
第四届全国网络空间安全技术大赛 writeup_第25张图片

得到flag
flag{dbf6e52d69973dd16d87d4a8c3816ca9}

这道题我做的时候做到最后一步,实在是没想到加载http://127.0.0.1/flag.php,
我当时写了个http://localhost/flag.php
好气啊!!!!!!!!!!


第一天晚上的时候,还冲到了并列第一,第二天一道没解出来……最后成绩很烂。就做出来这些题目,好歹进了线下。


第四届全国网络空间安全技术大赛 writeup_第26张图片

第四届全国网络空间安全技术大赛 writeup_第27张图片

你可能感兴趣的:(第四届全国网络空间安全技术大赛 writeup)