正文

创安实验室专栏丨2023年四川网信人才技能大赛(网络安全管理员赛项)决赛解题报告(Writeup)

admin
admin V管理员 /0 评论 /121 阅读
1215
此篇文章发布距今已超过279天,您需要注意文章的内容或图片是否可用!


  • Crypto

    • 比base64少的base

    • affine

    • 简单的RSA

  • Misc

    • 不要动我的flag

    • SimpleUSB

    • 猜猜我是谁

    • 不聪明的AI

  • Pwn

    • getitez

  • Reverse

    • 谁的DNA动了

    • Don't Touch Me

  • Web

    • little_game

    • justppb

    • ezbbs

    • smart


Crypto

比base64少的base

base58

>>> import base58
>>> base58.b58decode('2i9Q8AtDZiEsSn13rF6xchPe1EaiU5u7qKbEd2HDH5jS7N4UfiL3DwFsBa')
b'flag{2a098f9f-d384-b6d0-4096-9eaf0f5654a3}'

affine

仿射密码,ab已知

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7

简单的RSA

分解

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023

所以n近似等于

r**10 - r**8 + 2*r**7 - 3*r**6 + 4050*r**5 - 3*r**4 + 2*r**3 - r**2 + 4092529==n

z3求解出r,进而得到pq ,然后进行常规的解密

n = 25066797992811602609904442429968244207814135173233823574561146780193277243588729282392464721760638040595480284865294238118778099149754637586361909432730412493061503054820202744474632665791457

r = Real('r')
s = Solver()
s.add(r**10 - r**8 + 2*r**7 - 3*r**6 + 4050*r**5 - 3*r**4 + 2*r**3 - r**2 + 4092529==n)
print(s.check())
print(s.model())
[r = -10962507061290870331]
from Crypto.Util.number import *
# from secret import flag
from sympy import nextprime

flag=b''

r = 10962507061290870331
p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
p =nextprime(p)
q =nextprime(q)
n = p*q
d = inverse_mod(65537,(p-1)*(q-1))

c = 18808483076270941157829928736000549389727451019027515249724024369421942132354537978233676261769285858813983730966871222263698559152437016666829640339912308636169767041243411900882395764607422
def enc(c, n):
    return ZZ(pow(c, d, n))
long_to_bytes(enc(c, n))
b'flag{5afe5cbb-4b4c-9cb6-f8b6-032cabf4b7e7}'

Misc

不要动我的flag

追踪TCP流,第0个流发现flag的sha2563个流发现残缺的flag密文已知,爆破明文即可,脚本简单处理

import random
import hashlib

hexStr = "0123456789abcdef"
while True:
 partFlag = ''.join([random.choice(hexStr) for _ in range(4)])
 flag = 'flag{{22af230f-bbed-{}-95fa-b6b1ca6dc32e}}'.format(partFlag)
 sha256Flag = hashlib.sha256(flag.encode()).hexdigest()
 if sha256Flag[:20] == 'c7e6ea42b7301e6330ba':
  print(flag, sha256Flag)
  break
PS C:UsersAdministratorDownloads> python .misc.py
flag{22af230f-bbed-48b9-95fa-b6b1ca6dc32e} c7e6ea42b7301e6330ba3959fe407930191d371885935ad4cd51e95e857a3155

SimpleUSB

过滤所有的长度为35usb.capdata

D:Wiresharktshark.exe -r .misc1.pcapng -T fields -Y "frame.len==35" -e usb.capdata > keyboard.txt

有很多20开头的这些里面也是有键盘数据的,加个判断条件,然后脚本处理

# -*- coding: utf-8 -*-
import re

normalKeys = {"04""a""05""b""06""c""07""d""08""e""09""f""0a""g""0b""h""0c""i",
              "0d""j""0e""k""0f""l""10""m""11""n""12""o""13""p""14""q""15""r",
              "16""s""17""t""18""u""19""v""1a""w""1b""x""1c""y""1d""z""1e""1",
              "1f""2""20""3""21""4""22""5""23""6""24""7""25""8""26""9""27""0",
              "28""<RET>""29""<ESC>""2a""<DEL>""2b""t""2c""<SPACE>""2d""-""2e""=""2f""[",
              "30""]""31""\""32""<NON>""33"";""34""'""35""<GA>""36"",""37"".""38""/",
              "39""<CAP>""3a""<F1>""3b""<F2>""3c""<F3>""3d""<F4>""3e""<F5>""3f""<F6>",
              "40""<F7>""41""<F8>""42""<F9>""43""<F10>""44""<F11>""45""<F12>"}

shiftKeys = {"04""A""05""B""06""C""07""D""08""E""09""F""0a""G""0b""H""0c""I",
             "0d""J""0e""K""0f""L""10""M""11""N""12""O""13""P""14""Q""15""R",
             "16""S""17""T""18""U""19""V""1a""W""1b""X""1c""Y""1d""Z""1e""!",
             "1f""@""20""#""21""$""22""%""23""^""24""&""25""*""26""(""27"")",
             "28""<RET>""29""<ESC>""2a""<DEL>""2b""t""2c""<SPACE>""2d""_""2e""+""2f""{",
             "30""}""31""|""32""<NON>""33"""""34"":""35""<GA>""36""<""37"">""38""?",
             "39""<CAP>""3a""<F1>""3b""<F2>""3c""<F3>""3d""<F4>""3e""<F5>""3f""<F6>",
             "40""<F7>""41""<F8>""42""<F9>""43""<F10>""44""<F11>""45""<F12>"}

def filterProcess(output):
    content = output.replace('<SPACE>'' ')
    while True:
        if '<DEL>' in content:
            content = re.sub(r'[^>]<DEL>''', content)
        else:
            break
    return content

with open('keyboard.txt''r'as f:
    output = ""
    lines = f.readlines()
    for line in lines:
        ifShiftKeys, usbData = line[0:2], line[4:6]
        if usbData != "00":
            if ifShiftKeys == "00":
                if usbData in normalKeys:
                    output += normalKeys[usbData]
            elif ifShiftKeys == "02" or ifShiftKeys == "20"# 按下了Shift键
                if usbData in shiftKeys:
                    output += shiftKeys[usbData]
print("[+]Output: {}n".format(output))
print("[+]Filter Processed: {}".format(filterProcess(output)))
wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
0

直接跑一下看看是啥子

猜猜我是谁

根据题目提示猜测outguess的密码是扑克牌K画像的人名:caesar然后还有一层凯撒

不聪明的AI

输入flag回答说中文,直接输出旗帜返回flag

Pwn

getitez

静态分析下,addbook里面的v9是栈上的,v8指向addbook的函数addbook函数, 上面v90x18, 下面read可以读0x100个字节,明显一个栈溢出,先用 showbook功能leakcanarylibc地址,然后ROP

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
1

exp

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
2

Reverse

谁的DNA动了

程序主函数

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
3

一个ascii码字符是8位,循环4次,每次取2位,然后按照box数组存储,就是每4个encode后的字符就是原来的一个字符 最后对比的对象

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
4

先根据CODE还原出encode后的字符串

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
5

然后就是将4个字符重新组合成原来的1个字符

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
6

Don't Touch Me

程序给的是一个ELF文件,结果用ida看一篇混乱,发现有很多python的痕迹,估计是python打包的ELF,用工具还原还原后基本上就是对导入的touch.check的调用,用ida看py解包出来的touch.so文件

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
7

把操作还原就行

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
8

Web

little_game

查看源码发现一个success,给了一串字符,以及一个数组下标,直接就是遍历这串字符的下标得到的就是flag

wohz{k533q73q-t76t-9292-351w-h880t22q2q59}

a=3 b=7
9

justppb

试过爆破,但是习惯用的是自己的字典,没想到这里要用Burp自带的字典和密码爆破。。。。。

ezbbs

题目是一个BSS论坛,如图

尝试注册发现注册未开放

题目给了jar包以及给了一个提示条件竞争,分析源码:/register/login接口都在com.my.bbs.controller.rest.BBSUserController

首先cacheUserBBSUser类型的私有属性,并且register.enable=false默认不开启注册

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
0

在注册时cacheUserLoginNamePasswordMd5属性都是先被set了值的,然后是判断注册是否开启,如果未开启register_enable=false时,LoginNamePasswordMd5即会被setnull置空。

在登录时,登录成功的条件是cacheUser.loginName不为空,并且传入loginNamepassword参数与cacheUser.loginNamecacheUser.passwordMd5相等。

所以登录这里就存在一个条件竞争绕过,可以写个脚本一边不停的注册,一边不停地登录,在cache.loginNamecache.passwordMd5没有置空前,成功登录获取Cookie

登录的账号就用泄露的这个

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
1

有时候可能要跑比较久,条件竞争要耐心点,多跑几次

带上Cookie即可访问/userSet接口

登录成功后,继续分析源码,com.my.bbs.controller.common.UploadControlleruploadFile接口

生成的文件名String newFileName = SystemUtil.genFilenameByDate(file);,方法在com.my.bbs.util.SystemUtil类中,可以看到将上传的文件内容传给了com.my.bbs.util.FileUtil.getXmpMeta()处理。

很明显这是个处理图片中xmp数据的方法,那么什么是图片XMP,来看下GPT的解释


能够被解析猜测有可能就是考XXE了

继续跟进getXmpMeta()方法发现这里使用了xmpcoremetadata-extractor两个组件


然后把这个方法提取出来,下个断点简单调试下,分析下会经过哪些可能会造成XXE的地方

ezbbs.jar包中的依赖解压出来,然后加载进IDEA,方便之后调试,把两个组件的依赖也加进来

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
2

下个断点开始调,过程很长,大致就是从metadata-extractor跟到处理xmlxmlcore组件


跟进调试会来到com.adobe.xmp.impl.XMPMetaParser.parse(),继续跟进查看处理xml数据的方法Document document = parseXml(input, options);

com.adobe.xmp.impl.parseXml()


com.adobe.xmp.impl.parseXmlFromString

com.adobe.xmp.impl.parseInputSource

com.adobe.xmp.impl.XMPMetaParser


而这个factory就是下面这个

com.adobe.xmp.impl.createDocumentBuilderFactory()


到这里就很明显是DocumentBuilderFactory导致的XXE,没有设置禁用外部实体。

明确了上传这里是会加载图片中的xmp数据解析造成XXE,那么只需要找一张有xmp数据的图片,这个PS随便生成一张JPG就行,不要太大。并且注意,不增加修改原来的字节数量,只修改这一块原来的xmp数据,且要保证原来结构完整。

没有回显的XXE,引入一个远程实体,开启HTTP监听,把读取的数据外带出来

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
3

注意不要增加删除字节,只在原来的基础上做修改并且后面补全完整的结构。

远程实体evil.xml

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
4

然后将evil.jpg上传,解析xmp数据触发引用这个远程实体加载读取/flag即可


smart

Smarty的模板注入:https://xz.aliyun.com/t/11108#toc-6就是换了个名字,把template_object改成template即可

p = r**5 + r**4 - r**3 + r**2 - r + 2023
q = r**5 - r**4 + r**3 - r**2 + r + 2023
5

绕过直接?匹配或者通配符*

E·N·D


本文由创信华通创安实验室编辑。

本文仅限于个人学习和技术研究,由于传播、利用此文所提供的信息而造成刑事案件、非授权攻击等违法行为,均由使用者本人负责,本单位不为此承担任何责任。创安攻防实验室拥有对此文章的修改和解释权,如欲转载或传播此文章,必须保证此文章的完整性,包括版权声明等全部内容。


如有侵权,请联系后台。




创安实验室

创信华通创安实验室,是成都创信华通信息技术有限公司旗下的技术研究团队,成立于2021年9月,主要研究红蓝对抗、重大安全保障、应急响应等方向。

创安攻防实验室圆满完成了多次公安举办的重要网络安全保障和攻防演习活动,并积极参加各类网络安全竞赛,屡获殊荣。

创安攻防实验室秉承创信华通的发展理念,致力打造国内一流网络安全团队。



推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
ZhouSa.com-周飒博客