前言

选取了两条盲注题作为例题,记录了几个典型写法的脚本

PORT51

使用curl的--local-port功能强制使用本地51端口访问，但我在本地Windows没能跑通，可能不兼容吧。虚拟机里是把端口映射出来的，所以也跑不通。最后在服务器拿到了flag。

写在前面

之前陆老板写了几道简单web题让我们测试一下，顺便写个wp给他（嘿嘿，别有用心）。可是由于自己太菜，SSTI的题目遇到的很少，所以此类题目一直靠dalao的通用exp苟活，一遇到过滤就不太能走通了，所以那题磨了很久没搞出来。所以今天做几道SSTI记录下。

简述SSTI

之前的博客已经介绍过SSTI了,还不懂的可以去看看
>>>传送门

##

0x00写在前面

看了p神的博客和其他大佬的博客后,发现自己对通讯这边还是不太懂.
希望摘抄下他们的博客,能够加深理解吧orz

摘自微信公众号HACK学习呀的phpinfo信息利用

在很多比赛中phpinfo能够带来很多有用的信息,因此整理了一些.

0x00简介

最近肺炎爆发，被迫宅在家。闲来无事，做了道web题，正巧碰到了盲点，记录一下。
题目允许用户输入一个图片url，并通过curl发起请求返回图片给用户。
源码如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31

<?php
include "config.php";
session_start();
if(!isset($_SESSION['username'])) {
    header('Location: index.php');
    exit();
}

function insert_img() {
    if (isset($_POST['img_url'])) {
        $img_url = @$_POST['img_url'];
        $url_array = parse_url($img_url);
        if (@$url_array['host'] !== "localhost" && $url_array['host'] !== "timgsa.baidu.com") {
            return false;
        }   
        $c = curl_init();
        curl_setopt($c, CURLOPT_URL, $img_url);
        curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
        $res = curl_exec($c);
        curl_close($c);
        $avatar = base64_encode($res);

        if(filter_var($img_url, FILTER_VALIDATE_URL)) {
            return $avatar;
        }
    }
    else {
        return base64_encode(file_get_contents("static/logo.png"));
    }
}
?>

[HCTF 2018]WarmUp

一条源码审计，访问source.php后可查看源码。查看源码可发现后端将传进来的file参数进行修改，然后查看是否属于白名单，但通过后require的却还是原值。所以要做的就是绕过验证。
分析源码

1
2
3
4
5
6
7
8

 $_page = mb_substr(
    $page,
    0,
    mb_strpos($page . '?', '?')
);
if (in_array($_page, $whitelist)) {
    return true;
}

显然，构造一个hint.php?*类似这样的payload即可绕过。
查看php文档中对include函数有如下解释

如果定义了路径——不管是绝对路径（在 Windows 下以盘符或者 \ 开头，在 Unix/Linux 下以 / 开头）还是当前目录的相对路径（以 . 或者 .. 开头）——include_path 都会被完全忽略。例如一个文件以 ../ 开头，则解析器会在当前目录的父目录下寻找该文件。

即当file=hint.php?/*时，它会将这个文件名当作文件路径，然后忽略其。至此，便可构造file=hint.php?/../../../../../ffffllllaaaagggg拿到payload

前言

一直以为GoogleHack不会运用到ctf中，只有日常渗透时会用。而最近的几场线上赛，有很多题目魔改之前的赛题。在线上赛题目较多的情况下，遇到这种题目应尽量用最短的时间做出来，而搜索是有技巧的，像我之前一阵乱搜，太浪费时间精力了。所以特写此篇博客学习下。
PS：赛后有题做不出来问大师傅，大师傅说网上随便搜搜就出来了，而我根本搜不到。哇的哭出来了。

漏洞描述

CVE-2019-11043 是一个远程代码执行漏洞，使用某些特定配置的 Nginx + PHP-FPM 的服务器存在漏洞，可允许攻击者远程执行代码。
向Nginx + PHP-FPM的服务器 URL发送 %0a 时，服务器返回异常。
该漏洞需要在nginx.conf中进行特定配置才能触发。具体配置如下：

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25

location ~ [^/]\.php(/|$) {



 ...



 fastcgi_split_path_info ^(.+?\.php)(/.*)$;



 fastcgi_param PATH_INFO $fastcgi_path_info;



 fastcgi_pass   php:9000;



 ...



}

前言

这个比赛是帮曹师傅代打的，曹师傅去xctf总决赛了。orz，曹师傅太强了。
总体感觉这个比赛难度正巧是我的水平，做起来很舒服，又不太难，又不无脑。但是由于比赛时间紧，好多题目直接pass，所以有几道题目记不太清了。