2024 ciscn 决赛 记录+部分wp

第一次国赛决赛 还是很激动的一次比赛

感谢A1natas的小伙伴给予我的帮助 最后混了一个二等奖

day0

从杭州萧山飞到成都

f56c5e8c8c5bd6d44f62e48e4ac88dca

四川话听起来还是巴适 这里我就不得不吐槽某一个队员的方言了

比赛举办在四川大学 酒吧舞就是不一样啊 学校看起来就是牛逼

05a3265e87a3becba9114ab5ff24e62c

场地在体育馆(怎么又是体育馆 想起来某一次比赛的经历了 说的就是华东南) 开了空调 这空调嘎嘎得劲 回去就吹感冒了

812267199fbe5863ebe3ffe347a34261_720

成都是真的不夜城 晚上11点了还是灯火通明

c84cc20f05d4e232b3ac942a2c433766

晚上吃了顿火锅(都来四川了不试试?)我草好辣(已老实求放过)

a197c236ede0c014ee2210def357c389_720

晚上才看到要配置相关可信计算的环境(主办方现在才发 也是厉害的)环境配置到凌晨两点多 第二天起来感觉要寄了

day1

第一天是可信计算+awdp 做了点web 然后看边上的大哥对着计算无能狂怒

awdp 绝对是防守修复放在第一位的 防守check过了之后 每一次都可以继续得分

ezjs

image-20240724152219290

fix

不许上传ejs文件 但是应该是可以存在rce的

直接加上一个对ejs文件的文件内部文件过滤 随便过滤点就成功修了

break

攻击的话 有很多的思路

赛后发现可以是往 node_­mod­ules 里写入文件比如 node_modules/aaa/index.js ,然后通过 ren­der 渲染 aaa 为后缀的文件,即可做到 RCE

image-20240724163526886

成功写入 然后再上传一个文件的后缀为aaa

image-20240724163612625

image-20240724163804765

成功rce

ShareCard

fix

注意到html文件里面存在

image-20240724163939982

直接包含了文件

这个style我们又是可以控制的 存在ssti注入

image-20240724164020462

直接全部注释就修好了

break

打的时候发现用到了沙箱

image-20240724164157958

这个里让我subclass过不去 失败了

注意到存在

image-20240724164435331

这里存在文件读取的问题 然后尝试拿全局变量的 RSA key 可以尝试伪造一个jwt然后读flag

image-20240724164533341

Fobee

看不来 全场也没几解

solon

这国产框架 小味道太正了啊哥们

fix

image-20240724165301723

这里为了记录发送过来的user名字 反序列化了接过来的对象

多加点过滤就行了

break

打反序列化 但是我看不懂这个几把框架的传参方式

打的我混混沉沉的 话说茶歇怎么不能带进来 吃啊

很感谢队友的带飞

ccea055ef4a4122c2eb4c303eaac1e3

day2

渗透 最讨厌的一级 之前一直想学的来着 国赛来了才临时抱佛脚 就学了五天被打过来打了

外网是一个spring heapdump 泄露shiro key 直接shiro attack一把梭了

上传frp 这个是当时扫出来的内容

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
靶场信息

8.130.87.3 erp -> heapdump  leak shiro key attack
8080 web
内网 192.168.8.146/24
8.130.87.60 vps
8.130.69.193 官网
start vulscan
[*] NetBios 192.168.8.9     WORKGROUP\WIN-IISSERER        
[*] NetBios 192.168.8.26    WORKGROUP\WIN-PC3788          
[*] NetBios 192.168.8.12    [+] DC:VERTEXSOFT\RODC         
[*] NetBios 192.168.8.16    WORKGROUP\WIN-SERVER03        
[*] NetInfo 
[*]192.168.8.26
   [->]WIN-PC3788
   [->]192.168.8.26
[*] NetInfo 
[*]192.168.8.9
   [->]WIN-IISSERER
   [->]192.168.8.9
[*] WebTitle http://192.168.8.9        code:200 len:43679  title:VertexSoft
[*] NetInfo 
[*]192.168.8.38
   [->]WIN-OPS88
   [->]192.168.8.38
[*] WebTitle http://192.168.8.146:8080 code:302 len:0      title:None 跳转url: http://192.168.8.146:8080/login;jsessionid=E0D0C026BD7314F7261D838885770C9D
[*] NetInfo 
[*]192.168.8.12
   [->]RODC
   [->]192.168.8.12
[*] WebTitle http://192.168.8.42:8060  code:404 len:555    title:404 Not Found
[*] WebTitle http://192.168.8.9:8000   code:200 len:4018   title:Modbus Monitor - VertexSoft Internal Attendance System
[*] NetBios 192.168.8.38    WORKGROUP\WIN-OPS88           
[*] WebTitle http://192.168.8.146:8080/login;jsessionid=E0D0C026BD7314F7261D838885770C9D code:200 len:1383   title:Master ERP login Form
[*] NetInfo 
[*]192.168.8.16
   [->]WIN-SERVER03
   [->]192.168.8.16
[*] WebTitle https://192.168.8.9:8172  code:404 len:0      title:None
[*] WebTitle http://192.168.8.42       code:302 len:99     title:None 跳转url: http://192.168.8.42/users/sign_in
[*] WebTitle http://192.168.8.26:8080  code:200 len:147    title:第一个 JSP 程序

[*] WebTitle http://192.168.8.16:8080  code:403 len:594    title:None
admin/admin123
[*] WebTitle http://192.168.8.42/users/sign_in code:200 len:11166  title:登录 · GitLab
[+] PocScan http://192.168.8.146:8080 poc-yaml-spring-actuator-heapdump-file 
[+] PocScan http://192.168.8.146:8080 poc-yaml-springboot-env-unauth spring2

[+] mysql 192.168.8.38:3306:root 123456

mysql连接上 udf提权一把梭得到第二个flag

http://192.168.8.16:8080 存在弱密码 上去是一个jenkins 能直接rce 获得第三个flag

rodc的密码在administor目录下

几把的 我翻找了半个小时的数据库没翻出来东西

后面搞不出来了 拿了1300分 被爆杀了

最后总榜只有二等奖

2ef8f64d52323169c2e7419c17c31f9

day3

去动物园玩了一天就回家了 好玩

f9d676a5ba8618bcd376b2f579478fa

3f7575afaa91d5e4f6308204de6a032

好玩