“祥云杯”中的MISC和WEB

1337163122

​“祥云杯”中的MISC和WEB (qq.com)
“祥云杯”中的MISC和WEB原创 奋斗的小浪 [url=]衡阳信安[/url] 前天

​

题目：鸣雏恋
先解压下载好的附件，是一个word文档，打开的时候说是有无法读取的内容
就先尝试用010editor打开，发现文件头是由ascii码部分是PK

​

可以初步判断为是zip文件，于是修改它的后缀名为zip
再把修改后的文件解压，出来了这些文件

​

其中_rels文件嫌疑最大，有一个key.txt和一个压缩文件love.zip(里面有十几万张图片)

​

key里面看看

​

看起来是只有这点东西，但里面有隐藏字符，丢到下面这个工具里去拿隐藏的秘钥

​

Because I like naruto best

​

解压出来是这种东西，可以发现图片虽然有十万多张，但是种类只有两种，将他们一个看做1另一个看做0，组合成一个二进制文件，脚本如下
​

1. import os
   
2. 
   
3. dir = 'D:\鸣雏恋\_rels\love\out\{}.png'
   
4. 
   
5. binary = []
   
6. ans = ''
   
7. 
   
8. for i in range(129488):
   
9.     filename = dir.format(i)
   
10.     bin = 0
    
11.     if os.stat(filename).st_size == 435:
    
12.         bin = 1
    
13.     ans += str(bin)
    
14. 
    
15. with open('D:\鸣雏恋\_rels\love\\binary.txt', 'w') as f:
    
16.     f.write(ans)

复制代码

​ 写出来长这样

​

丢到这里去转字符串
在线转换二进制到字符串 (txttool.com)

​

再丢到html里转图片

​

最后得到

​

flag{57dd74fb21bb1aee50f1942:bf836f23}

题目：安全检测

一道ssrf + 文件包含套娃的题
首先发现了这个check2.php的包，传入url1=xxx来实施检测，那么我们试一下 http://127.0.0.1看看，发现是True，那么说明能访问本地，那老传统看看admin

​

啊，很好，还真有admin在里面，那么burp的intruder模块暴力扫描看看这个admin目录里有什么东西，最后发现了include123.php，我们整点源码看看

​

可以发现过滤多的离谱，但是即使过滤多，用户的每一次输入还是会保存到sess文件中的，这是php的一个临时文件，会临时保存用户输入，比如说我发出了一个GET请求，这个请求里带了点数据，那么这点数据是会进到sess文件中的，sess文件保存于 sess_sessionid中，那么尝试先将payload写入sess，再文件包含sess（这里是第二次打的结果了，第一次打的时候忘截图了，我们确定根目录下就有一个getflag.sh了已经
先写入payload

​

再包含：url1=http://127.0.0.1/admin/include123.php?u=/tmp/sess_yell

​

拿到flag

这次没有解出多少题，只有这么多了，分享给大家，有不对的地方，请批评指正！
​