2022年全国大学生信息安全竞赛创新实践能力赛 —— 复赛WriteUp

已更新官方WriteUP 代码浏览 - 20220619-National - CTF赛事文件合集 - GamerNoTitle的团队 (coding.net)

Break部分#

（好的，啥也不会）

Web#

Try2ReadFlag#

小明创建了一个测试站点，但是这个站点有什么用呢？

打开来是个网页，我没看出啥，不过我们队里搞Web的那位说是CSRF跨站攻击

joomla#

建站勿用弱口令！

这个是个CMS框架，整不出，提示写着建站勿用弱口令！，但是我没爆破出来……

（忘记截图了）

EzRome#

经过上次的战“疫”，你们已经对rome很了解了，现在他又带着新的waf卷土重来了。

这是一个WAF下的题目，还是不会嗯

EzLogin#

登陆成功就有flag哟~

一开始以为是弱口令，等到进了fix环节才发现我好像忘记了robots.txt也可以访问，可以大致看到路径下有什么文件，fix环节在讲这个

PWN#

小明的加密器#

小明写了一个字符串加密器，但不知道效果如何，大家来测一测吧！

nc进去后是一个加密器，但是没整出来

weirdheap#

A Little Weird

nc进去是一个程序，是一个建楼的背景

1
1. Build up
2
2. visit big house
3
3. construct
4
4. tear down
5
Ur choice:

chats_store#

为什么我的og不能getshell啊？

nc进去是一个聊天备份程序，但是没整出来

1
+================================+
2
+ Emergency Chats Backup Program +
3
+============hope there's no vuln+
4
+1.store chats
5
+2.delete chats
6
+3.exit

printf_hhh#

格式化字符串，hhh

nc进去是一个字符串的格式化软件，如果选择1会出来一串字符（忘记截图了），2的话就是打啥显示啥（echo服务）

REVERSE#

ob#

ob而已!

这个用ida逆向一下，出来的是个JavaScript语言的内容

1
function _0x15f8(_0x1cdd90, _0x29a14a) {
2
  var _0x55fe3f = _0x55fe();
3
  return (
4
    (_0x15f8 = function (_0x15f885, _0x2046fc) {
5
      _0x15f885 = _0x15f885 - 0x139;
6
      var _0x273cae = _0x55fe3f[_0x15f885];
7
      return _0x273cae;
8
    }),
9
    _0x15f8(_0x1cdd90, _0x29a14a)
10
  );
11
}
12
function _0x55fe() {
13
  var _0x47407e = [
14
    "1434380GTSaRX",
15
    "split",
16
    "sZuqf",
17
    "toString",
18
    "6092LqZrwr",
19
    "charCodeAt",
20
    "2298DprXBL",
21
    "6108172ZkGjDt",
22
    "1326TZBtUd",
23
    "cdcMv",
24
    "length",
25
    "DASCTF{********************************}",
26
    "log",
27
    "8xppuAQ",
28
    "reverse",
29
    "LHAkM",
30
    "3528396BuNtWV",
31
    "gOHVz",
32
    "5507440MXfrBq",
33
    "esJvd",
34
    "BZTwo",
35
    "6940hAoqHl",
36
    "1815832yyeHHB",
37
  ];
38
  _0x55fe = function () {
39
    return _0x47407e;
40
  };
41
  return _0x55fe();
42
}
43
(function (_0x1df8a4, _0x20dfb3) {
44
  var _0x67a2d4 = _0x15f8,
45
    _0xcc66c3 = _0x1df8a4();
46
  while (!![]) {
47
    try {
48
      var _0x23a480 =
49
        -parseInt(_0x67a2d4(0x13c)) / 0x1 +
50
        (parseInt(_0x67a2d4(0x140)) / 0x2) *
51
          (parseInt(_0x67a2d4(0x144)) / 0x3) +
52
        parseInt(_0x67a2d4(0x13b)) / 0x4 +
53
        (parseInt(_0x67a2d4(0x13a)) / 0x5) *
54
          (-parseInt(_0x67a2d4(0x142)) / 0x6) +
55
        parseInt(_0x67a2d4(0x143)) / 0x7 +
56
        (parseInt(_0x67a2d4(0x149)) / 0x8) *
57
          (-parseInt(_0x67a2d4(0x14c)) / 0x9) +
58
        parseInt(_0x67a2d4(0x14e)) / 0xa;
59
      if (_0x23a480 === _0x20dfb3) break;
60
      else _0xcc66c3["push"](_0xcc66c3["shift"]());
61
    } catch (_0x55dcb3) {
62
      _0xcc66c3["push"](_0xcc66c3["shift"]());
63
    }
64
  }
65
})(_0x55fe, 0xd3542),
66
  (function () {
67
    var _0x36c6ff = _0x15f8,
68
      _0x40f7fb = {
69
        LHAkM: "2|3|5|1|0|4",
70
        esJvd: _0x36c6ff(0x147),
71
        BZTwo: function (_0x1d1e01, _0x12cacf) {
72
          return _0x1d1e01 == _0x12cacf;
73
        },
74
        sZuqf: "congratulations!!",
75
        cdcMv: function (_0x249d98, _0x2b4e20) {
76
          return _0x249d98 < _0x2b4e20;
77
        },
78
        gOHVz: function (_0x14fc1c, _0x1ae2a0) {
79
          return _0x14fc1c ^ _0x1ae2a0;
80
        },
81
      },
82
      _0x344178 = _0x40f7fb[_0x36c6ff(0x14b)][_0x36c6ff(0x13d)]("|"),
83
      _0x5c293c = 0x0;
84
    while (!![]) {
85
      switch (_0x344178[_0x5c293c++]) {
86
        case "0":
87
          console[_0x36c6ff(0x148)](encc);
88
          continue;
89
        case "1":
90
          encc = _0x27361d[_0x36c6ff(0x14a)]();
91
          continue;
92
        case "2":
93
          var _0x50fdde = _0x40f7fb[_0x36c6ff(0x14f)];
94
          continue;
95
        case "3":
96
          var _0x27361d = new Array();
97
          continue;
98
        case "4":
99
          _0x40f7fb[_0x36c6ff(0x139)](
100
            encc[_0x36c6ff(0x13f)](),
101
            [
102
              0x5a, 0x47, 0x12, 0x17, 0x40, 0x14, 0x43, 0x45, 0x2b, 0x2c, 0x29,
103
              0x29, 0x7d, 0x2b, 0x7d, 0x29, 0x74, 0x75, 0x20, 0x77, 0x20, 0x2b,
104
              0x75, 0x27, 0x6b, 0x38, 0x38, 0x3c, 0x6f, 0x3e, 0x3d, 0x3e, 0x3f,
105
              0x7d, 0x43, 0x50, 0x40, 0x51, 0x40, 0x44,
106
            ][_0x36c6ff(0x13f)]()
107
          ) && console["log"](_0x40f7fb[_0x36c6ff(0x13e)]);
108
          debugger
109
          continue;
110
        case "5":
111
          for (
112
            i = 0x0;
113
            _0x40f7fb[_0x36c6ff(0x145)](i, _0x50fdde[_0x36c6ff(0x146)]);
114
            i++
115
          ) {
116
            _0x27361d[i] = _0x40f7fb[_0x36c6ff(0x14d)](
117
              _0x50fdde[i][_0x36c6ff(0x141)](),
118
              i
119
            );
120
          }
121
            continue;
122
      }
123
      break;
124
    }
125
  })();

奈何我不会这玩意，只能硬着头皮看，没弄出来（主要是最后半小时干的这个题，没时间了），就不弄了

MISC#

logbool#

一道wireshark流量分析题，下载下来附件以后发现大部分的请求都是跟http和mysql请求有关的，搞了一个半钟搞不出来，登录的password一直在变，而且mysql没返回什么有用的结果

Ste9ano9raphy 6inary#

~支付宝到账~

诶不是我说996在Phigros里面不放过我在CTF里面还要来一次嘛

下载下来是一个压缩包，里面有个996.png和一个996.wav (@Phigros)，其中音频文件是上了密码的，只能下来一个图

文件名（）把996补全一下是两个单词，翻译下来是这样的

图片binwalk一下也出不来啥，去看LSB也没看出啥，WinHex里面看看也没有什么有价值的东西，奋斗了大概半小时到一个小时，搞不出来就没干了

题目中的996

Phigros的996

Crypto#

Blind_Signature_RSA#

题目中的r是什么呢？先去学学rsa盲签名吧。

这题我还跟着去学了一下RSA盲签名是怎么整的（大概就是下面这个图的这样）

但是给出的Python脚本里面真的让我不太知道到底要求什么，而且这个invert()求逆元的函数经常给我ZeroDevisionError（心态炸裂），弄了一会整不出来就算了（这个d上面的while循环是我自己加的）

1
from gmpy2 import invert
2
from Crypto.Util.number import *
3

4

5
flag = b"DASCTF{xxxxx}"
6
m = flag.decode().encode('gbk')
7
e = 65535       # 公钥
8
p = getPrime(1024)
9
q = getPrime(1024)
10
n = p*q         # 公钥
11
print(f'公钥 n = {n}')
12
# d = invert(e, (p-1)*(q-1))
13
while True:
14
    try:
15
        d = invert(e, (p-1)*(q-1))
16
        break
17
    except ZeroDivisionError:
18
        pass
19
print(f'私钥 d = {d}')
20
r = getPrime(20)  # r为盲因子

Fix部分#

PWN#

因为PWN都不知道咋整，所以PWN直接果断放弃

Web#

Try2ReadFlag-fix#

我在上面也说了，这个我队里的人说是跨站攻击，所以我就去看了一下是咋整的

我看他做的时候是后面加了/?id=file:///<file>这样的语句，所以我就在想是不是可以对协议头做出限制

在index.php里面的底下很明显有有关的内容

1
<!DOCTYPE html>
2
<html lang="en">
3
<head>
4
  <meta charset="UTF-8">
5
  <title>index</title>
6

7
  <!-- CSS -->
8
  <link rel="stylesheet" href="assets/css/bootstrap.css">
9
  <link rel="stylesheet" href="assets/css/bootstrap-theme.min.css">
10
  <link rel="stylesheet" href="assets/css/bootstrap-theme.css">
11
  <link rel="stylesheet" href="assets/css/bootstrap.min.css">
12

13
  <link rel="stylesheet" href="assets/js/bootstrap.js">
14
  <link rel="stylesheet" href="assets/js/npm.js">
15

16

17
</head>
18

19
<body>
20

21
<div class="container">
22
  <div class="row clearfix">
23
    <div class="col-md-12 column">
24
      <nav class="navbar navbar-default" role="navigation">
25
        <div class="navbar-header">
26
          <button type="button" class="navbar-toggle" data-toggle="collapse" data-target="#bs-example-navbar-collapse-1"> <span class="sr-only">Toggle navigation</span><span class="icon-bar"></span><span class="icon-bar"></span><span class="icon-bar"></span></button> <a class="navbar-brand" href="#">Brand</a>
27
        </div>
28

29
        <div class="collapse navbar-collapse" id="bs-example-navbar-collapse-1">
30
          <ul class="nav navbar-nav">
31
            <li class="active">
32
              <a href="#">Link</a>
33
            </li>
34
            <li>
35
              <a href="#">Link</a>
36
            </li>
37
            <li class="dropdown">
38
              <a href="#" class="dropdown-toggle" data-toggle="dropdown">Dropdown<strong class="caret"></strong></a>
39
              <ul class="dropdown-menu">
40
                <li>
41
                  <a href="#">Action</a>
42
                </li>
43
                <li>
44
                  <a href="#">Another action</a>
45
                </li>
46
                <li>
47
                  <a href="#">Something else here</a>
48
                </li>
49
                <li class="divider">
50
                </li>
51
                <li>
52
                  <a href="#">Separated link</a>
53
                </li>
54
                <li class="divider">
55
                </li>
56
                <li>
57
                  <a href="#">One more separated link</a>
58
                </li>
59
              </ul>
60
            </li>
61
          </ul>
62
          <form class="navbar-form navbar-left" role="search">
63
            <div class="form-group">
64
              <input type="text" class="form-control" />
65
            </div> <button type="submit" class="btn btn-default">Submit</button>
66
          </form>
67
          <ul class="nav navbar-nav navbar-right">
68
            <li>
69
              <a href="#">Link</a>
70
            </li>
71
            <li class="dropdown">
72
              <a href="#" class="dropdown-toggle" data-toggle="dropdown">Dropdown<strong class="caret"></strong></a>
73
              <ul class="dropdown-menu">
74
                <li>
75
                  <a href="#">Action</a>
76
                </li>
77
                <li>
78
                  <a href="#">Another action</a>
79
                </li>
80
                <li>
81
                  <a href="#">Something else here</a>
82
                </li>
83
                <li class="divider">
84
                </li>
85
                <li>
86
                  <a href="#">Separated link</a>
87
                </li>
88
              </ul>
89
            </li>
90
          </ul>
91
        </div>
92

93
      </nav>
94
      <div class="jumbotron">
95
        <h1>
96
          Hello, Ctfer!
97
        </h1>
98
      </div>
99
    </div>
100
  </div>
101
  <div class="row clearfix">
102
    <div class="col-md-4 column">
103
      <h2>
104
        Page1
105
      </h2>
106

107
      <p>
108
        <a class="btn" href="index.php?url=http://127.0.0.1/1.html">View details »</a>
109
      </p>
110
    </div>
111
    <div class="col-md-4 column">
112
      <h2>
113
        Page2
114
      </h2>
115

116
      <p>
117
        <a class="btn" href="index.php?url=http://127.0.0.1/2.html">View details »</a>
118
      </p>
119
    </div>
120
    <div class="col-md-4 column">
121
      <h2>
122
        Page3
123
      </h2>
124

125
      <p>
126
        <a class="btn" href="index.php?url=http://127.0.0.1/3.html">View details »</a>
127
      </p>
128
    </div>
129
  </div>
130
</div>
131

132
</body>
133
</html>
134

135
<?php
136
error_reporting(0);
137
$url = $_GET['url'];
138
$input = explode(":", $url)[0];
139
if ($input == "http" or $input == "file"){
140
  $ch = curl_init();
141
  curl_setopt($ch, CURLOPT_URL, $url);
142
  curl_setopt($ch, CURLOPT_HEADER, 0);
143
  curl_exec($ch);
144
  curl_close($ch);
145
}
146

147
?>

Fix方法：直接把后面的file有关的删了就好了

1
<?php
2
error_reporting(0);
3
$url = $_GET['url'];
4
$input = explode(":", $url)[0];
5
if ($input == "http"){
6
  $ch = curl_init();
7
  curl_setopt($ch, CURLOPT_URL, $url);
8
  curl_setopt($ch, CURLOPT_HEADER, 0);
9
  curl_exec($ch);
10
  curl_close($ch);
11
}
12

13
?>

上传修改后的php文件，等待Check，100分到手！

EzLogin-fix#

这个就是我上面说拿到文件看到robots.txt才发现还有这一招的那一题，在这个网页上面不管输什么账号密码都会弹出只有本地管理员才能够登录，在文件里面有一句提示

// 光改密码不会好的：）建议你去修修 SQL 注入，和另外一个文件里的那个漏洞

所以考点至少有个SQL注入，在网上浏览的时候发现在mysql执行指令的时候，有#的话后面的东西会被当成注释，所以sql注入的修复方法之一就是检测到#的出现就直接给它die一下（队里的人说单引号也是一个重要的点所以我也对单引号进行了校验）

1
<html>
2
<head>
3
<meta charset="utf-8">
4
<title>ezlogin</title>
5
</head>
6
<body>
7
<form action="" method="post">
8
username <input type="text" name="username"><br>
9
password <input type="password" name="password">
10
<input type="submit" value="submit">
11
</form>
12

13
<?php
14
error_reporting(0);
15
if(isset($_POST['username']) && isset($_POST['password'])) {
16
 // 来自 glzjin 的温馨提示：only_check 请不要删，不然 check 会不通过的嗷:)
17
 if($_SERVER['REMOTE_ADDR'] !== "127.0.0.1" && $_GET['only_check'] !== "nifuerhfueritfhgeyg4rh3333"){
18
 die("只有本地管理员才能登陆！");
19
}
20
    $username = trim($_POST['username']);
21
    $password = trim($_POST['password']);
22
    if(preg_match("/union|'|\"|>|=|<|sleep| |\^|case|like|sleep/i",$username)){
23
            die("?????");
24
        }
25
    if(preg_match("/union|'|\"|>|=|<|sleep| |\^|case|like|sleep/i",$password)){
26
            die("?????");
27
        }
28

29
    $dbhost = '127.0.0.1';
30
    $dbuser = 'ctfer';
31
    $dbpass = 'efrsyu578h7845g67';
32
    $conn = mysqli_connect($dbhost, $dbuser, $dbpass, 'babysql');
33
    if(! $conn )
34
    {
35
        die('database connection failed: ' . mysqli_error($conn));
36
    }
37

38
    $sql = "SELECT * from users where username='$username' and password='$password'";
39
    if (strstr($sql, '#') or strstr($sql, '\''))  # 这里就是我加上的
40
    {
41
        die("?????");
42
    }
43
    else{
44
        $retval = mysqli_query( $conn, $sql );
45
    }
46

47

48
  // 光改密码不会好的：）建议你去修修 SQL 注入，和另外一个文件里的那个漏洞
49
    if($retval->num_rows > 0){
50
   $row = $retval->fetch_row();
51
   if($row[1] === "b641c90e-459e-4670-a3a9-671f2453400b") {
52
    die('login successful! this is you flag!  '.file_get_contents('/flllllaaaaaaggggg'));
53
   }
54
  }
55

56
    mysqli_close($conn);
57
}

然后打开另一个y0u_nev3r_gue5s_1t.php文件

1
<?php
2
error_reporting(0);
3
highlight_file(__FILE__);
4
$url = $_POST['url'];
5
if(preg_match("/file|dict/i",$url)){
6
die("?????");
7
}
8
if($url){
9
$ch = curl_init();
10
curl_setopt($ch, CURLOPT_URL, $url);
11
curl_setopt($ch, CURLOPT_HEADER, 0);
12
curl_exec($ch);
13
curl_close($ch);
14
}
15
?>

打开就看到了熟悉的curl命令，我就在想应该是这里的问题，然后就在if里面加了条件，改成了下面这样

1
if($url and preg_match("/http:\/\//i",$url) and !strstr($url, '&&') and !strstr($url, '|')){
2
$ch = curl_init();
3
curl_setopt($ch, CURLOPT_URL, $url);
4
curl_setopt($ch, CURLOPT_HEADER, 0);
5
curl_exec($ch);
6
curl_close($ch);
7
}
8
?>

改完啦！上传，等待check，然后发现check没通过（三轮都是）

joomla-fix#

这是一个CMS框架，在群里，管理员提醒了一句：

WEB-Joomla 提示2：别直接把文件上传功能干掉，管理员还要用的，所以或许你需要对文件上传功能点加固一下：）

所以应该是文件管理一类的考点，奈何没时间而且技术力不足，搞不定

EzRome#

下载下来是个jar文件，奈何不住我不会Java啊

总结#

第一年嘛，积累经验啦；隔壁队伍一个都没做出来，我至少fix还做出来了一个，稳坐三等奖啦！

明年继续