ctfshow baby杯web

Posted 2021-06-18 yu22x

文章目录

• • • baby_captcha
    • ctfshowcms
    • 应该不难
    • babyphp
    • 完美的缺点

baby_captcha

点击首页的无脑给了一个500常用5密码。看来是要爆破密码了。

然后练习下听力，根据放的声音写出来验证码，抓包进行爆破，payload用给的500常用密码。



拿到密码fire，登录就有flag。

ctfshowcms

简略审计了下代码，index.php中存在文件包含。install下的index.php存在任意文件写入，并且内容可控。

因为文件包含的地方加了目录和后缀，所以比较难控制。我们先来看下写文件的地方。
首先当前目录下不能存在installLock.txt，我们可以先直接访问下/install/index.php，发现回显的是你已经安装了ctfshowcms，请勿重复安装。想到前面有个文件包含，正好可以绕过这个限制（因为存在文件包含的index.php所在的路径下没有installLock.txt），/?feng=../install/index 。接着为了不die掉我们把那些参数都给赋值。


最后发现在后面还是会die掉。看来写文件的想法也是走不通的了。

但是我们往上看看，发现进行数据库连接的时候我们三个字段都可以控制。也就是说我们可以让网站连接任意的sql服务器。这时候我们可以搭建一个恶意服务器去读文件。
首先需要在自己的vps上设置数据库可以被远程连接。这个网上文章挺多的，大家可以自己找一下。
接着需要用到个脚本(R1师傅给了个可用的)https://github.com/MorouU/rogue_mysql_server/blob/main/rogue_mysql_server.py
修改下里面的端口和要读的文件，端口改成3307，其他的也可以，只要不是3306。在vps上运行。

接着post传值，数据库用户名和密码是自己vps上的。

就可以 接收到flag了。

应该不难

参考文章https://www.dz-x.net/t/1017/1/1.html

babyphp

过了一遍代码，发现可以利用file_put_contents写文件。
两个前提:case 'upload'和return !preg_match('/php/i', $input)为true。
大家可以试一下

<?php
var_dump(highlight_file(__FILE__));   

返回的结果是true，所以第一个我们只要不给a传值就可以了。
绕过第二个限制可以上传.user.ini，内容为auto_prepend_file=2.jpg，接着上传2.jpg，内容为<?=`ls /`;?>刷新一下就可以了。

完美的缺点

题目设置了open_basedir，所以我们写文件和include都只能限制在该目录下。文件名和内容都有长度限制。
但是我们发现只要post传一个ctfshow就可以使用include函数，那我们试试可不可以使用data伪协议呢。
因为有长度限制我们可以这样写file_name=data:,<?=`ls`;’

接着打开flag.php,file_name=data:,<?=`nl *`;
记得bp里面url编码下。
当然data伪协议都可以用了，http自然也可以。
我们先来看下最短的ip的情况下也就是http://1.1.1.1长度为14，所以如果你vps的ip足够小，就可以直接远程文件包含了。如果比较大的话我们可以试试转成10进制或者16进制。
https://tool.520101.com/wangluo/jinzhizhuanhuan/