BUU CTF[CISCN2019 总决赛 Day2 Web1]Easyweb 1

最新推荐文章于 2022-07-18 14:53:04 发布
最新推荐文章于 2022-07-18 14:53:04 发布
阅读量714 收藏 1
点赞数 4
分类专栏: CTF BUU刷题 WEB 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46245411/article/details/117969369
版权
CTF 同时被 3 个专栏收录
12 篇文章 2 订阅
订阅专栏
BUU刷题
8 篇文章 0 订阅
订阅专栏
WEB
7 篇文章 0 订阅
订阅专栏

文章目录

前言

没赶上2019的CISCN比赛,只能在BUU看到前人大佬们的荣光~

不是很清楚BUU附属的源码是不是与比赛题目所给的一样,如果一样的话,我看其他大佬的WP都有BOOL盲注的出现,但是我直接审计源码绕过了SQL注入了,所以很好奇是不是有什么差异~
所以我仅说说我解BUU的过程

一、源码审计

个人审计用到的几个比较重要源码:upload.php、config.php、function.php、user.php就这四个了
这个是function.php的源码

<?php
function encode($str,$key)
{
    $tmp="";
    for ($i=0;$i<strlen($str);$i++)
    {
        $tmp .= chr(ord($str[$i])^ord($key[$i%strlen($key)]));
    }
    return base64_encode($tmp);
}

function decode($str,$key)
{
    $str=base64_decode($str);
    $tmp="";
    for ($i=0;$i<strlen($str);$i++)
    {
        $tmp .= chr(ord($str[$i])^ord($key[$i%strlen($key)]));
    }
    return $tmp;
}
 
function is_login()   //只要cookie 中含有username参数,就可以绕过
{
    global $username,$secret;
    if (!isset($_COOKIE["username"]))
        return false;
    $username=decode($_COOKIE["username"],$secret);
    return true;
}

不难看出有三个函数,分别起到加密、解码、登录功能
这个is_login()函数用到了function.php里面的函数decode(),而且还使用到了function.php里面的变量$secret。
所以,之前知道这个变量的重要性就来了,我们可以通过在cookie中修改username的值,从而绕过is_login()函数(后续会细讲~别急)

下面是config.php的内容,一般重要信息都会放置在这里,所以我们获取到了那个关键的$secret(留待后面绕过登录使用)

<?php
//close error report
error_reporting(0);

/* mysql connection */
$mysql_host="localhost";
$mysql_username="root";
$mysql_password="xxx123abc";
$mysql_dbname="ciscnfinal";
$con=mysqli_connect($mysql_host,$mysql_username,$mysql_password,$mysql_dbname);

//secret
$secret="!*(fp60zoy";   //跟function里面的加密有关

$username="";

下面是user.php

<?php
include "config.php";
include "function.php";

$username="";

if (!is_login() && !isset($_POST["username"]) && !isset($_POST["password"]))
{
    header('Location: index.php');
    die;
}

if ($username==="") //在cookie注入admin后,$username就赋值了
{
    $stmt=$con->prepare("select * from users where username=?");
    $stmt->bind_param("s",$_POST["username"]);
    $stmt->execute();
    $result=$stmt->get_result();
    $row=$result->fetch_assoc();
    if ($row["password"]===$_POST["password"])  //验证我们输入的密码是不是对应数据库内部的密码
    //这个有点难搞啊SQL注入动不了
    {
        $username=$_POST["username"];
        setcookie("username",encode($username,$secret));
    }
    else
    {
        header('Location: index.php');
        die;
    }
}

$admin_html=<<<EOF
Hello, admin!
<form action="upload.php" method="post"enctype="multipart/form-data">
<label for="file">Filename:</label>
<input type="file" name="file" id="file" /> 
<br />
<input type="submit" name="submit" value="Submit" />
</form>
EOF;

if ($username!=="admin") 
{
    echo "Hello, {$username}, if you are admin, I will give you a surprise.";
}
else   //判断是admin后,上传文件进入upload.php
{
    echo $admin_html;
}

我觉得注释我说明了一些关键信息,这里不加赘述了,主要是起到了登录的功能,只要绕过这个user.php($username=admin),才能进入upload.php

下面是upload.php

<?php
include "config.php";
include "function.php";

is_login();

if ($username!=="admin")
{
    echo "You have not permission.<script>setTimeout('location.href=\"index.php\"',3000);</script>";
    die;
}

if (!$_FILES["file"]["name"])
{
    echo "Please chose a file to upload.<script>setTimeout('location.href=\"user.php\"',3000);</script>";
    die;
}

$file_name=$_FILES["file"]["name"];

if (preg_match("/php/i",$file_name))
{
    echo "You cant upload php file.<script>setTimeout('location.href=\"user.php\"',3000);</script>";
    die;
}

file_put_contents("logs/upload.log.php","User {$username} uploaded file {$file_name}.\n",FILE_APPEND);  //写入某个文件
echo "I logged the file name you uploaded. LOL<script>setTimeout('location.href=\"user.php\"',3000);</script>";

最后一个函数file_put_contents()是一个关键的函数,一般可以使用一句话木马来getshell
分析:判断文件名合法、用户是admin后,就直接将admin和文件名写入该日志文件中(所以这里就存在一句话木马漏洞)

二、开始冻手

1.伪造Cookie

代码如下:

<?php 
function encode($str,$key)
{
    $tmp="";
    for ($i=0;$i<strlen($str);$i++)
    {
        $tmp .= chr(ord($str[$i])^ord($key[$i%strlen($key)]));
    }
    return base64_encode($tmp);
}
$secret="!*(fp60zoy";
	
	echo encode('admin',$secret);
?>

=>得到了:QE5FDx4=
这个就是我们cookie中username的值。
只要保证cookie中的username=QE5FDx4=;
那么久可以绕过is_login()函数了

2.上传文件

还记得我们之前说过,在进入upload.php之前,需要经过user.php,这个“user.php”在这里做了两件事:1、验证身份;2、选择上传的文件,并上传

我在hackbar里面传cookie失败了,它无法传递Cookie,这就让我很为难了啊~,但是直接使用burpsuite抓包还可以有返回值,由于我需要使用到页面来选择文件,所以我直接在user.php网页中手动加入cookie就解决了(按F12去添加cookie即可)
然后我们就来到了

3.getshell

之前代码审计环节的upload.php有一个waf是针对文件名的

$file_name=$_FILES["file"]["name"];

if (preg_match("/php/i",$file_name))
{
    echo "You cant upload php file.<script>setTimeout('location.href=\"user.php\"',3000);</script>";
    die;
}

下一步就是我们通过抓包修改文件名来完成Getshell了
在这里插入图片描述
返回了下面的内容在这里插入图片描述

我在BUU上直接使用一句话木马失败了,所以我先试着上传一些文件名友好的文件(1.txt之类的)
进入:http://4538e7b4-6a7b-403a-a074-3587f897ecda.node3.buuoj.cn/logs/upload.020598b5c37fc1206644e58debc8ecf2.log.php
发现网页出现这些内容
在这里插入图片描述
最后我们抓包修改为:
在这里插入图片描述
返回的结果还是一样的,说明上传是成功了,但是能不能访问还是问题,网页无法访问一样不能进行蚁剑连接。
在这里插入图片描述
再次访问
http://4538e7b4-6a7b-403a-a074-3587f897ecda.node3.buuoj.cn/logs/upload.020598b5c37fc1206644e58debc8ecf2.log.php
在这里插入图片描述

说明可以蚁剑连接了
在这里插入图片描述
启动虚拟终端:
该处使用的url网络请求的数据

总结

最后抓包修改文件名再上传的时候,如果网页无法访问了,就只能重启环境再弄了,这个应该是服务器的问题吧~

joker-yan
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
1ncrd#Study-Record#BUUCTF[第二章 web进阶]XSS闯关1.md
08-10
一些关于xss的payload
CISCN2019 总决赛 Day2 Web1】-Easy web
xixihahawuwu的博客
11-28 722
进入环境是一个登录界面检查页面元素没有发现啥,我们把源码下载下来看看先看config文件 是一个数据库文件 数据库名为ciscnfinal 接着看function文件 我们可以看到有关登录界面的还有两个函数方法 看image文件Get传递两个参数 把一些字符替换成空Addslashes()函数会把一些特殊的字符转义,比如单引号转为\’,\转为\其他的看了下,没有什么信息就过掉了 我们看下upload文件要求我们用户名必须为admin 这里我们可以获得用户名admin在user文件中我们可以知道成功登陆后的.
[CISCN2019 总决赛 Day2 Web1]Easyweb1
Mrs_H的博客
10-22 475
一.前言 在之前的文章中我提到最近一直在做sql注入相关的东西,也在一直做sql注入有关的题目。但是,事实上很多赛题他们的考点并不单一,往往需要结合着其他的知识,才能够拿到想要的结果。下面这道题就是我刚才所说的典型,虽然考的不难,但是足够说明当前sql题目的走向了。 二.正文 我们首先打开环境看到如下页面。 emmm,一个花里胡哨的登陆界面。尝试输入了很多用户名和密码组合,但是都不对。那就去扫一下目录,发现该网站存在一个robots.txt 这个robots文件中的内容就是在提示我们,该网站含有备份文件
[CISCN2019 总决赛 Day2 Web1]Easyweb
m0_62905261的博客
07-18 319
[CISCN2019 总决赛 Day2 Web1]Easyweb
[CISCN2019 总决赛 Day2 Web1]Easyweb 1
weixin_43940853的博客
03-17 1325
文件泄露 通过观察源代码(反正就是这几个php文件嘛,一个个试就行了) //image.php.bak <?php include "config.php"; $id=isset($_GET["id"])?$_GET["id"]:"1"; $path=isset($_GET["path"])?$_GET["path"]:""; $id=addslashes($id); $path=a...
apachecn#apachecn-ctf-wiki#[WP/BUUCTF]Cookie-Store-题解_車鈊的博客-CSD
07-25
来源:,涉及Cookie的使用方法操作方
BUU 论坛的编辑器163Editor
09-21
BUU 论坛的编辑器DianUbb.rar
Majin Buu Top HD Anime New Tabs Theme-crx插件
03-15
每次打开一个新选项卡,您将获得Majin Buu提供的不同高清壁纸 这个新主题包括时钟等等。 魔鬼的布欧(the devil,Buu),日本动漫《七龙珠》中的义与恶的角色,是《七龙珠》综合实力最强的BOSS。 这个名字来自电影...
POSN:POSN-BUU的源代码
04-01
POSN POSN-BUU的源代码
BUUCTF [CISCN2019 总决赛 Day2 Web1] Easyweb
Senimo
12-09 2258
BUUCTF [CISCN2019 总决赛 Day2 Web1] Easyweb 考点: 启动靶机: 一个登陆页面,查看源码: <div class="clear"> </div> <div class="avtar"><img src="image.php?id=2" width="200" height="200"/></div> <form method="post" action="user.php"> 发现其存在ima
buu ctf web进阶]ssti
最新发布
08-23
- *1* *2* *3* [(wp)ctfweb-buu中ssti模板注入](https://blog.csdn.net/qq_51862722/article/details/118685275)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值