DC0531CTF在线比拼,详细Writeup看这里!

2018-09-14 17:55 稿源:用户投稿  0条评论

6 月 23 日,DC0531 在泉城济南顺利举办,来自各个安全领域的大牛们给大家带来了一场炫酷的技术视听盛宴!大会举办期间,还开展了线上CTF比赛,供网络安全人员进行现场技术比拼。

本期“安仔课堂”,ISEC实验室的王老师,将为大家记录本次比赛的解题思路及方法。

Web1

首先关注一下比赛方的公众号,按照题目制定的battle ground的规则开始玩,先了解该公众号提供的所有功能。有两种解题方法,一种是抓取流量包,一种是命令执行。

方法一

图1

先看一下有哪些武器,选择一个捡起,载入武器,向你的VPS射击,就可以获取到题目的IP。在射击之前,用tcpdump -nn -i eth0 icmp -w dc0531.cap先在你的VPS上抓包。

图2

这题存在git泄露,先把源代码扒下来:

图3

这里只解释代码的关键部分,关键代码路径在: Application/Home/Controller/TestController.class.php。

先看P方法,改方法主要是用于将$weapon文件的内容base64 加密后前 100 个字符存放在$this->info[bullet]中,用在下面的s方法,代码如下:

图4

再看r方法,该方法用于初始化$this->info[status] = 100,经过初始化之后才能利用s方法。s方法就是携带上面base64 加密后的$weapon文件的内容前 100 个字符,去ping目标主机,也就是微信公众号中的shot功能,ping命令的-p 选项可以设置icmp报文数据部分的内容。这里要注意下面代码中16、 17 行,$this->info[status] -1 为99,相应$bullet = $this->info[bullet][100-99];即从$this->info[bullet][1]开始,漏掉了$this->info[bullet][0],所以我们最后获取的内容在开头要加上一个字符。

图5

明白了以上三个方法,我们就知道如何利用漏洞获取flag了。首先我们要把flag文件装入$weapon,然后一直shot我们的VPS,具体利用如下:

图6

VPS上用tcpdump抓包,提取内容为:D9waHAKJGZsYWcgPSAiREMwNTMxe1dlY2hBdF9Jc19Tb19DMG9sfSI7Cg== ,在开头随便加上一个字母,这里我加P,解出来如下:

图7

方法二

下面说另外一个解法,就是通过命令执行的方式获得flag。其实一开始我发现方法u中存在命令执行,但是看了前面的代码,发现没有调用到该函数,就暂时忽略了。后来想到这是ThinkPHP的程序,Thinkphp是可以通过路由方式调用方法的,方法u的代码如下:

图8

下面就说说如何利用这个命令执行漏洞。首先在我们的VPS上留下python反弹shell脚本,然后根据Thinkphp3.2. 3 的路由规则,分别访问一下两个链接,当然你要在你的VPS上提前侦听某个端口,链接如下:

图9

图10

Web2

图11

这道题目可以本地搭环境复现,题目使用的是Metinfo6.0.0,上网搜索该版本cms漏洞,可以看到《Metinfo 6.0.0 任意文件读取漏洞》的漏洞分析,题目刚好也是考察这个漏洞,只是题目环境用的是最新版的Metinfo6.0.0,与该博客上的版本代码略有差别,不过还是能绕过,具体分析可以看那篇文章,这里不赘述,直接给出利用方式。

图12

Web3

图13

python沙箱逃逸,遇到空格和某些关键字就会直接断开,直接read也会断开,payload如下:

图14

图15

Web4

图16

用dirb扫描发现存在git泄露,用Githack将泄露的文件扒下来,flag.php中即可找到flag。

图17

图18

这题是一个经典的配置文件写入问题,实际考察内容可参考《 CTF_web/web200-7 》)

安胜作为国内领先的网络安全类产品及服务提供商,秉承“创新为安,服务致胜”的经营理念,专注于网络安全类产品的生产与服务;以“研发+服务+销售”的经营模式,“装备+平台+服务”的产品体系,在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系,为广大用户提供量体裁衣的综合解决方案!

我们拥有独立的技术及产品的预研基地—ISEC实验室,专注于网络安全前沿技术研究,提供网络安全培训、应急响应、安全检测等服务。此外,实验室打造独家资讯交流分享平台—“ISEC安全e站”,提供原创技术文章、网络安全信息资讯、实时热点独家解析等。

2018 年

承担全国两会网络安保工作;

承担青岛上合峰会网络安保工作。

2017 年

承担全国两会网络安保工作;

承担金砖“厦门会晤”网络安保工作;

承担北京“一带一路”国际合作高峰论坛网络安保工作;

承担中国共产党第十九次全国代表大会网络安保工作;

承担第四届世界互联网大会网络安保工作。

2016 年

承担全国两会网络安保工作;

为贵阳大数据与网络安全攻防演练提供技术支持;

承担G20 峰会网络安保工作;

承担第三届世界互联网大会网络安保工作。

2015 年

承担第二届世界互联网大会网络安保工作。

不忘初心、砥砺前行;未来,我们将继续坚守、不懈追求,为国家网络安全事业保驾护航!

本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。

免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。

相关文章

相关热点

查看更多