SCTF-2021 部分WriteUp

SCTF-2021 部分WriteUp
2021-12-30 15:26:35 Author: www.secpulse.com(查看原文) 阅读量:12 收藏

第35名

SCTF

Web

★Loginme

代码审计，伪造X-Real-IP就行了，太简单的代码了没啥必要

★Upload_it

composer.json中，引入了两个模块

我们通过composer install命令来安装这里两个模块

审计源码可以发现，文件上传的路径可控

但是通过测试，只有/tmp/目录有写权限

题目一般不会无缘无故做一些无意义操作，所以猜测composer引入的包是有助于做题的，百度找了下这两个模块作用如下：

symfony/string：操作字符串

参考文档：
https://symfony.com/doc/current/components/string.html

opis/closure：序列化闭包

参考文档：
https://opis.io/closure/3.x/serialize.html

序列化闭包，很容易联想到反序列化，那么我们就尝试找找有没有能触发反序列化的地方吧~

首先我们在index.php中可以看到session操作

然后看phpinfo中session的信息，save_handler为files，serialize_handler为php，save_path为空

猜一下session文件存放路径应该是/tmp/sess_xxxx（默认好像是在这里），结合上面分析的，我们可以上传自定义内容的sess_xxx文件来伪造session信息

由于serialize_handler设置为php，所以session文件格式应该为<元素名>|<元素值的序列化数据>，PHP在取元素值的时候会先对元素值进行反序列化，那么这里就是我们要找的反序列化点了。

我们可以通过构造如下请求来写入自定义的session数据

通过如下请求可以确定，我们上传的session文件确实被引用了（upload_path为我们定义的内容），但是/var/目录我们不可写所以题解没那么简单

根据上面的分析，思路就很清晰了，我们需要构造一个序列化payload，然后上传到/tmp/sess_xxx后，使用我们上传的sessID再上传一次文件达到触发反序列化的效果

根据代码可知，引用$_SESSION["upload_path"]后使用点操作符来拼接字符串，所以如果我们的$_SESSION["upload_path"]是一个对象的话，就会触发__toString()。那么我们就需要找一个有__toString()且__toString()中有类似$this->xxx()这样操作用于触发闭包的类

通过phpstorm的项目内容搜索，我找到了完美符合要求的类=》LazyString

类文件位于刚刚composer安装的地方，vendorsymfonystringLazyString.php

我们进入这个文件，把构造函数改成如下（为啥知道是cat /flag？因为我省略了'ls /' 😋）

再把__toString()首行添加return 'xx';（不然待会序列化对象会出错）

然后在index.php同目录下新建test.php，内容如下：

访问后生成序列化数据

注意图中标记的两个地方，需要填入%00然后选中-》ctrl+shift+u进行URL解码，因为value成员是私有成员

然后使用上面上传的sessID上传任意文件，触发反序列化读flag

Misc

★This_is_A_tree

先序遍历j得到下面字符串

运行结果

Q2hpbmVzZSB0cmFkaXRpb25hbCBjdWx0dXJlIGlzIGJyb2FkIGFuZCBwc**mb3VuZCEgU28gSSBXYW50IEdpdmUgWW91IE15IEZsYWcgQnV0IFlvdSBOZWVkIERlY29kZSBJdC5FbmpveSBUaGUgRmxhZyEhOuW4iCDlhZEg5aSNIOaNnyDlt70g6ZyHIOaZiyDlp6Qg5aSn6L+HIOiuvCDlmazll5Eg6ZyHIOaBkiDoioIg6LGrIA==

base64解密

Chinese traditional culture is broad and profound! So I Want Give You My Flag But You Need Decode It.Enjoy The Flag!!:师 兑 复 损 巽 震 晋 姤 大过 讼 噬嗑 震 恒 节 豫

然后将“师兑复损巽震晋姤大过讼噬嗑震恒节豫”转换

enc= "师兑复损巽震晋姤大过讼噬嗑震恒节豫"
mydisc={'坤': '000000', '剥': '000001', '比': '000010', '观': '000011', '豫': '000100', '晋': '000101', '萃': '000110', '否': '000111', '谦': '001000', '艮': '001001', '蹇': '001010', '渐': '001011', '小过': '001100', '旅': '001101', '咸': '001110', '遁': '001111', '师':'010000', '蒙': '010001', '坎': '010010', '涣': '010011', '解': '010100', '未济': '010101', '困': '010110', '讼': '010111', '升': '011000', '蛊': '011001', '井': '011010', '巽': '011011', '恒': '011100', '鼎': '011101', '大过': '011110', '姤': '011111', '复': '100000', '颐': '100001', '屯': '100010', '益': '100011', '震': '100100', '噬嗑': '100101', '随': '100110', '无妄': '100111', '明夷': '101000', '贲': '101001', '既济': '101010', '家人': '101011', '丰': '101100', '离': '101101', '革': '101110', '同人': '101111', '临': '110000', '损': '110001', '节': '110010', '中孚': '110011', '归妹': '110100', '睽': '110101', '兑': '110110', '履': '110111', '泰': '111000', '大畜': '111001', '需': '111010', '小畜': '111011', '大壮': '111100', '大有': '111101', '夬': '111110', '乾':'111111'}
keys=['坤', '剥', '比', '观', '豫', '晋', '萃', '否', '谦', '艮', '蹇', '渐', '小过', '旅', '咸', '遁', '师', '蒙', '坎', '涣','解', '未济', '困', '讼', '升', '蛊', '井', '巽', '恒', '鼎', '大过', '姤', '复', '颐', '屯', '益', '震', '噬嗑', '随', '无妄', '明夷','贲', '既济', '家人', '丰', '离', '革', '同人', '临', '损', '节', '中孚', '归妹', '睽', '兑', '履', '泰', '大畜', '需', '小畜', '大壮' , '大有', '夬', '乾']
def decrypt():
   global mingwen   
   mingwen=enc   
   for each in keys:    
      mingwen=mingwen.replace(each,mydisc[each])   
   print(mingwen)
if __name__ == '__main__': 
  decrypt()

字符转换成二进制得到

010000110110100000110001011011100100000101011111011110010111100101100100011100110010000100

然后解码二进制

Ch1nA_yyds!

★fumo_xor_cli

nc进去按住回车有链接，访问进去是微信的专访，底部照片可以发现有一些点，但不是缩略图，ps观察坐标发现是间隔9个位置

写脚本提取就行了

题目叫做xor cli，nc进去后会有彩色段，那就是把彩色的空间内容跟图片提出来的彩**块进行xor就好了，这里的话懒得贴图了，你们也看得懂（主要是图片删了

彩色代码这里直接这样提取 nc ip port > 123

然后把非彩色内容手工删掉就ok了

撰写脚本

from PIL import Image
pic = Image.open('TpMSkq.png')
f = open('aaaaa','r').readlines()
for i in range(len(f)):
f[i] = f[i].split('[')
for j in range(1, len(f[i])):
f[i][j] = f[i][j].split(';')
w,h = pic.size
img = Image.new('RGB',(100,134),(255,255,255))
k = 1
b = 1
time=0
img2 = Image.new('RGB',(100,134),(0,0,0))
for i in range(100):
for j in range(1,134):
tmp = pic.getpixel((b,k))
#print((tmp[0]^int(f[i][j][2]),tmp[1]^int(f[i][j][3]),tmp[3]^int(f[i][j][4][:-3])))#img.putpixel((i,j-1),tmp)
#img2.putpixel((i,j-1),((int(f[i][j][2]),int(f[i][j][3]),int(f[i][j][4][:-3]))))
#print((int(f[i][j][2]),int(f[i][j][3]),int(f[i][j][4][:-3])))
img.putpixel((i,j-1),(tmp[0]^int(f[i][j][2]),tmp[1]^int(f[i][j][3]),tmp[2]^int(f[i][j][4][:-3])))
#pic.putpixel((i,j-1),(int(f[i][j][2]),int(f[i][j][3]),int(f[i][j][4][:-3])))
if(k<=1200):
k+=9
else:
breakif(b<=w):
b+=9
k=1
else:
break    
time+=1
if time == 10:
exit
img.show()
#img2.show()
#img.save('1.png')
print(w,h)

最后就能看见了