sky's blog

sky's blog

一叶飘零 @ whitzard / r3kapig

2020 第四届强网杯全国网络安全挑战赛Online Writeup
前言周末参加了强网杯线上赛,以下是web题解。 web辅助类定义如下:123456789101112131415161718192021222324252627282930313233343536373839404142434445464748495051525354555657585960616263646566676869707172737475767778798081828384<?phpclass player{ protected $user; protected $pass; protected $admin; public funct...
2020 全国大学生信息安全竞赛Online Web题解
前言周末参加了一下国赛,有两年没参与了,还是一如既往的“吓人”,XD babyunserialize题目存在源码泄露:1http://eci-2ze0loaxjkuesryhroqr.cloudeci1.ichunqiu.com/www.zip 打开后发现是fatfree框架,进行代码审计,发现目标网站使用了php框架fatfree,且为最新版。同时关注到index.php路由:1234567$f3->route('GET /', function($f3) { echo "may be you need /?flag="; });un...
Paper Summary & ABSynthe & Automatic Blackbox Side-channel Synthesis onCommodity Microarchitectures
前言这篇文章是发表在NDSS2020上,有关于微架构侧信道攻击的一篇文章。一作来自于英特尔公司,先前在硬件和底层上有比较多的研究。文章标题中的几个关键词,也在文章中有一定的体现,比如自动化、黑盒,合成等,这些都与一些现有的工作有比较大的差异。 背景知识CPU组件存在大量的侧信道攻击,但现有的每一种侧信道攻击方式,几乎都基于白盒分析的方法。通常情况下,需要3步来完成: 首先需要能够识别出这一特定的CPU组件。 然后需要在特定的微架构上对其做逆向分析。 最后通过逆向分析得到的内容,人工构造指令序列,用以侧信道泄露信息。但这些方法通常都存在一些弊端,由于现有的侧信道攻击需要人工构造指令序列,...
2020 WMCTF Online Web Writeup
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。 web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:1http://web_checkin.wmctf.wetolink.com/?content=/flag no_body_knows_php_better_than_me题目如下:123456<?phphighlight_file(__FILE__);require_once 'flag.php';if(isset($_GET['file'])) { require_once $_GET['fi...
2020 Cybrics CTF Web Writeup
前言周末打了俄罗斯知名战队LCBC举办的2020 Cybrics CTF,以下是Web题题解。 Hunt锁定到会飘的验证码代码上,将其飘来飘去的代码去除:然后手动调用5次固定不动的验证码:此时验证码不动,点5次就可以去Get Flag了:获得flag: Gif2png题目给了源码,于是进行审计,关键代码如下:123file = request.files['file']logging.debug(f"Created: {uid}. Command: ffmpeg -i 'uploads/{file.filename}' \"uploads/ ...
Laravel 5 Deserialization Chain Summary
前言Laravel 7中由于一些有所类修复,导致一些pop chain无法使用,于是这次在Laravel 5系列中,也做一次总结,列举比较适合的切入点和查找新链的思路。 遍地撒网为了更好的找出切入点,我这里直接写了一个脚本,列举出所有包含destruct的class和其destruct的定义,并将laravel 5和laravel 7进行比对:其实不难发现,Laravel 7和Laravel 5在切入点这一块,并无太多的区别,几乎一致,一般修改均为一些微调。同时我们可以搜寻一下切入点,一般分为如下几类:123__destruct中$this->xxxx()调用形式__destruc...
Laravel 7 Deserialization Chain Summary
前言晚上闲着无聊,想到real world和ctf里非常喜欢出题考察的laravel,于是下了个7系列版本分析着玩一玩,梳理了一下现阶段可用的一些exp。 切入点网上冲浪看到一篇blog讲laravel 5.8的漏洞,感觉挺有趣的:1https://nikoeurus.github.io/2019/12/16/laravel5.8%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96/#Routes%E7%9B%AE%E5%BD%95 文章提供了一个切入点,即1Illuminate\Broadcasting\PendingBroadcast::__destruct 关键...
2020 TCTF Online Web WriteUp
前言TCTF是国内高质量比赛之一,这次周末参加了一下,以下是Web题解。 Wechat Generator题目界面大致如下:我们拥有preview和share两个功能:一个是预览我们生成的微信对话图,一个是将其分享。在尝试访问分享图片时,发现如下路径:在随手测试的时候,发现如果乱改后缀,例如将png改为txt,会出现如下的报错信息:1{"error": "Convert exception: unable to open image `previews/5fac1098-72ab-4b28-b111-465aceb0e7ec.txt': ...
2020 第五空间 Web Writeup
前言近日参加了第五空间的比赛,以下是比赛中Web的所有题解。 hate-php拿到题目后,题目给出了源码:1234567891011121314151617<?phperror_reporting(0);if(!isset($_GET['code'])){ highlight_file(__FILE__);}else{ $code = $_GET['code']; if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { ...
CVE-2019-10795 & undefsafe Prototype Pollution Vulnerability
前言undefsafe是Nodejs的一个第三方模块,其核心为一个简单的函数,用来处理访问对象属性不存在的报错问题,其具有巨大的用户量:但其在低版本存在原型链污染漏洞。漏洞版本:< 2.0.3 模块使用我们简单测试一下该模块的使用:123456789101112var object = { a: { b: { c: 1, d: [1,2,3], e: 'skysec' } }};console.lo...
avatar
一叶飘零
苟有恒,何必三更眠五更起。