2. 科技
    3. 西湖论剑 web 5 easyjson

    西湖论剑 web 5 easyjson

    科技2026-01-07  11

    今天西湖论剑比赛,但是今天要去学校所以一上午就在火车上度过,下午4点才去看了看题,也只看了一道题。就和队伍小伙伴讨论(yu22x师傅和atao师傅)出来的,但是自己环境错了(应该是封了我ip),在最后换了手机wifi的才提交了flag。真的太刺激啦 唯一遗憾就是今天开学坐火车没有太多时间做题,大部分是m3w师傅和呆呆师傅做的。

    一. 源代码

    <?php include 'security.php'; if(!isset($_GET['source'])){ show_source(__FILE__); die(); } $sandbox = 'sandbox/'.sha1($_SERVER['HTTP_X_FORWARDED_FOR']).'/';//设置沙盒根据自己ip获得目录 var_dump($sandbox); if(!file_exists($sandbox)){//如果不存在就创建 mkdir($sandbox); file_put_contents($sandbox."index.php","<?php echo 'Welcome To Dbapp OSS.';?>"); } $action = $_GET['action']; $content = file_get_contents("php://input");//获得post数据流 if($action == "write" && SecurityCheck('filename',$_GET['filename']) &&SecurityCheck('content',$content)){//验证函数 $content = json_decode($content);//json格式解密 $filename = $_GET['filename']; $filecontent = $content->content;//获得content变量的值 $filename = $sandbox.$filename; file_put_contents($filename,$filecontent."\n Powered By Dbapp OSS.");//写入文件,利用点 }elseif($action == "reset"){//删除操作 $files = scandir($sandbox); foreach($files as $file) { if(!is_dir($file)){ if($file !== "index.php"){ unlink($sandbox.$file); } } } } else{ die('Security Check Failed.'); }

    二. 思路

    代码比较简单,意思就是我们访问的时候会生成一个沙盒目录,然后我们通过json格式写入文件进行利用 在自己之前测试的过程,是自己将json格式进行url编码,但是羽师傅告诉我说这样不会进行解析,之后在本地测试了一下确实不能进行解析。

    #test.php <?php error_reporting(0); highlight_file(__FILE__); $content = file_get_contents('php://input'); // $content = '{"content":"1"}'; $content = json_decode($content); $filecontent = $content->content; print_r($filecontent); ?>

    之后和羽师傅讨论,因为题目叫easyjson,所以SecurityCheck()函数里面应该是对json格式的验证,自己fuzz了一下发现对content这个变量进行了过滤。并且filename这个参数可以后缀名是.php而且不能的数字 所以考点就是绕过json格式

    三. json格式绕过

    浅谈json参数解析对waf绕过的影响 经过测试,发现unicode编码可以绕过 unicode转换工具 在本地测试成功

    四. getshell

    接下来思路就清晰啦,我们直接写入一个php进行getshell。 这里我们为了保险起见 写入一句

    <?='ls /`;?>

    然后访问沙盒目录下的a.php 执行成功,然后就读flag。这里使用*来替代flag,因为flag被过滤啦

    五. 总结

    最后羽师傅copy下了security.php,我们就可以分析一下过滤了那些

    <?php function SecurityCheck($type,$content){ switch ($type){ case 'filename'://文件名匹配字母,没有验证后缀名 if(preg_match("/[^a-z\.]/", $content) !== 0) { return false; } return true; break; case 'content'://过滤了on html flag file php upload type if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file') || stristr($content,'php') || stristr($content,'.')) { return false; } return true; break; } }// Powered By Dbapp OSS

    最后的最后,和羽师傅笑谈,可能羽师傅感觉太简单啦~

    Processed: 0.017, SQL: 9