MISC 1

拿到图片，先binwalk一下，如下图

果然发现png图片后面跟了个ZIP，然后提取出来打开发现了一个flag.png，然后查看16进制文件没有发现什么问题，之后查看属性发现分辨率为986_470，但是大小为200kb左右，显然是不相匹配的，通过16进制编辑器修改分辨率为986_1376，然后在图片的左下角发现flag，

FLAG{5mall_L1_15_5tup1d}

MISC 2

http://drops.wooyun.org/tips/7828 一道CBC字节翻转攻击问题

    <?php
        $enc = "S9PsFp43k9VgyrggRHLbISjUAjwzSSPPajrF9Dzz0o/ieSZbxwGjTJ5xhAZEi5tDBjvwsQtH0BynlLC0p0F0zOZMx25M6iekcLvX//MNKSA=";
        $enc = base64_decode($enc);
        echo "<br>".($enc)."<br>";
        $enc[47] = chr(ord($enc[47]) ^ ord("9") ^ ord ("1"));
        echo "<br>".($enc)."<br>";
        $c = base64_encode($enc);
        $d = urlencode($c);
        echo "Plaintext after attack : <br>$c<br>";
        echo "Plaintext after attack : <br>$d<br>";
        $e = @decrypt(base64_decode($c));
        $uid = substr($e,strpos($e,"uid")+4,1);
        echo 'uid:'.$uid.'<br/>';
        if ($uid == 1){
                echo "<br>get the flag!!!";
        }
        else {
                echo "false!";
        }
?>

得到翻转后的密文的base64加密值： S9PsFp43k9VgyrggRHLbISjUAjwzSSPPajrF9Dzz0o/ieSZbxwGjTJ5xhAZEi5tLBjvwsQtH0BynlLC0p0F0zOZMx25M6iekcLvX//MNKSA=

修改COOKIE之后提交得到flag，

WEB 1

根据注释的提示，网页的源码由于使用extract，故存在变量覆盖，然后直接提交get请求http://45.78.61.235/web1/?auth=1，转到了一个新的页面，然后再响应头里面发现了flag

WEB 2

进入页面，看了源码、请求等待都没发现东西，然后试试robots.txt，也没有，然后想到备份文件，加上’~’发现了源码如下：

    <?php
    function checkIN($number){
        for($i = 0; $i < strlen($number); $i++){
            $dig = ord($number[$i]);
            if(($digit >= ord('1')) && ($digit <= ord('9'))){
                return false;
            }
        }

        return $number == '3722304989';
    }


    if(eregi("hacker", $_GET[id])){
        echo("<p> not allowed!</p>");
        exit();
    }

    $_GET[id] = urldecode($_GET[id]);
    echo $_GET[id];
    if($_GET[id] == "hacker" && checkIN($_GET[num])){
        echo "<p> Access granted! </p>";
        echo "<p> flag:flag xxxxxxxxxxxxxxxxxx";

    }
?>

<br><br>
can you bypass it???

阅读之后判断是松散比较，构造下属请求如下： http://45.78.61.235/web2/index.php?id=%2568%2561%2563%256B%2565%2572#=0xdddddddd 得到flag为 flag{Your_are_a_g00d_PHP_learner!}

REV 1

首先通过OD的关键字查找，发现了文本参考字串”wrong”

对该行附近的字串进行查看，发现跳转和获取输入的关键代码

通过输入，不同的数据，发现该算法实现的功能是将一段输入进行位置调换后异或，然后与程序自带文本进行比较。

通过几次实验输入，得到调换顺序和异或对象（斐波那契数列）。得到最终结果：flag{H4ppyRev!}

0x01 LDAP简介

查阅了一些网上的资料，读了好久还是觉得理解起来很困难，感觉还是不够干，之后看到的一个博客http://www.chinaunix.net/old_jh/49/593660.html的，觉得写的相当不错，摘录了些也说说自己的理解吧，有错误的希望大家指正。 LDAP，轻量目录访问协议

此处我更喜欢把LDAP和数据库类比起来，我是直接把LDAP看成是一个主要用于查询的数据库。数据库用”表”来存数据，LDAP用”树”来存数据。数据库主要是三个DB,TABLE,ROW来定位一条记录，而LDAP首先要说明是哪一棵树dc，然后是从树根到目的所经过的所有”分叉”， ou（group），最后就是目标的名字，例如UID等等。具体到如何定义如下：

dn:cn=honglv,ou=bei,ou=xi,ou=dong,dc=waibo,dc=com 其中树根是dc=waibo,dc=com，分叉ou=bei,ou=xi,ou=dong，目标cn=honglv

注意要把”cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org”看成是一个整体，它只是属性dn的值

具体的一条记录如下：

dn:cn=stan,ou=linux,ou=computer,dc=ourschool,dc=org
objectClass：organizationalPerson
cn:stan
cn:小刀
sn:小刀
description:a good boy

（保存成LDIF文件，可以导入到LDAP数据库中）

关于安装配置LDAP，贴一个网址 http://www.mandrakesecure.net/en/docs/ldap-auth.php

0x02 LDAP基本语法

=(等于) 查找”名”属性为”John”的所有对象，可以使用：
```
(givenName=John)
```
这会返回”名”属性为”John”的所有对象。圆括号是必需的，以便强调 LDAP 语句的开始和结束。
&(逻辑与) 如果具有多个条件并且希望全部条件都得到满足，则可使用此语法。例如，如果希望查找居住在 Dallas 并且”名”为”John”的所有人员，可以使用：
```
(&(givenName=John)(l=Dallas))
```
请注意，每个参数都被属于其自己的圆括号括起来。整个 LDAP 语句必须包括在一对主圆括号中。操作符 & 表明，只有每个参数都为真，才会将此筛选条件应用到要查询的对象。
!(逻辑非) 此操作符用来排除具有特定属性的对象。假定您需要查找”名”为”John”的对象以外的所有对象。则应使用如下语句：
```
(!givenName=John)
```
此语句将查找”名”不为”John”的所有对象。请注意：! 操作符紧邻参数的前面，并且位于参数的圆括号内。由于本语句只有一个参数，因此使用圆括号将其括起以示说明
（通配符）

可使用通配符表示值可以等于任何值。使用它的情况可能是：您希望查找具有职务头衔的所有对象。为此，可以使用：

(title=*)

这会返回”title”属性包含内容的所有对象。另一个例子是：您知道某个对象的”名”属性的开头两个字母是”Jo”。那么，可以使用如下语法进行查找：
(givenName=Jo*)
这会返回”名”以”Jo”开头的所有对象。

高级用法eg:

您需要一个筛选条件，用来查找居住在 Dallas 或 Austin，并且名为”John”的所有对象。使用的语法应当是：

(&(givenName=John)(|(l=Dallas)(l=Austin)))

0x03 LDAP注入

LDAP注入攻击和SQL注入攻击相似，因此接下来的想法是利用用户引入的参数生成LDAP查询。一个安全的Web应用在构造和将查询发送给服务器前应该净化用户传入的参数。在有漏洞的环境中，这些参数没有得到合适的过滤，因而攻击者可以注入任意恶意代码。使用得最广泛的LDAP：ADAM和OpenLDAP，下面的结论将会致代码注入：

3.1 引入

(attribute=value)

如果过滤器用于构造查询单缺少逻辑操作符，如value)(injected_filter ，瞬间导致产生了两个过滤器，

(attribute=value)(injected\_filter)

通常，在OpenLDAP实施中，第二个过滤器会被忽略，只有第一个会被执行。而在ADAM中，有两个过滤器的查询是不被允许的，因而这个注入毫无用处。

(|(attribute=value)(second_filter)) or (&(attribute=value)(second_filter))

如果第一个用于构造查询的过滤器有逻辑操作符，形如value)(injected_filter)的注入会变成如下过滤器：

(&(attribute=value)(injected_filter)) (second_filter)。

虽然过滤器语法上并不正确，OpenLDAP还是会从左到右进行处理，忽略第一个过滤器闭合后的任何字符。

但是有的浏览器会进行检查，检查过滤器是否正确，这种情况下value)(injected_filter))(&(1=0，于是就出现了下述payload

(&(attribute=value)(injected_filter))(&(1=0)(second_filter))

既然第二个过滤器会被LDAP服务器忽略，有些部分便不允许有两个过滤器的查询。这种情况下，只能构建一个特殊的注入以获得单个过滤器的LDAP查询，如value)(injected_filter得到

(&(attribute=value)(injected_filter)(second_filter))

3.2 AND注入

这种情况，应用会构造由”&”操作符和用户引入的的参数组成的正常查询在LDAP目录中搜索，例如：

(&(parameter1=value1)(parameter2=value2))

这里Value1和value2是在LDAP目录中搜索的值，攻击者可以注入代码，维持正确的过滤器结构但能使用查询实现他自己的目标。

3.2.1 绕过访问控制

一个登陆页有两个文本框用于输入用户名和密码，过滤器如下：

(&(USER=Uname)(PASSWORD=Pwd))

如果攻击者输入一个有效地用户名，如r00tgrok，然后再这个名字后面注入恰当的语句，password检查就会被绕过。输入Uname=slisberger)(&))，得到如下

(&(USER= slisberger)(&)(PASSWORD=Pwd))

LDAP服务器只处理第一个过滤器，即仅查询(&(USER=slidberger)(&))得到了处理。这个查询永真,故成功绕过

3.2.2 权限提升

现假设下面的查询会向用户列举出所有可见的低安全等级文档：

(&(directory=document)(security_level=low))

这里第一个参数document是用户入口，low是第二个参数的值。如果攻击者想列举出所有可见的高安全等级的文档，他可以利用如下的注入：document)(security_level=*))(&(directory=documents 得到

(&(directory=documents)(security_level=*))(&(direcroty=documents)(security_level=low))

LDAP服务器仅会处理第一个过滤器而忽略第二个，因而只有下面的查询会被处理：

(&(directory=documents)(security_level=*))

结果就是，所有安全等级的可用文档都会列举给攻击者

3.3 OR注入

这种情况，应用会构造由”|”操作符和用户引入的的参数组成的正常查询在LDAP目录中搜索，例如：

(|(parameter1=value1)(parameter2=value2))

这里Value1和value2是在LDAP目录中搜索的值，攻击者可以注入代码，维持正确的过滤器结构但能使用查询实现他自己的目标。

具体的注入方式和AND差不太多，不予详述。

3.4 LDAP盲注

3.4.1 AND盲注

假设一个Web应用想从一个LDAP目录列出所有可用的Epson打印机，错误信息不会返回，应用发送如下的过滤器：

(&(objectClass=printer)(type=Epson*))

正确的过滤器为：

(&(objectClass=printer)(type=Epson*))

而当注入)(objectClass=))(&(objectClass=void时得到

(&(objectClass=*)(objectClass=*))(&(objectClass=void)(type=Epson*))

执行第一个，过滤器objectClass=*总是返回一个对象。当图标被显示时响应为真，否则为假。这样我们就可以猜第二个括号的objectclass字段有些什么内容了。 LDAP盲注技术让攻击者使用基于TRUE/FALSE的技术访问所有的信息。

3.4.2 OR盲注

这种情况下，用于推测想要的信息的逻辑与AND是相反的，因为使用的是OR逻辑操作符。同样不予详述。

3.4.3 盲注深入

攻击者可以使用字母、数字搜索提取属性的值，这个想法的关键在于将一个复杂的值转化为TRUE/FALSE列表。这个机制，通常称为booleanization，大意是二值化吧，图十二概括了该机制，可用于不同的方式。假设攻击者想知道department属性的值，处理如下：

(&(idprinter=HPLaserJet2100)(department=a*))(object=printer))
(&(idprinter=HPLaserJet2100)(department=f*))(object=printer))
(&(idprinter=HPLaserJet2100)(department=fa*))(object=printer))

如此根据返回的不同结果猜解是否正确，和MYSQL盲注类似。同样，攻击者可以使用字符集削减技术减少获得信息所需的请求数，为完成这一点，他使用通配符测试给定的字符在值中是否为anywhere：

(&(idprinter=HPLaserJet2100)(department=*b*))(object=printer))
(&(idprinter=HPLaserJet2100)(department=*n*))(object=printer))

这样子可以看department中是否有b和n，巧用可以加速猜解过程，当然一般肯定都是写脚本猜解

0x04 防御LDAP注入

总而言之，我们看到圆括号、星号、逻辑操作符、关系运操作符在应用层都必须过滤。无论什么时候，只要可能，构造LDAP搜索过滤器的值在发送给LDAP服务器查询之前都要用应用层有效地值列表来核对。正则表达式替换掉就可以了。

0x05 参考

http://drops.wooyun.org/tips/967
http://www.chinaunix.net/old_jh/49/593660.html
http://blog.sina.com.cn/s/blog_6151984a0100ey3z.html

CRLF-injection-简单总结

简介

Example

修复

pigctf期末测评