AI 助理
备案控制台
开发者社区 开发与运维 文章 正文

2018CSTC web2 writeup

2018-05-14 1601
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
简介: 全国网络空间安全技术大赛,比赛地址http://cstc.xatu.edu.cn/这次和小伙伴参加了线上初赛,再次被吊打,除了签到和这题Web2,连Web1就卡着一直没做出来/(ㄒoㄒ)/~~题目地址:http://117.

全国网络空间安全技术大赛,比赛地址
http://cstc.xatu.edu.cn/

这次和小伙伴参加了线上初赛,再次被吊打,除了签到和这题Web2,连Web1就卡着一直没做出来/(ㄒoㄒ)/~~
题目地址:
http://117.34.116.192/

打开题目链接,首先会自动跳转到一个看似有文件包含的url界面


image.png

界面的内容是一个登陆页面


image.png

先尝试登陆页面的登陆功能,查看是否可能存在sql注入,结果发现这个登陆页面并没有和后端进行交互,登陆功能应该只是一个伪装

于是对疑似存在文件包含的url进行尝试,发现存在任意目录文件查看

117.34.116.192/index.php?file=/etc/passwd
image.png

心想题目不可能这么简单,果然在查看了许多可能的文件后,都没有发现flag的身影
这时候思路开始变化,尝试伪协议、包含web服务器日志、包含/proc/self/environ等,,但是都失败了,估计对访问权限做过控制
LFI、RFI思路可以参考https://blog.csdn.net/xysoul/article/details/45031675

尝试使用php、file、http等,服务端应该对file参数进行了检测


image.png

这里查看apache2的日志路径是默认的/var/log/apache2/error.log


image.png

但是包含后并没有内容,/proc/self/environ也同样没有内容返回


image.png
image.png

到这里卡了段时间(菜鸡的痛),无意间灵光一闪,随手一敲,发现这题还有个源码泄露。。。因为怕被ban,一直没起扫描器,不然源码泄露应该发现得早

http://117.34.116.192/.git/
image.png

拿起git源码泄露利用工具https://github.com/lijiejie/GitHack拿下源码
发现内容还有个upload.php

image.png 

 <?php
    function Administrator($value){
        if(empty($_COOKIE['in_adminid']) || empty($_COOKIE['in_adminexpire']) || $_COOKIE['in_adminexpire']!==md5($_COOKIE['in_adminid'].$_COOKIE['in_adminname'].$_COOKIE['in_adminpassword'].$_COOKIE['in_permission'])){
            return False;
        }
        setcookie("in_adminexpire",$_COOKIE['in_adminexpire'],time()+1800);
        if(!empty($_COOKIE['in_permission'])){
            $array=explode(",",$_COOKIE['in_permission']);
            $adminlogined=false;
            for($i=0;$i<count($array);$i++){
                if($array[$i]==$value){$adminlogined=true;}
            }
            if(!$adminlogined){
                return False;
            }
        }else{
            return False;
        }
        return true;
    }
    if (Administrator(2)){
        if(isset($_FILES['file'])){
            $filename = './img/img'.rand().'.jpg';
            move_uploaded_file($_FILES["file"]["tmp_name"],$filename);
            header('Refresh:3,url=index.php?file=upload.php');
            echo "Upload $filename Success!";
            die;
        }
    }else{
        header('Refresh:3,url=index.php?file=login.html');
        echo "Who are you!";
        die;
    }
?>
<!DOCTYPE html>
<html lang="zh-CN">
  <head>
    <meta charset="utf-8">
    <meta http-equiv="X-UA-Compatible" content="IE=edge">
    <meta name="viewport" content="width=device-width, initial-scale=1">
    <meta name="description" content="">
    <meta name="author" content="">
    <link rel="icon" href="../../favicon.ico">
    <title>图床后台</title>
    <link href="https://cdn.bootcss.com/bootstrap/3.3.7/css/bootstrap.min.css" rel="stylesheet">
    <link href="starter-template.css" rel="stylesheet">
  </head>
  <body>
    <script src="https://cdn.bootcss.com/jquery/1.12.4/jquery.min.js"></script>
    <script src="https://cdn.bootcss.com/bootstrap/3.3.7/js/bootstrap.min.js"></script>     
    <form class="form-horizontal" action="upload.php" method="post" enctype="multipart/form-data">
    <fieldset>
      <div id="legend" class="">
        <legend class="">添加图片</legend>
      </div>
    <div class="control-group">
          <!-- Text input-->
          <label class="control-label" for="input01">图片名</label>
          <div class="controls">
            <input placeholder="请输入Message标题" class="input-xlarge" type="text" name="title">
          </div>
        </div>

    <div class="control-group">
          <label class="control-label">附件</label>
          <!-- File Upload -->
          <div class="controls">
            <input class="input-file" id="file" type="file" name='file'>
          </div>
        </div>

    

    <div class="control-group">
          <label class="control-label">预览</label>
          <!-- Button -->
          <div class="controls">
            <button class="btn btn-success">Submit</button>
          </div>
        </div>

    </fieldset>
  </form>
  </body>
</html>

另外,打开index.php,不是熟悉的php代码,而是一个貌似加密过的文件


image.png

用记事本打开,看到了这里的关键词PM9SCREW,熟悉的php_screw加密
在之前的ctf比赛中出现过


image.png

暂时不管这个php_screw加密,首先对upload.php进行审计

function Administrator($value){
        if(empty($_COOKIE['in_adminid']) || empty($_COOKIE['in_adminexpire']) || $_COOKIE['in_adminexpire']!==md5($_COOKIE['in_adminid'].$_COOKIE['in_adminname'].$_COOKIE['in_adminpassword'].$_COOKIE['in_permission'])){
            return False;
        }
        setcookie("in_adminexpire",$_COOKIE['in_adminexpire'],time()+1800);
        if(!empty($_COOKIE['in_permission'])){
            $array=explode(",",$_COOKIE['in_permission']);
            $adminlogined=false;
            for($i=0;$i<count($array);$i++){
                if($array[$i]==$value){$adminlogined=true;}
            }
            if(!$adminlogined){
                return False;
            }
        }else{
            return False;
        }
        return true;
    }

函数Administrator中对cookie的内容进行了判断
需要cookie包含有in_adminid、in_adminexpire、in_adminname、in_adminpassword、in_permission字段
并且需要满足in_adminexpire等于(in_adminid、in_adminname、in_adminpassword、in_permission)字符串拼接后的MD5值
之后还需要in_permission中包含2

if (Administrator(2)){
        if(isset($_FILES['file'])){
            $filename = './img/img'.rand().'.jpg';
            move_uploaded_file($_FILES["file"]["tmp_name"],$filename);
            header('Refresh:3,url=index.php?file=upload.php');
            echo "Upload $filename Success!";
            die;
        }
    }else{
        header('Refresh:3,url=index.php?file=login.html');
        echo "Who are you!";
        die;
    }

当Administrator函数返回真值后,将会把上传的文件用move_uploaded_file函数拷贝到./img/下,并且通过随机数命名

这里很好绕过,可以直接上传一句话


image.png

再通过一开始看似无用的文件包含利用点,包含上传的jpg文件,即可RCE
ls发现当前目录下有f14g.php


image.png

查看f14g.php,发现和index.php一样,也是经过了php_screw的加密


image.png

接下来就是想办法把f14g.php的二进制内容获取下来之后
通过利用工具将其还原,这里参考http://wutongyu.info/about-php-screw-decode/
使用xxd命令拿下文件16进制表示

image.png

手动整理一下
image.png

使用xxd -r -ps将二进制流写进文件

echo 09504d39534352455709863e3cdeee36176f3d91ae7644268da98fda3f934ce958687055f21cfc4dad1303e3ccf373c2e34c333343fd52edaca2bd5332729c3c9232f31c047812d2376fe45d2eba | xxd -r -ps > f14g.php

完成后,可以利用工具直接解密

./decode ./f14g.php

最后得到flag


image.png

总结

文件上传配合文件包含使得RCE
git源码泄露
php_screw加密

文章标签:
密钥管理服务
数据安全/隐私保护
PHP
索引
Web App开发
开发工具
云勺
目录
相关文章
真的很搞笑
|
消息中间件 SQL 关系型数据库
实时计算 Flink版产品使用合集之读取kafka数据然后入库到starrocks,出现未知问题如何解决
实时计算Flink版作为一种强大的流处理和批处理统一的计算框架,广泛应用于各种需要实时数据处理和分析的场景。实时计算Flink版通常结合SQL接口、DataStream API、以及与上下游数据源和存储系统的丰富连接器,提供了一套全面的解决方案,以应对各种实时计算需求。其低延迟、高吞吐、容错性强的特点,使其成为众多企业和组织实时数据处理首选的技术平台。以下是实时计算Flink版的一些典型使用合集。
真的很搞笑
515 1
孙飞i
|
JavaScript API 索引
js中的reduce()方法 讲解 和实现
`reduce()` 方法对数组元素依次应用一个回调函数,将结果累计并最终返回单一值。语法为 `reduce(callback(accumulator, currentValue, currentIndex, array), initialValue)`。参数包括累计器(初次为初始值或首元素)、当前元素值、索引及数组自身。此方法需返回值供下一轮迭代使用。常见应用场景包括计算数组总和与平均值、统计元素频率、过滤与转换数组内容及去除重复项等。例如,可通过 `reduce()` 快速计算 `[1, 2, 3, 4, 5]` 的总和或对对象属性值求和。此外,还可自定义实现 `reduce()` 方法
孙飞i
5303 1
C哩C哩li
|
iOS开发
ios中,输入框获得焦点时,页面输入框被遮盖,定位的元素位置错乱
ios中,输入框获得焦点时,页面输入框被遮盖,定位的元素位置错乱
C哩C哩li
309 1
Hello阿尔法
【力扣】104. 二叉树的最大深度、111. 二叉树的最小深度
【力扣】104. 二叉树的最大深度、111. 二叉树的最小深度
Hello阿尔法
97 1
snowball_win
|
前端开发
微前端-qiankun:vue3-vite 接入 vue3-webpack
微前端-qiankun:vue3-vite 接入 vue3-webpack
snowball_win
663 0
断墨寻径
|
Java
接口特性
接口特性
断墨寻径
262 1
tinyvvampirepudge
|
IDE 开发工具
Waiting for another flutter command to release the startup lock... 异常解决
平时我们在开发flutter过程中,在执行`flutter packages get`命令之后,如果运气不好的,命令没有执行成功的话,我们就会遇到这个错误提示: ``` Waiting for another flutter command to release the startup lock... ```
tinyvvampirepudge
697 0
鲲志说
|
Java 编译器
Java 编译错误: java.lang.ExceptionInInitializer com.sun.tools.javac.code.TypeTags
Java 编译错误: java.lang.ExceptionInInitializer com.sun.tools.javac.code.TypeTags
鲲志说
1725 0
Java 编译错误: java.lang.ExceptionInInitializer com.sun.tools.javac.code.TypeTags
苏苏同学
|
前端开发 JavaScript Java
都2022年了你不会还没搞懂js异步编程吧
js异步编程
苏苏同学
178 0
acc8226
|
iOS开发 开发者
Mac 下 SVN 客户端使用
安装方法 mac 下已经自带了svn环境 。使用svn –version 查看是否安装。 如果你有安装XCode,只需要在code > Preferences > download > Command Line Tools > Install即可,速度很快,基本1分钟搞定。 如果没有需要在Apple Developer网站 下载Command_Line_Tools_for_Xcode.dmg独立安装包。[不推荐手动查找安装包] 当然也可以命令行安装 xcode-select --install 也可使用 brew 安装svn brew install svn svn 图形化界面 sna
acc8226
696 0
Mac 下 SVN 客户端使用

热门文章

最新文章

  • 1
    SLS机器学习介绍(05):时间序列预测
  • 2
    mDNS原理的简单理解——每个进入局域网的主机,如果开启了mDNS服务的话,都会向局域网内的所有主机组播一个消息,我是谁,和我的IP地址是多少。然后其他也有该服务的主机就会响应,也会告诉你,它是谁,它的IP地址是多少
  • 3
    阿里云率先达成国家绿色数据中心标准,平均PUE低于1.3
  • 4
    深入解读:KubeVela 与 PaaS 有何不同?
  • 5
    nginx配置反向代理或跳转出现400问题处理记录
  • 6
    Kafka客户端工具:Offset Explorer 使用指南
  • 7
    美国国家标准技术局发布应用容器安全指南  
  • 8
    2022年l6月云大使返佣规则
  • 9
    阿里云ECS服务器CentOS7上安装Apache服务
  • 10
    两个INSERT发生死锁原因剖析
  • 1
    避免人为漏测:Dify工作流成为你的“测试策略大脑”,全天候在线排查
    43
  • 2
    ZTree基本使用及本人详解 使用案例2
    28
  • 3
    Serverless 不是“无服务器”,而是“别再让服务器绑架你的创新”
    33
  • 4
    全面解读 SonarQube 8.9 LTS 到 2025.4 的特性变化
    29
  • 5
    微服务不是“上来就拆”,而是“能拆会拆懂拆”
    33
  • 6
    数据嗅探社会热点:我们靠“感觉”,机器靠“证据”
    69
  • 7
    基于springboot的高校科研管理系统
    124
  • 8
    守护你的服务器(Linux进程监控与实时告警入门指南)
    23
  • 9
    2025主流AI外呼产品深度评测,一文看懂企业外呼Agent选型
    42
  • 10
    CrewAI 上手攻略:多 Agent 自动化处理复杂任务,让 AI 像员工一样分工协作
    37

    • 相关电子书

    更多
  • 低代码开发师(初级)实战教程
  • 冬季实战营第三期:MySQL数据库进阶实战
  • 阿里巴巴DevOps 最佳实践手册
    • 下一篇
    拔俗AI临床大数据科研分析平台:让医学研究更智能、更高效