请选择 进入手机版 | 继续访问电脑版

网赚论坛之家

 找回密码
 立即注册
查看: 160|回复: 0

DC0531CTF在线比拼,详细Writeup看这里!

[复制链接]
发表于 2018-9-15 05:29:44 | 显示全部楼层 |阅读模式
  6 月 23 日,DC0531 在泉城济南顺利举办,来自各个安全领域的大牛们给大家带来了一场炫酷的技术视听盛宴!大会举办期间,还开展了线上CTF比赛,供网络安全人员进行现场技术比拼。
  本期“安仔课堂”,ISEC实验室的王老师,将为大家记录本次比赛的解题思路及方法。
  Web1
  首先关注一下比赛方的公众号,按照题目制定的battle ground的规则开始玩,先了解该公众号提供的所有功能。有两种解题方法,一种是抓取流量包,一种是命令执行。
  方法一

  图1
  先看一下有哪些武器,选择一个捡起,载入武器,向你的VPS射击,就可以获取到题目的IP。在射击之前,用tcpdump -nn -i eth0 icmp -w dc0531.cap先在你的VPS上抓包。

  图2
  这题存在git泄露,先把源代码扒下来:

  图3
  这里只解释代码的关键部分,关键代码路径在: Application/Home/Controller/TestController.class.php。
  先看P方法,改方法主要是用于将$weapon文件的内容base64 加密后前 100 个字符存放在$this->info[bullet]中,用在下面的s方法,代码如下:

  图4
  再看r方法,该方法用于初始化$this->info[status] = 100,经过初始化之后才能利用s方法。s方法就是携带上面base64 加密后的$weapon文件的内容前 100 个字符,去ping目标主机,也就是微信公众号中的shot功能,ping命令的-p 选项可以设置icmp报文数据部分的内容。这里要注意下面代码中16、 17 行,$this->info[status] -1 为99,相应$bullet = $this->info[bullet][100-99];即从$this->info[bullet][1]开始,漏掉了$this->info[bullet][0],所以我们最后获取的内容在开头要加上一个字符。

  图5
  明白了以上三个方法,我们就知道如何利用漏洞获取flag了。首先我们要把flag文件装入$weapon,然后一直shot我们的VPS,具体利用如下:

  图6
  VPS上用tcpdump抓包,提取内容为:D9waHAKJGZsYWcgPSAiREMwNTMxe1dlY2hBdF9Jc19Tb19DMG9sfSI7Cg== ,在开头随便加上一个字母,这里我加P,解出来如下:

  图7
  方法二
  下面说另外一个解法,就是通过命令执行的方式获得flag。其实一开始我发现方法u中存在命令执行,但是看了前面的代码,发现没有调用到该函数,就暂时忽略了。后来想到这是ThinkPHP的程序,Thinkphp是可以通过路由方式调用方法的,方法u的代码如下:

  图8
  下面就说说如何利用这个命令执行漏洞。首先在我们的VPS上留下python反弹shell脚本,然后根据Thinkphp3.2. 3 的路由规则,分别访问一下两个链接,当然你要在你的VPS上提前侦听某个端口,链接如下:

  图9

  图10
  Web2

  图11
  这道题目可以本地搭环境复现,题目使用的是Metinfo6.0.0,上网搜索该版本cms漏洞,可以看到《Metinfo 6.0.0 任意文件读取漏洞》的漏洞分析,题目刚好也是考察这个漏洞,只是题目环境用的是最新版的Metinfo6.0.0,与该博客上的版本代码略有差别,不过还是能绕过,具体分析可以看那篇文章,这里不赘述,直接给出利用方式。

  图12
  Web3

  图13
  python沙箱逃逸,遇到空格和某些关键字就会直接断开,直接read也会断开,payload如下:

  图14

  图15
  Web4

  图16
  用dirb扫描发现存在git泄露,用Githack将泄露的文件扒下来,flag.php中即可找到flag。

  图17

  图18
  这题是一个经典的配置文件写入问题,实际考察内容可参考《 CTF_web/web200-7 》)
  安胜作为国内领先的网络安全类产品及服务提供商,秉承“创新为安,服务致胜”的经营理念,专注于网络安全类产品的生产与服务;以“研发+服务+销售”的经营模式,“装备+平台+服务”的产品体系,在技术研究、研发创新、产品化等方面已形成一套完整的流程化体系,为广大用户提供量体裁衣的综合解决方案!
  我们拥有独立的技术及产品的预研基地—ISEC实验室,专注于网络安全前沿技术研究,提供网络安全培训、应急响应、安全检测等服务。此外,实验室打造独家资讯交流分享平台—“ISEC安全e站”,提供原创技术文章、网络安全信息资讯、实时热点独家解析等。
  2018 年
  承担全国两会网络安保工作;
  承担青岛上合峰会网络安保工作。
  2017 年
  承担全国两会网络安保工作;
  承担金砖“厦门会晤”网络安保工作;
  承担北京“一带一路”国际合作高峰论坛网络安保工作;
  承担中国共产党第十九次全国代表大会网络安保工作;
  承担第四届世界互联网大会网络安保工作。
  2016 年
  承担全国两会网络安保工作;
  为贵阳大数据与网络安全攻防演练提供技术支持;
  承担G20 峰会网络安保工作;
  承担第三届世界互联网大会网络安保工作。
  2015 年
  承担第二届世界互联网大会网络安保工作。
  不忘初心、砥砺前行;未来,我们将继续坚守、不懈追求,为国家网络安全事业保驾护航!
  本文由站长之家用户投稿,未经站长之家同意,严禁转载。如广大用户朋友,发现稿件存在不实报道,欢迎读者反馈、纠正、举报问题(反馈入口)。
  免责声明:本文为用户投稿的文章,站长之家发布此文仅为传递信息,不代表站长之家赞同其观点,不对对内容真实性负责,仅供用户参考之用,不构成任何投资、使用建议。请读者自行核实真实性,以及可能存在的风险,任何后果均由读者自行承担。


您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

关闭

站长推荐上一条 /1 下一条

QQ|Archiver|手机版|小黑屋|网赚论坛之家 ( 粤ICP备14005148号-1 )

GMT+8, 2018-11-16 13:08

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表