NSSCTF第12页（2）

[CSAWQual 2019]Unagi

是xxe注入，等找时间会专门去学一下

XML外部实体（XXE）注入 - 知乎

【精选】XML注入学习-CSDN博客

【精选】XML注入_xml注入例子-CSDN博客

题目描述说flag在/flag下

发现有上传点，上传一句话木马试试

文件类型不行

看见提示说在链接处得到上传例子

You can check out the format example here

发现是xml文件格式

看到这里就有了整体的思路，就是要用xxe注入，上传xml格式文件

通用模板

<?xml version="1.0"?>

<!DOCTYPE ANY [ <!ENTITY entityex SYSTEM "file:///"etc/password"> ]>

下边接题中所给的user

因为给了flag文件的路径，所以直接用/flag

payload：

<?xml version='1.0'?>
<!DOCTYPE users [
<!ENTITY xxe SYSTEM "file:///flag" >]>
<users>
    <user>
        <username>bob</username>
        <password>passwd2</password>
        <name> Bob</name>
        <email>bob@fakesite.com</email>
        <group>CSAW2019</group>
        <intro>&xxe;</intro>
    </user>
</users>

发现还是没绕过防火墙

看wp才知道要用utf-16编码

kali 命令-编码转换

iconv -f utf8 -t utf16 1.xml>2.xml

上传得到flag

[FSCTF 2023]EZ_eval

rce，正则限制了好多

cp 命令详解_cp命令-CSDN博客

以为cp可以利用，但是发现不行

题目是eval，利用eval函数执行php代码

关键就是过滤了?号和空格还有eval执行时用了php的结束标志表示php代码到此为止了

可以用php短标签，有三种方式：

<? echo '123';?> #前提是开启配置参数short_open_tags=on

<% echo '123';%> #开启配置参数asp_tags=on，并且只能在7.0以下版本使用

这里利用到了一个没学过的函数passsthru()

PHP系统程序执行函数（system,passthru,exec）简单分析（附代码）-php教程-PHP中文网

php system执行shell,php命令执行函数–shell_exec()、passthru()、exec()、system()与防止命令执行漏洞函数..._周行文的博客-CSDN博客

passthru

— 执行外部程序并且显示原始输出

void passthru ( string $command [, int &$return_var ] )

范例

<?phppassthru("ls");
?>

执行结果：

index.phptest.php

payload :

/?word=<script%09language="php">passthru("ta\c%09/f*");

用%09绕过空格，其它的我都试了一遍，没绕过

用\绕过tac的限制

*通配符绕过flag的关键字

得到flag

prize_p1

代码审计一下

首先有getflag类，内容就是输出$FLAG，触发条件为__destruct；然后就是A类的文件写入和读取。最后就是对GET[0]的关键字判断，通过后反序列化GET[0]。

prize1 | bilala's blog 参考wp

思路：

因为正则过滤了flag，所以无法直接触发getflag类；转眼去看A类，既然有任意内容写入+任意文件读取+类，优先考虑phar反序列化

那我们就先利用A类的写文件功能写入一个phar文件，其中phar文件的metadata部分设置为getflag类，其中phar文件的metadata部分设置为getflag类，这样phar://读取之后，其中的metadata部分的数据就被反序列化，getflag就生成了，再最后程序结束触发__destruct获取flag

绕过preg_match，可以采用数组绕过的方法

这道题主要有两个考点————————>Phar反序列化和强制GC销毁类

浅谈php GC(垃圾回收)机制及其与CTF的一点缘分 - 码农教程

从一道题再看phar的利用-安全客 - 安全资讯平台

关键绕过：

throw Error使得我们的类没有被销毁，所以如何触发__destruct方法成为了一个问题

在写入文件时，我们需要带入的getflag类中还是包含了flag这个关键字，还是会被拦住。所以我们还需要想办法绕过这个关键字，同时还得保证phar://读取时仍可以反序列化其中的数据

强制GC触发__destruct

在PHP中，正常触发析构函数(__destruct)有三种方法：

①程序正常结束

②主动调用unset($aa)

③将原先指向类的变量取消对类的引用，即$aa = 其他值;

前两种很好理解，我们来讲讲第三种

PHP中的垃圾回收Garbage collection机制，利用引用计数和回收周期自动管理内存对象。当一个对象没有被引用时，PHP就会将其视为“垃圾”，这个”垃圾“会被回收，回收过程中就会触发析构函数

class bilala{

    public function __construct($count){

        $this->count = $count;

    }

    public function __destruct(){

        echo $this->count."destruct触发";

    }

}

$aa = new bilala(1);

//这里的bilala对象就不是垃圾，因为他被$aa所引用

new bilala(2);

//这里的就是垃圾（也就是匿名对象），new出来后没被引用，就会被当作垃圾回收(所以触发析构)

echo PHP_EOL."**********************************".PHP_EOL;

$aa = new bilala(3);

//这里将$aa指向了另一个对象的引用，所以原先的对象触发析构

echo PHP_EOL."**********************************".PHP_EOL;

//程序结束，触发析构

所以在这道题中，我们可以利用取消原本对getflag的引用，从而触发他的析构函数。

操作如下，在phar的metadata中写入的内容为a:2:{i:0;O:7:"getflag":0:{}i:0;N;}

这样的话，当phar://反序列化其中的数据时（反序列化时是按顺序执行的），先反出a[0]的数据，也就是a[0]=getflag类，再接着反序列化时，又将a[0]设为了NULL，那就和上述所说的一致了，getflag类被取消了引用，所以会触发他的析构函数，从而获得flag

参考wp写的很详细，就不一一赘述了，PHP反序列化需要很深的功底才能学的好

010editor中修改，将对应的位由1改成0，然后保存

phar文件是修改成功了，但这个时候这个phar是处于损坏状态的，因为我们修改了前面的数据导致后面的签名对不上。这个时候，我们还需要手动计算出这个新phar文件的签名，查看PHP手册找到phar的签名格式

我们刚刚的phar的签名标志位为0x0002，为SHA1签名，所以我们要计算的是出的字节是[-28:-8]，用脚本计算我们新的phar文件的签名，并重新写入文件（也可以导出为新文件）

可以对phar.phar文件做以上这些处理，使其成为乱码，从而绕过关键字的检测。

gzip

直接在Linux中gzip压缩一下，然后通过POST[0]上传这个文件，再读取flag

脚本执行，得到flag

[广东强网杯 2021 团队组]love_Pokemon

人傻了

获得hint.php的条件就是先满足switch这个循环当满足case为 bulbasaur! 的时候它才会去执行下面这个匹配函数

那么这个就是说输入的字符串不包含lv100，但是经过escapeshellarg()处理之后含有lv100

这里就是一个escapeshellarg() 的考点

escapeshellarg 的作用是把字符串转码为可以在 shell 命令里使用的参数。（escapeshellarg 和 escapeshellcmd 相似，主要看是否有引号）

那么这里就可以使用漏洞：escapeshellarg()这个函数在处理超过ASCII码范围的字符的时候会直接过滤掉该字符串

那么我们直接我们可以用%81去绕过，因为%81为不可见字符（当然还有其他的）