web第34题
[网鼎杯 2020 朱雀组]phpweb
打开靶场,页面每隔5秒会刷新
查看源代码
两个hidden类型的参数,抓包进行尝试
没接触过此类型,查了一下相关资料
因为date是php中格式化本地日期和时间,并返回已格式化的日期字符串的函数。
这里应该联想到命令执行
直接尝试system和eval函数
发现有过滤,这时应该需要读取一下index.php文件才能进行下一步了
index.php源码:
<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
$result = call_user_func($func, $p);
$a= gettype($result);
if ($a == "string") {
return $result;
} else {return "";}
}
class Test {
var $p = "Y-m-d h:i:s a";
var $func = "date";
function __destruct() {
if ($this->func != "") {
echo gettime($this->func, $this->p);
}
}
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];
if ($func != null) {
$func = strtolower($func);
if (!in_array($func,$disable_fun)) {
echo gettime($func, $p);
}else {
die("Hacker...");
}
}
?>
显然做了黑名单限制,禁止了很多函数
并且使用call_user_func函数进行函数调用:call_user_func
注意这里有个Test类,在黑名单中也没有发现unserialize函数,立马联想到反序列化漏洞
生成序列化后的字符串,列出根目录下的文件
构造payload
好像没有明显的像flag的文件,那就查找flag的文件
find / -name flag*
意思是查找根目录下以flag开头的所有文件
构造payload
得到flag所在的位置
直接读取文件,也可以用反序列化,或者是readfile