赛博地球杯初赛第三名,ChaMd5安全团队的writeup

WEB大量设备报表不见了(签道题)

访问index.php会被跳转到index.php?id=1而且还有写送分题,尝试很多后,发现是考验爆破,上burpsuite爆破即可,最后在index.php?id=2333页面找到flag

请关注工控云管理系统的警告记录

访问index.php看到getflag.php进去后是代码审计

这题类似于hitcon2017的题目,参考以下writeup:

https://lorexxar.cn/2017/11/10/hitcon2017-writeup/

这题关于要先得到自己外网ip,以及计算出md5值,于是我在自己的vps上建立php文件:

然后在getflag.php页面分别提交下面链接。这里一个坑是hitcon是按字母排序

前3个会分别在对应的目录下生成文件,而*会解析为当前目录下所有文件,/v*用来指代/var

整个效果就变成了tar vcf x /v*

把/var都打包到x,然后下载tar包,很大- -,解压后找flag.php

工控云管理系统项目管理页面解析漏洞

访问index.php,有view-source

绕过很简单

然后

这里可以写入文件,试了下得上级目录,例如con=1.txt&file=../1.txt

然后关键是绕过后缀的过滤,本来想尝试,但意外的发现了uploaded/有列目录漏洞

翻了一些,看到wfox.php,试了wfox、wf等密码,幸运的顺利上车

工控云管理系统设备维护中心被植入后门

访问/index.php?page=index发现存在文件包含漏洞

读取到index.php源码

关键点:xff、pre_replace可以/e模式

最后payload:

工控云管理系统客服中心期待您的反馈

在上传界面折腾了好久,后来试试/includes/uploaded目录(uploaded这个文件夹前面有一个web题也是同样的目录),大有收获

前人种树,后人乘凉。

后面刷新发现是白页,再刷新几次又列目录,反复几次都这样。

后面我猜到了,对比前后2次结果,我猜测后台有脚本在删除带后缀的文件(估计为了防止getshell),包括index.html/index.php,然后删除后再从备份里复原。但是这样就有短暂的时间内因为缺少index而导致列目录漏洞。

工控管理系统新版本

在findpwd.php存在sql注入

抓包:

使用sqlmap

这个md5值暂时解不开,很大程度是带了盐。

后来发现可以自己注册同名账号,再登录下就可以进去拿到flag。

工控系统的敏感消息遭泄漏

存在.git泄露,使用GitHack即可还原代码

就一个常见的php反序列化漏洞,参考

php反序列化漏洞绕过魔术方法

https://www.cnblogs.com/Mrsm1th/p/6835592.html

当成员属性数目大于实际数目时可绕过wakeup方法(CVE-2016-7124)

最后的payload:

SDNSDN本地提权(LPE)

尝试了几个提权的exp均无果,遂从SUID下手

查找具有SUID权限位的程序,发现/usr/sbin/unsquashfs这个程序具有SUID权限位

于是构造一个squashfs格式的文件包,目录结构如下

其中的passwd是sdn1服务器上的/etc/passwd文件,在末尾加入了

一个新的用户line,密码哈希也是自己生成的,UID GID均为(root:root)

然后打包得到squashfs格式的文件(exp)

把exp这个文件scp到服务器上,然后解包到/,即可覆盖掉/etc/passwd

然后su line,输入密码即可以line这个账户登录,而此时line这个账户的UID为,即提权成功。在/home/admin下找到flag

MISC文件分析

一个word,分析得头疼,试了各种隐写,也就得到

之后认真在winhex里观看

有photoshop和jpx字样,发现是用photoshop对png转换为jpx,于是我自己用photoshop打开随便一个png,另存为jpx后缀,然后对比文件头,去修复原来word里面的jpx的头部并分离出来

是一个SmarNC的截图

于是我下载了SmarNC,并按照左边的程序去绘制,可惜不全。

另外这时候,我也参悟了the flag is (3ijnhygvfr)H

是键盘密码

勾画出了一个w

另外刀路图:

3w的来源:

一个是键盘图

一个是第一层刀路

一个是第二层刀路

H的意思是HEX

我们提交过www和WWW的原值、hex值,也尝试过不少提交,最后发现是3w的hex值3377

(满脸想吐槽)

另外,我们本来设想是以下脑洞:

用点脑洞的话,这不是就键盘!!!

于是把10个镶嵌孔和圆点对应到键位。

可惜我们尝试各种提交不对。

REVERSE工控固件逆向

这个就是vxworks早版本os带的操作系统用户密码hash的算法再修改了一点点数字,但这几个个版本的os这个算法有大概率的碰撞漏洞,所以这题存在多解。

参考链接:

施耐德PLC以太网模块固件后门引发的血案(二)

http://chuansong.me/n/1864343

程序如下:

运行后得到:

由于多解,询问了出题人,出题人认可我们的123kg}I0正确。

PLC时钟误差

脚本代码如下:

以下是自己写的软件,来发送包

PWNHMI流水灯运行

栈溢出:

脚本如下:

黑客游戏

栈溢出

mmap hero的状态文件。可以以同名进行多次链接,修改血量值等

脚本如下:

实时数据监测

格式化漏洞

脚本如下:

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180121G0OJSP00?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券