X-NUCA 2019 线下赛记录

CTF / / 0 条评论 / 4,190 views /

日子混起来实在是太快了(x

按照惯例,记录一下 X-NUCA 2019 线下赛

Day 1

第一天其实没啥好说的,中午飞过去,见面就送了一堆东西(迷惑),深圳就是有钱啊

然后晚上个人赛,卑微 Web 狗完全做不出来,电脑还没带充电器,awsl

  • 第一题是个 Django 框架的 SQL 盲注,但是当时没咋看出来
  • 第二题是 PHP 写的一个不知道是啥,Cookie 里面携带序列化数据,猜测有反序列化的洞
    • 一开始没想到 PHP 原生类反序列化,所以耽误了不少时间,感觉这题还是能出的
    • 用 SOAP 反序列化打以下,会发现原来残缺的页面完整了,出现了 check.php 这个 ajax 请求,存在 SSRF
    • 其实一开始扫描目录就有 check.php 了,但是不知道干嘛,后来才发现有个target 参数,可以 SSRF,但是出题人非常狠心的丢了一个sleep 10(吐了
    • 后续漏斗组合怎么打还没想,没时间电脑也没电了
  • 第三题是一个 PHP curl 的绕过,没空看,感觉两小时的比赛来给个这种绕过技巧的题有点不太合理?

打完就自闭了,回去睡觉,嘻嘻

Day 2

上午是讲座,下午做题

  • Info 1 是个 XSS,据说很简单(但是我没看,章爷爷说不好绕过,我也懒得看了(没想到后来这么简单
  • Info 2 好像是个有洞的 SSH,现成的 exp 直接打就完事了
  • Info 3 是个空的玩意,目录扫描扫到了一个www.rar,解开是个 pma 的配置包,所以这个里面应该是有 pma 的,但是目录不知道需要猜
    • 后来在 Info 5 解出之后,拿到了一个 Info 3 的 Hint,说是 编码 过后的 phpMyAdmin,当时没多想,以为他放了一个正确的屁,结果离结束 5 分钟,我突然想到:带黑阔们一般喜欢什么编码?
    • base64 一下 phpMyAdmin,就访问到了 pma,密码在文件泄露的里面
    • 然后我直接select load_file('/etc/xnuca/flag.txt'),pma 给我一个查询结果是 BLOB,当场吐血,最后时间不够没有拿到 flag
    • 事后章爷爷点了几下,把 flag 点出来了
    • 最后查分发现,我们和前一名差了 60 分,差不多也就差一轮或者差这一道题,也就是第三和第二的差距(哭了
  • Info 4 WordPress,边日边担心我的博客被日,tcl
  • Info 5 海洋 CMS,现成 exp 直接打
    • 最简单的一个题,送了一个 awd3 还是 awd5 的题来着,Hint 给的是 Info 8
  • Info 6 Metinfo 6.0 漏洞直接打
  • Info 7 SCM,巨古老的 JAVA,不知道从哪里下手
    • 给的 Hint 是 Apache Shiro 的一个洞,打了一会不知道怎么用,wtcl

晚上放题,没想到 awd1 竟然是个 GO 的 Web 逆向题,我是虚假的 Web 手,儒儒才是真正的 Web 手(哭

本地配好 Redis,怎么都逆不出密码,于是开了个 tcpdump,把密码给抓到了。然后配完环境开始盲打,找到了一个 SSRF,但是不知道怎么利用。看发的请求比赛环境应该是一个 docker-compose 的环境。所以 redis 容器里面写公钥也好,写 crontab 也好,主从复制拿 shell 也好,都拿不到 flag。况且按照官方 redis 镜像没有 ssh,crontab 写了肯定也不认,因此这里没想通能干嘛。

后来儒儒把/info逻辑逆出来了,发现有个后门。这个后门也是第二天(其实就是当天了2333)比赛场上用的最多的那个洞。这个洞儒儒打好了 patch,后来比赛也证明这个 patch 是有效的(所以怎么 patch,Web 菜狗的灵魂拷问。

然后儒儒把/admin逻辑逆出来了,也是个后门,但是需要本机访问才行。这样看出来 SSRF 和 /admin 其实是联动的。但是挖了一晚上也没挖出来 CRLF,哭了。第二天场上只有两个队在打这个洞。这个洞儒儒也打了 patch,但是第二天一提交就 down 了,tcl。

PWN 手更是自闭,几乎一晚上没睡。

Day 3

上场开打,配好代理。然后 Web 上 patch 第二轮瞬间 down了,awd3、awd5 也是全程被打,太惨了。后来 awd1 换了一个 patch,还是被打,不过情况要好很多。

打了一会,awd1 到了得分阈值,题目被下线了,然后 web 手进入抖腿看榜状态2333(午饭实在太难吃了

吐槽一句就是,awd5 好不容易拿到 shell,结果 flag 放的文件夹写错了,xnuca写成了xunca,主办方自己都不知道,强烈 diss,因为这个问题 awd5 不知道少打了多少轮

后来 awd3 接着也到了得分阈值,也下线了,暂时缓解了一直被打一直掉分的情况。

接着上题 awd7,儒儒 pgg 太猛了,尤其是儒儒后面的那个负整数溢出的洞,最后封榜的阶段疯狂打全场,从 12 名直接打到了第 7。

顺便这里再吐槽一句深圳大学的校园网,谷歌永远上不去,墙高的离谱,后来配代理回成电再出国才有了稳定的谷歌,实在太草了。更气人的就是,最后 3 轮了,深大校园网竟然把我断网了,说我用超了流量?????一轮打完全场后开始修网,结果把网修炸了(路由表网关自动补全补成了以前的,因为太急没有看到,线下有三个段也比较乱,尤其是时间不够特别紧张的时候),队友也没有备份的脚本,于是妥妥的少打了一轮,估计也丢了几十分,哭了。

总结

其实 X-NUCA 2019 线下体验还是很好的,住着四星级酒店,专车来回接送,奖金也多。赛制也很新颖,不是传统 AWD 赛制,比传统 AWD 要好太多了,不过第三天 PWN 手也太自闭了(x。总体来说很棒棒。

挖坑准备学逆向和 PWN 了,Web 没有前途,PWN 手才是真正的 Web 手(x

本文采用 CC-BY-SA 协议进行授权,原创文章转载请注明:转载自:X-NUCA 2019 线下赛记录

发表评论

发表回复

*

沙发空缺中,还不快抢~