0x00碎碎念

去年其他厉害队伍没来侥幸捡漏了个第一名,今年大佬们来了被打的自闭了,技不如人只能立正挨打,部分图片来着赛后的复盘或是各位师傅的wp,这里也感谢我的队友以及其他各位师傅的帮助

0x01线上初赛

线上初赛是理论题,最终根据排名情况从本科组、高职组各选取 60 支队伍晋级到复赛(每个学校最多选取 3 支队伍晋级)。当日公布晋级名单 。

23882-2i5h7xvczrr.png

0x02线上复赛

没做出来几题,最终根据排名情况从本科组、高职组各选取参赛队伍数量的 50%晋级到决赛(每个学校最多选取 2 支队伍晋级)。经裁判组审核成绩和Writeup 文档之后公布晋级名单。

2.1 看不见不等于没有

给了个txt里面都是空白字符,t 替换成 1 空格 替换成 0

14459-d1vt2300mil.png

然后转16进制 最后转 ascii 码,得到flag

03886-l69dyq2xyl.png

2.2 The word is not the word

Binwalk 解压,然后找到文档,发现了 flag

88924-731llnb5wg4.png

2.3 HeidunGame

Android 逆向题目,使用 jadx-gui 打开

46303-70qw57gk439.png

发现 flag 是硬编码至程序内

{heidun_game_of_android}

2.4 Do you secure

源代码里找到文件上传地址upload_index.php

83889-u9evzhzfls.png

上传后会提示自动检测文件,猜测是条件竞争,在系统还没检测删除前访问php执行代码写入一句话

04345-kzb7riv565d.png

提交后访问文件地址

41505-m1etb8r7a1h.png

写上文件查看flag

17906-3hpln7yotxy.png

2.5 Ezweb

发现提反馈页面应该是题目提到的 BeanValidation ,有表单验证,后面测试为 email 里面有验证:

23560-ko05j5f67p.png

使用poc反弹shell

19192-mrk5htgtqkc.png

查看flag

14745-d13rndu8i9.png

0x3 线下决赛

先上拓扑,我们的ip是192.168.1.10-192.168.1.20,可直接访问dmz区

75249-dugwx1aw1kt.png

3.1门户网站192.168.1.101

页面如下

47410-b4z98pvw1kq.png

在robots.txt有提示如下

79052-a2x1t7bxw1.png

有个search文件夹,有个框搜索命令

78905-wevakxkvcjo.png

页面源码如下

14663-tif8f7u994r.png

最后通过robots.txt里面提示的变量名成功执行命令

10345-pc68fw8blq.png

赛后询问其他师傅 xray+awvs都能扫出来只有我坐牢了一个小时才做出来(输的太彻底了)

59540-fhc4wyst9kf.png

xray

82456-kocz7ardth.png

flag-1

在系统根目录下的/flag

62520-jsspnjpe8t.png

flag-2 3

上传adminer.php然后使用root root 登入数据库 ,搜索数据库里面含有flag的值成功得到两个flag

04930-gcg9hu24yhh.png

flag 4

suid提权root目录下有个flag

61566-s1gn50couw.png

3.2留言板192.168.1.102

首页

15171-nkqh2qil7b9.png

访问后台,使用各种ip头伪造均无效果

24701-tilgmi23hro.png

flag-1

赛后询问得知根目录下有个ly.mdb,我翻遍了所有字典都没有这个,输的太彻底了

flag-2

因为我们是192.168.1.段留言板在192.168.2.无法访问我们,我们利用门户网站来获取cookie

payload如下

76663-718nlsn2rf.png

提交留言

78910-ez673tevv6.png

成功打到cookie,flag在cookie内

34095-w02zc5ifeyc.png

官方解析: https://mp.weixin.qq.com/s/F9v9-8s2_mJhlEWRICzVvg

3.3项目管理系统192.168.3.1

需要配置防火墙然后才能访问到系统,防火墙需要192.168.2.*的机器才能访问通过门户网站做代理成功访问到

76907-igbu8icmyp.png

拿出去年准备了,但是去年没用上的防火墙说明书

41169-ubl7tylwf5k.png

可惜默认密码没有成功

25064-3qlsm4rayq8.png

后面裁判给了账号密码跟说明

73578-ggkmvg0px9u.png

配置好防火墙

【假装有防火墙配置的图片】

访问192.168.3.101是一个禅道系统,弱口令123456

15165-ncc4x92wou.png

使用下方漏洞getshell (听说注入跟其他漏洞都可以)

33328-fl9beswpp54.png

3.4失陷主机192.168.1.50

题目要求

03782-42ed1qk2sl6.png

flag-1

搜索关键词矿的英文mine,即可找到flag

22988-2sl0c2q2yh8.png

flag-2

将日志系统日志转为txt然后提取出ip

63199-g26m1mlew9e.png

然后用正则提取出ip

^(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9])\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9]|0)\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[1-9]|0)\.(25[0-5]|2[0-4][0-9]|[0-1]{1}[0-9]{2}|[1-9]{1}[0-9]{1}|[0-9])$

得到
05546-vsuxirkcn5k.png

flag-3

找php的config.php mysql密码abc123!

31400-w9bcwt18lb.png

连接数据库发现没有flag 发现mysql目录下有udf543.dll
Udf提权发现函数已经创建
记事本打开dll发现有flag字段
Select flag();得到函数

0x04最终排名

看到排名就想起了被打爆的事实

本科组获奖名单

队伍名学校名排名
NISA-HiddenLine福建师范大学一等奖
okfafu福建农林大学一等奖
qwq福建工程学院二等奖
GOD_TS1A福州大学至诚学院二等奖
NISA-WhySoSerious福建师范大学二等奖
闽侯上街男子dokidoki学院F3缺1福州大学二等奖
F_sec福建警察学院三等奖
小鸡子露出黑脚队福建商学院三等奖
工贰零柒闽江学院三等奖
Ph0en1x厦门大学三等奖
LYun龙岩学院三等奖
梦魇nghtmare闽江学院三等奖
cve2077泉州信息工程学院三等奖
首山路59号福建警察学院三等奖

高职组获奖名单

队伍名学校名排名
我们负责菜菜福建船政交通职业学院一等奖
fvti福州职业技术学院一等奖
AAA福建信息职业技术学院二等奖
Payl0ad福建船政交通职业学院二等奖
AssaultTroops福州软件职业技术学院二等奖
食不食油饼福建商学院二等奖
NotCTF福州职业技术学院三等奖
Augenstern厦门海洋职业技术学院三等奖
ABC321福建信息职业技术学院三等奖
易研顶真队闽江师范高等专科学校三等奖
V_Try漳州职业技术学院三等奖
tick小队厦门软件职业技术学院三等奖

0x05一些照片

现场拍的一些照片

签名墙

10945-cud35nf5msf.png

比赛现场

10945-cud35nf5msf.png

比赛现场*2

10945.png

最后修改:2022 年 10 月 11 日
  • 本文作者:Juneha
  • 本文链接:https://blog.mo60.cn/index.php/archives/429.html
  • 版权声明:本博客所有文章除特别声明外,均默认采用 CC BY-NC-SA 4.0 许可协议。
  • 文章声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由用户承担全部法律及连带责任,文章作者不承担任何法律及连带责任,本人坚决反对利用文章内容进行恶意攻击行为,推荐大家在了解技术原理的前提下,更好的维护个人信息安全、企业安全、国家安全。
如果觉得我的文章对你有用,请随意赞赏