【CTF比賽】網鼎杯2020線下半決賽兩道WEB

網鼎杯2020線下半決賽兩道WEB題WriteUp

網鼎杯2020線下半決賽兩道WEB題WriteUp

第一次參與網鼎杯線下賽，五道題3道PWN、兩道WEB(PHP)，下午又加了一道web(nodejs)。
先說下賽制，網鼎杯賽制叫做AWD PLUS，應該是全國唯一采用這個賽制的比賽。名字叫做AWD，實際這個賽制隊伍之間不需要也不允許相互打。每個隊伍每個題目有一個GameBox，提供下載源代碼包，攻擊和修復代碼漏洞就可以得分。與一般AWD不同的是，網鼎杯賽制不需要准備不死馬/通防腳本等，更加偏重於代碼審計、漏洞挖掘、漏洞利用和修復。（也許叫CTF PLUS 或者 AWD STATIC 更合適？）
兩道web題write_up

WEB1 web_AliceWebsite

打開主頁，容易看到上面有個文件包含。
查看源碼，看到

<?php $action = (isset($_GET['action']) ? $_GET['action'] : 'home.php'); if (file_exists($action)) { include $action; } else { echo "File not found!"; } ?> 

沒有任何過濾, include /flag 拿到flag;
payload
?action=/flag

修復加固：

1、正則過濾掉../ ./
2、配置php.ini文件
    關閉遠程文件包含功能(allow_url_include = Off  allow_url_fopen = Off)
2、    設置文件白名單。
4、    建議假定所有輸入都是可疑的，嘗試對所有輸入提交可能可能包含的文件地址，包括服務器本地文件及遠程文件，進行嚴格的檢查，參數中不允許出現../之類的目錄跳轉符。

// 驗證郵箱格式 function checkEmail($email) { if (!preg_match("/([\w\-]+\@[\w\-]+\.[\w\-]+)/", $email)) { return false; } else { return true; } }

WEB2 FAKA

先部署代碼到本地，並導入sql文件。代碼目錄

根目錄robots.txt 里提示1.txt，1.txt里面是注冊邀請碼，根據提示注冊，是一般用戶，略微審計了下 /application/merchat/ 目錄，沒啥用。
后台頁面在/application/admin目錄下，使用的表叫做 system_user

打開system_user表，第一行為賬戶名為admin，密碼為md5的用戶。賽前准備了TOP10W密碼的哈希值，搜索了下這個哈希值沒有搜到。看來需要修改密碼或者新增一個用戶。

繼續審代碼，application/admin/index.php 文件下有兩個方法：

public function pass() { if (intval($this->request->request('id')) !== intval(session('user.id'))) { $this->error('只能修改當前用戶的密碼！'); } if ($this->request->isGet()) { $this->assign('verify', true); return $this->_form('SystemUser', 'user/pass'); } $data = $this->request->post(); if ($data['password'] !== $data['repassword']) { $this->error('兩次輸入的密碼不一致，請重新輸入！'); } $user = Db::name('SystemUser')->where('id', session('user.id'))->find(); if (md5($data['oldpassword']) !== $user['password']) { $this->error('舊密碼驗證失敗，請重新輸入！'); } if (DataService::save('SystemUser', ['id' => session('user.id'), 'password' => md5($data['password'])])) { $this->success('密碼修改成功，下次請使用新密碼登錄！', ''); } $this->error('密碼修改失敗，請稍候再試！'); } /** * 修改資料 */ public function info() { if (intval($this->request->request('id')) === intval(session('user.id'))) { return $this->_form('SystemUser', 'user/form'); } $this->error('只能修改當前用戶的資料！'); } 嘗試了下，兩個路徑都可以直接訪問。第一個方法是修改用戶密碼，可以看到代碼中驗證比較多，沒有什么可以利用點；info這個方法直接調用父類的方法，沒有什么比對驗證，也許可以利用？

根據提示保存數據，數據庫果然新增了一條用戶，並在后台頁面登錄成功。

功能比較少，點擊內容管理時，提示沒有權限，接下來需要越權。
審計了一圈下來，用戶信息都存在session當中，沒辦法直接在頁面交互中改權限。
比對數據庫發現，自己注冊的用戶和admin用戶的authorize值不一樣。

而且自己新增的用戶authorize值為null。能不能在剛才修改用戶的資料里這個頁面直接改？

在burp里加入authorize=3，超級用戶添加成功

成功登錄。
接下來繼續找可以利用的點。
在代碼中可以找到upload, upfile 等方法，在本地測試中，http://localhost/index.php/admin/plugs/upfile 這個路徑可以上傳文件，而且，超級用戶可以修改白名單，允許phtml這樣的后綴。

但是！在比賽方的服務器根本上傳不了，提示mkdir() permission refuse。 但是比賽平台頁面提示中明確寫着/var/www/html/static目錄可寫！本着出題方一般不會出錯的想法，嘗試修改上傳路徑直接到/static路徑下(路徑根據token生成，token可控, …/…/…/往上穿即可)。這一次不提示permission 了, 直接提示 file exits 。 暈。可能比賽方擔心選手搞壞docker影響服務器，不希望選手上傳shell吧。
好吧，閑話不多說。繼續找漏洞。搜索 file_ 一個一個試，此處略過。
最后在application/manage/Backup.php中找到利用點

沒有任何檢查，任意文件讀。最終payload:
http://localhost/index.php/manage/backup/downloadBak?file=…/…/…/…/flag

小問題

這個源碼是基於thinkphp 5.0.14的，眾所周知這個版本有個RCE漏洞。嘗試利用沒有成功，有同學利用成功的嗎?

下載網鼎杯網絡安全奪旗賽 題目源碼