phpweb-[网鼎杯 2020 朱雀组]-[BUUCTF]

最新推荐文章于 2024-07-13 19:59:04 发布

qwsn

最新推荐文章于 2024-07-13 19:59:04 发布

阅读量1.9k

点赞数

分类专栏： # 3.PHP反序列化文章标签： phpweb网鼎杯2020 phpweb网鼎杯朱雀组网鼎杯2020反序列化 php反序列化

clqwsn

本文链接：https://blog.csdn.net/qq_45555226/article/details/110002935

版权

本文介绍了参与网鼎杯 2020 朱雀组的 PHPWeb 挑战过程，包括环境开启、代码审计、解题思路、payload 构造及提交，详细展示了如何通过反序列化漏洞来获取flag。

摘要由CSDN通过智能技术生成

0x01、Web

1.phpweb-[网鼎杯 2020 朱雀组]-[传送门->BUUCTF]

第一步：点击传送门，打开题目环境

观察题目页面：
//打开网页观察网页显示动态，发现网页每隔一段时间会刷新一下，说明可能自动间隔一段时间刷新一次，观察网页，网页上会显示一段warning信息，并提示了data()函数。
//利用BurpSuite拦截网页，看一下有什么异常。观察发现网页会传递两个参数，func和p。func对应的值为date，p对应的值为一串时间格式，说明网页可能向后端传递函数名及其对应的参数。
//首先尝试system()函数，参数为任意命令，(这里使用burp的Repeater功能，便于修改参数，查看返回结果)。返回结果如下，显示hacker，说明后端可能对该函数进行过滤。
//抓包，Ctrl+r，读取主页面源码
    //func=highlight_file&p=index.php
    //func=file_get_contents&p=index.php
    //func=readfile&p=index.php

在传递参数的时候，发现有报错信息，从而发现到使用了call_user_func()函数
//回调函数：call_user_func()
//call_user_func是PHP的内置函数，该函数允许用户调用函数并传入一定的参数
//call_user_func($func, $p)
//$func传入函数名字
//$p传入参数
//$p会被回调进$func函数内，执行一次，返回结果

第二步：代码审计

 <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace",&