CTF学习交流群第二期入群题writeup 除夕大放送

值此新春佳节，献上第二期入群题的writeup，并暂时关闭入群题，第三期题目大概在年后上线，敬请期待。

Web：

访问网址后发现是LinE表哥搭建的博客，有2篇文章，一篇是被密码保护的《我的常用密码》，另一篇是《在Debian下安装SS》。博客是用wordpress搭建的，（由于这题是去年就制作的，暂时不考虑CVE-2018-6389等）

就先按照LinE表哥所给的套路，从安装SS这文去入手

文章里的这些已经写得很明白了，自己打开SS，按照配置里来填写

这里记得加密选项是选择“aes-128-cfb”，这里的密码其实也是有意思的（下文会提及到）

连接成功后，也相当于跟内网有联系，

在windows里安装个Proxifier软件（Proxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。）

“配置文件”“代理服务器”，添加SS的本地代理端口

在这里首先想要攻破的是数据库，（LinE表哥说在linux里挂SS全局代理后再进行端口扫描可以扫到3306端口，由于我只在windows里操作，这里就不复现了）

“配置文件”“代理规则”“添加”，把“Navicatfor Mysql”给设置代理

这样Navicat就可以访问内网里的数据库

这里有这题最大的一个坑点，ip不能写127.0.0.1，因为会被SS给拒绝

而得写0.0.0.0

0.0.0.0可以代表本机上所有IP地址

另外这题的账号和密码都是wordpress，这考验的是弱口令

（LinE表哥说可以在linux环境下，用ProxyChains代理Hydra去爆破）

有flag、wordpress数据库

（这里抱歉的说一句，之前有段时间服务器状态不佳，导致数据库连接很慢）

有两行数据，右键复制出来，发现都是16进制，并且有换行。只要去掉\r\n并.decode('hex')写入文件即可

第一个文件是GBK编码，内容为：

mmp刚才复制密码的时候没注意，结果隐写加密了文件不知道密码是什么了。。。。 看来我得弄一个能保存剪贴板历史的软件了

第二个文件是一个7z文件，但是加了密。

加了密该怎么办？回想一下之前还有一篇被加密的文章没打开，我们尝试从数据库来找出其密码

在wordpress数据库的wp_posts表我们找到密码，填入文章里顺利看到内容。

内容是LinE表哥自定义的加密规则

这里不难看出之前SS和文章的密码都是根据这个规则来计算得到的，只要按照规则计算下7z的密码即可得到7b363cd94672963dcb91ee9bc6ec3fdb

解密后得到2个mp3

第2首是유령（幽灵，一部韩剧）的主题曲

而把第1首放到winhex里查看，在BBB00发现hades.png字样

是一张H标志的图片，这个hades标志也是跟韩剧《幽灵》有关。

综上所述，我们从《幽灵》入手，看看里面涉及了什么软件，参考

http://www.freebuf.com/articles/database/99504.html

里面使用了openstego隐写工具，下载地址：https://github.com/syvaidya/openstego/releases

（请使用高于0.7的版本，也需要jdk1.8的环境）

这里把之前那个hade.png作为输入，然后密码输入之前SS的密码（LinE表哥原意是让大家拿第一篇文章里的密码都去试试看）

“Extract Data”后就得到flag.txt

ps.本题源码也开源了：

https://github.com/pcat007/web_test/tree/master/line_ss

PWN：

附件下载：https://pan.baidu.com/s/1eSLE0kq

以下是群成员天河的分析：

拿到手先file一下查看文件相关64位的

检查一下保护只开了NX

检查一下四个函数发现删除功能只会把最后一个指针指向空

因此可以通过堆溢出进行覆盖

只要覆盖相应位置最后就可以泄露地址执行其他函数。

先观察一下show函数

是调用从601DC0这个位置前八个字节所存的地址指向的函数使用的是地址所指向的数据完成输出

只要覆盖数据即可完成libc_start_main地址的泄露

通过覆盖改变第四个参数的值就可以泄露对应地址

接着确定对应的libc的坂本（libc6_2.23-0ubuntu3_amd64）

即可利用libc里的函数

然后调用libc里的

这个部分即可拿到shell

分享下群成员poyoten的payload：

欢迎各位讨论。

（ps：这群跟chamd5没关系的哦~）