首页 文章 精选 留言 我的

2018CSTC web2 writeup

2018-05-13 583

全国网络空间安全技术大赛,比赛地址
http://cstc.xatu.edu.cn/

这次和小伙伴参加了线上初赛,再次被吊打,除了签到和这题Web2,连Web1就卡着一直没做出来/(ㄒoㄒ)/~~
题目地址:
http://117.34.116.192/

打开题目链接,首先会自动跳转到一个看似有文件包含的url界面


image.png

界面的内容是一个登陆页面


image.png

先尝试登陆页面的登陆功能,查看是否可能存在sql注入,结果发现这个登陆页面并没有和后端进行交互,登陆功能应该只是一个伪装

于是对疑似存在文件包含的url进行尝试,发现存在任意目录文件查看

117.34.116.192/index.php?file=/etc/passwd
image.png

心想题目不可能这么简单,果然在查看了许多可能的文件后,都没有发现flag的身影
这时候思路开始变化,尝试伪协议、包含web服务器日志、包含/proc/self/environ等,,但是都失败了,估计对访问权限做过控制
LFI、RFI思路可以参考https://blog.csdn.net/xysoul/article/details/45031675

尝试使用php、file、http等,服务端应该对file参数进行了检测


image.png

这里查看apache2的日志路径是默认的/var/log/apache2/error.log


image.png

但是包含后并没有内容,/proc/self/environ也同样没有内容返回


image.png
image.png

到这里卡了段时间(菜鸡的痛),无意间灵光一闪,随手一敲,发现这题还有个源码泄露。。。因为怕被ban,一直没起扫描器,不然源码泄露应该发现得早

http://117.34.116.192/.git/
image.png

拿起git源码泄露利用工具https://github.com/lijiejie/GitHack拿下源码
发现内容还有个upload.php

image.png 

 <?php
    function Administrator($value){
        if(empty($_COOKIE['in_adminid']) || empty($_COOKIE['in_adminexpire']) || $_COOKIE['in_adminexpire']!==md5($_COOKIE['in_adminid'].$_COOKIE['in_adminname'].$_COOKIE['in_adminpassword'].$_COOKIE['in_permission'])){
            return False;
        }
        setcookie("in_adminexpire",$_COOKIE['in_adminexpire'],time()+1800);
        if(!empty($_COOKIE['in_permission'])){
            $array=explode(",",$_COOKIE['in_permission']);
            $adminlogined=false;
            for($i=0;$i<count($array);$i++){
                if($array[$i]==$value){$adminlogined=true;}
            }
            if(!$adminlogined){
                return False;
            }
        }else{
            return False;
        }
        return true;
    }
    if (Administrator(2)){
        if(isset($_FILES['file'])){
            $filename = './img/img'.rand().'.jpg';
            move_uploaded_file($_FILES["file"]["tmp_name"],$filename);
            header('Refresh:3,url=index.php?file=upload.php');
            echo "Upload $filename Success!";
            die;
        }
    }else{
        header('Refresh:3,url=index.php?file=login.html');
        echo "Who are you!";
        die;
    }
?>
<!DOCTYPE html>
<html lang="zh-CN">
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <meta name="description" content="">
    <meta name="author" content="">
    <link rel="icon" href="../../favicon.ico">
    <title>图床后台</title>
    <link href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet">
    <link href="starter-template.css" rel="stylesheet">
  </head>
  <body>
    <script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>
    <script src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>     
    <form class="form-horizontal" action="upload.php" method="post" enctype="multipart/form-data">
    <fieldset>
      <div id="legend" class="">
        <legend class="">添加图片</legend>
      </div>
    <div class="control-group">
          <!-- Text input-->
          <label class="control-label" for="input01">图片名</label>
          <div class="controls">
            <input placeholder="请输入Message标题" class="input-xlarge" type="text" name="title">
          </div>
        </div>

    <div class="control-group">
          <label class="control-label">附件</label>
          <!-- File Upload -->
          <div class="controls">
            <input class="input-file" id="file" type="file" name='file'>
          </div>
        </div>

    

    <div class="control-group">
          <label class="control-label">预览</label>
          <!-- Button -->
          <div class="controls">
            <button class="btn btn-success">Submit</button>
          </div>
        </div>

    </fieldset>
  </form>
  </body>
</html>

另外,打开index.php,不是熟悉的php代码,而是一个貌似加密过的文件


image.png

用记事本打开,看到了这里的关键词PM9SCREW,熟悉的php_screw加密
在之前的ctf比赛中出现过


image.png

暂时不管这个php_screw加密,首先对upload.php进行审计

function Administrator($value){
        if(empty($_COOKIE['in_adminid']) || empty($_COOKIE['in_adminexpire']) || $_COOKIE['in_adminexpire']!==md5($_COOKIE['in_adminid'].$_COOKIE['in_adminname'].$_COOKIE['in_adminpassword'].$_COOKIE['in_permission'])){
            return False;
        }
        setcookie("in_adminexpire",$_COOKIE['in_adminexpire'],time()+1800);
        if(!empty($_COOKIE['in_permission'])){
            $array=explode(",",$_COOKIE['in_permission']);
            $adminlogined=false;
            for($i=0;$i<count($array);$i++){
                if($array[$i]==$value){$adminlogined=true;}
            }
            if(!$adminlogined){
                return False;
            }
        }else{
            return False;
        }
        return true;
    }

函数Administrator中对cookie的内容进行了判断
需要cookie包含有in_adminid、in_adminexpire、in_adminname、in_adminpassword、in_permission字段
并且需要满足in_adminexpire等于(in_adminid、in_adminname、in_adminpassword、in_permission)字符串拼接后的MD5值
之后还需要in_permission中包含2

if (Administrator(2)){
        if(isset($_FILES['file'])){
            $filename = './img/img'.rand().'.jpg';
            move_uploaded_file($_FILES["file"]["tmp_name"],$filename);
            header('Refresh:3,url=index.php?file=upload.php');
            echo "Upload $filename Success!";
            die;
        }
    }else{
        header('Refresh:3,url=index.php?file=login.html');
        echo "Who are you!";
        die;
    }

当Administrator函数返回真值后,将会把上传的文件用move_uploaded_file函数拷贝到./img/下,并且通过随机数命名

这里很好绕过,可以直接上传一句话


image.png

再通过一开始看似无用的文件包含利用点,包含上传的jpg文件,即可RCE
ls发现当前目录下有f14g.php


image.png

查看f14g.php,发现和index.php一样,也是经过了php_screw的加密


image.png

接下来就是想办法把f14g.php的二进制内容获取下来之后
通过利用工具将其还原,这里参考http://wutongyu.info/about-php-screw-decode/
使用xxd命令拿下文件16进制表示

image.png

手动整理一下
image.png

使用xxd -r -ps将二进制流写进文件

echo 09504d39534352455709863e3cdeee36176f3d91ae7644268da98fda3f934ce958687055f21cfc4dad1303e3ccf373c2e34c333343fd52edaca2bd5332729c3c9232f31c047812d2376fe45d2eba | xxd -r -ps > f14g.php

完成后,可以利用工具直接解密

./decode ./f14g.php

最后得到flag


image.png

总结

文件上传配合文件包含使得RCE
git源码泄露
php_screw加密

上一篇 下一篇
优秀的个人博客,低调大师

微信关注我们

原文链接:https://yq.aliyun.com/articles/625462

转载内容版权归作者及来源网站所有!

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

hi-nginx-1.4.9正式发布,支持javascript后端开发

hi-nginx-1.4.9已经发布。 更新: 支持javascript后端开发 修复脚本搜索的一个bug 从这一版开始,hi-nginx开始支持javascript,这意味着把javascript应用于后端开发,将不再只有nodejs这唯一的途径和方法。由于java本身对javascript的极好支持,使得在hi-nginx中,可以直接在javascript脚本中使用java——相当于把java嵌入了javascript。 为了开启javascript支持,你只需要开启java支持即可:--enable-http-hi-java=YES。 例子: if (typeof (Mustache) == 'undefined') { load('https://cdn.bootcss.com/mustache.js/2.3.0/mustache.min.js') } var list = java.util.Arrays.asList(0, 1, 2, 3, 4, 5, 6, 7, 8, 9); var template = "{{#list}}* {{.}}\n{{/list}}" var...
2018-05-14
674
上一篇

Jenkins +maven+tomcat自动构建部署(学习笔记三十六)

https://my.oschina.net/denglz/blog/524154 摘要: jenkins + maven + svn + tomcat 自动部署 jenkins 是做什么用的,如果不知道请自行google 通俗的说 jenkins 可以帮助我们编译发布代码,比如我们提交到SVN后,要发布运行,就可以用过jenkins进行编译运行 环境(这里主要标注下我的环境): 1: SVN服务器 项目检出地址https://192.168.1.22/svn/trunk/crm(centos) 2: maven 私服http://192.168.1.23:8080(cnetos) 3: tomcat web serverhttp://192.168.1.24:10086 (centos) #这个tomcat我使用的不是8080因为这个端口要让jenkins来使用.当然这些不是固定的!! 注: 因为我这边是测试环境,就吧jemkins放到了tomcat web server 上. 正式部署jenkins A:登录192.168.1.24部署jenkins #我使用的帐号是root...
2018-05-14
570
下一篇

相关文章

发表评论

资源下载

更多资源
优质分享App

优质分享App

近一个月的开发和优化,本站点的第一个app全新上线。该app采用极致压缩,本体才4.36MB。系统里面做了大量数据访问、缓存优化。方便用户在手机上查看文章。后续会推出HarmonyOS的适配版本。

时间: 2025-12-03 大小: 4.36MB 下载: 23次
Nacos

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称,一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集,帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

时间: 2025-12-17 大小: 189MB 下载: 1次
Spring

Spring

Spring框架(Spring Framework)是由Rod Johnson于2002年提出的开源Java企业级应用框架,旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念,提供核心容器、应用上下文、数据访问集成等模块,支持整合Hibernate、Struts等第三方框架,其适用范围不仅限于服务器端开发,绝大多数Java应用均可从中受益。

时间: 2025-12-17 大小: 5MB 下载: 1次
Rocky Linux

Rocky Linux

Rocky Linux(中文名:洛基)是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版,作为CentOS稳定版停止维护后与RHEL(Red Hat Enterprise Linux)完全兼容的开源替代方案,由社区拥有并管理,支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性,采用模块化包装和SELinux安全架构,默认包含GNOME桌面环境及XFS文件系统,支持十年生命周期更新。

时间: 2025-12-17 大小: 1.42GB 下载: 1次
手机查看

扫码在手机上查看文章

扫描二维码,手机阅读更方便

热门标签
Kubernetes Nacos3 HarmonyOS6 Rocky Docker Gemini3 Jdk25 SpringBoot4 Redis Service Mesh SpringCloud DeepSeek OpenAi

欢迎您!

登录后,您将获得更多功能!

热门文章
联系我们

有任何问题或合作意向欢迎联系我们

Email: 99873273@qq.com

QQ: 99873273