ctf之php漏洞,ctf入门到Thinkphp2.x、3.0-3.1版代码执行漏洞分析

最新推荐文章于 2023-05-09 16:06:23 发布
VIP文章 最新推荐文章于 2023-05-09 16:06:23 发布
阅读量668 收藏 1
点赞数
文章标签: ctf之php漏洞

前言:文章可能有点长,小弟不才,只能靠刷ctf来理解一些内容。若有不恰当之处,望大佬们不吝赐教。

一、[BJDCTF2020]ZJCTF

先做一道ctf压压惊:

[BJDCTF2020]ZJCTF

42d124870ab5b376d1816a5e415749d4.png

构建以下payload,进入if判断,并且进入include()函数

?text=data://text/plain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php

719511589fa5caad3aa3061be7c2989e.png

得到next.php的base64加密的密文,解码获得next.php的源码:

$id=$_GET['id'];

$_SESSION['id']=$id;

functioncomplex($re,$str){

returnpreg_replace(

'/('.$re.')/ei','strtolower("\\1")',$str

);

}

foreach($_GETas$re=>$str){

echo complex($re,$str)."\n";

}

functiongetFlag(){

@eval($_GET['cmd']);

}

这段代码大致意思是:先看可执行的,再看定义的函数

获取get的所有传参,对get传参键值分离,分别赋值给$re、$str ,作为参数放进complex()自定义的函数。Complex函数用来匹配$re里面的内容,并且为/ei 模式。/i表示不分大小写,/e表示啥?不懂,但是查一下可知,preg_replace的/e模式下有代码执行漏洞。即/e 修正符使 preg_replace() 将 replacement 参数(第二个参数,字符串)当作 PHP 代码执行。

也就是说:

preg_replace(&#

最低0.47元/天 解锁文章
weixin_39738380
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF 竞赛入门指南(ctf-all-in-one).pdf
09-07
一、基础篇;二、工具篇;三、分类专题篇;四、技巧篇;五、高级篇;六、题解篇;七、实战篇... 2000多页的电子书,讲解细致,值得搜藏。
Thinkphp常见漏洞利用
未完成的歌~的博客
04-14 3496
ThinkPHP是一个开源,快速、简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP。使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。ThinkPHP可以支持windows/Unix/Linux等服务器环境,正式需要PHP 5.0以上本,支持MySql、PgSQL、Sqlite多种数据库以及PDO扩展,是一款跨平台,跨本以及简单易用的PHP框架。
ctf攻防世界 WEB题:php_rce
qq_30889301的博客
05-09 841
ThinkPHP是一个基于PHP语言的开源Web应用框架,它提供了一系列的工具和组件,可以帮助开发人员更快速、更高效地构建Web应用程序。ThinkPHP框架具有简单易用、高效稳定、安全可靠等特点,被广泛应用于各种Web应用程序的开发中。对于thinkphp框架Github上有一个专用的漏洞验证工具:https://github.com/zangcc/Aazhen-v3.1。进入靶场后会看到以下内容,非常直观的说明了自己是thinkphp框架。此工具已经给一个可用的url案例,我们只需要更改就可以了。
BUUCTF-thinkPHP5 RCE
朋克归零膏的博客
10-12 397
real题目我认为getflag是没意义的,幸运的是能从中学到一些技巧。在用大佬的poc对比官方的poc有一个细节。这题在尝试用命令执行写一句话的时候发现输入。,因此思路应该是将一句话分成两段然后拼一起。会被替换成空字符但是能单独写。
ctfshow web入门(thinkphp专题)
qq_53263789的博客
02-09 670
569 URL模式 查阅手册:URL模式 · ThinkPHP3.2.3完全开发手册 http://serverName/index.php/模块/控制器/操作 payload: 普通模式:/?m=Admin&c=Login&a=ctfshowLogin Pathinfo模式:/index.php/Admin/Login/ctfshowLogin 兼容模式:/?s=/Admin/Login/ctfshowLogin 570 路由 发现路由: 根据手册: 直接构造:这里直接执行不可以
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1530
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
你不知道的文件上传漏洞php代码分析
12-18
漏洞描述 开发中文件上传功能很常见,作为开发者,在完成功能的基础上我们一般也要做好安全防护。 文件处理一般包含两项功能,用户上传和展示文件,如上传头像。 文件上传攻击示例 upload.php <?php $uploaddir...
cypherpunks-ctf:Cypherpunks CTF 智能合约漏洞攻击
05-14
Cypherpunks CTF Cypherpunks CTF是一款基于Web3 / 的战争游戏,灵感来自 ,该游戏将在以太坊虚拟机中进行播放。 每个级别都是一个需要被“破解”的智能合约。 欢迎等级PR! 在本地运行 安装所有软件包 ...
CTF入门到提升(一).docx
12-18
CTF入门到提升(一).docx
CTF-100题.-天天练习-学习
11-01
CTF-100题.-----------------天天练习------------------学习 100小题,试例练习
论文研究-基于ThinkPHP的网络安全演练竞技平台中CTF模块的设计与实现 .pdf
08-25
基于ThinkPHP的网络安全演练竞技平台中CTF模块的设计与实现,孙碧云,辛阳,针对于我国目前对网络安全人才实战性的培养需求,我们设计并实现了一个以ThinkPHP和Bootstrap框架为基础的网络安全演练竞技平台。平台�
ctfshow ThinkPHP专题 1
qq_61768489的博客
07-23 709
PATHINFO模式是系统的默认URL模式,提供了最好的SEO支持,系统内部已经做了环境的兼容处理,所以能够支持大多数的主机环境。REWRITE模式是在PATHINFO模式的基础上添加了重写规则的支持,可以去掉URL地址里面的入口文件index.php,但是需要额外配置WEB服务器的重写规则。m参数表示模块,c参数表示控制器,a参数表示操作(当然这些参数都是可以配置的),后面的表示其他GET参数。,ThinkPHP支持的URL模式有四种普通模式、PATHINFO、REWRITE和兼容模式。...
CTF——Thinkphp5远程命令执行漏洞利用
qq_45521281的博客
05-03 7138
[BJDCTF 2nd]old-hack(5.0.23) 进入之后: 打开页面,页面提示powered by Thinkphp。说明可能和thinkphp框架有关。也确实如此,这里用到了thinkphp5的远程命令执行漏洞Thinkphp5远程命令执行漏洞 漏洞描述:由于thinkphp对框架中的核心Requests类的method方法提供了表单请求伪造,该功能利用 $_POST['_meth...
Thinkphp5.1反序列化漏洞复现
qq_63928796的博客
11-02 1121
最近打ctf总是遇见一些cve,虽然能找到payload但光打payload属实无趣,所以简单看了一点代码审计和thinkphp开发规则后开始跟几个thinkphp漏洞
Thinkphp 2.x、3.0-3.1代码执行漏洞分析复现
qq_34788994的博客
06-07 1640
转载自 文章目录 闲扯 影响本 原理分析 漏洞复现 闲扯 学习代码执行的审计时,遇到了双引号的一些迷惑,搜资料的时候发现了这个漏洞,顺便分析复现一哈。 影响本 2.x、3.0-3.1 原理分析 关键代码: $depr = '\/'; $paths = explode($depr,trim($_SERVER['PATH_INFO'],'/')); $res = preg_replace('@(\w+)'.$depr.'([^'.$depr.'\/]+)@e', '$v
thinkphp3.2.3漏洞_TPscan一键ThinkPHP漏洞检测工具
weixin_39820244的博客
11-25 6301
1.简要描述这个工具写完有一段时间了,看网上目前还没有一个thinkphp漏洞集成检测工具,所以打算开源出来。2.代码结构插件化思想,所有的检测插件都在plugins目录里,TPscan.py主文件负责集中调度。插件目录:ThinkPHP 用户模块checkcode SQL注入漏洞ThinkPHP 5.0.23远程代码执行ThinkPHP 5.0.23 Debug模式远程代码执行Thi...
ThinkPHP漏洞总结(利用)
热门推荐
yangbz123的博客
04-26 1万+
ThinkPHP介绍 ThinkPHP是一个快速、兼容而且简单的轻量级国产PHP开发框架,诞生于2006年初,原名FCS,2007年元旦正式更名为ThinkPHP,遵循Apache2开源协议发布,从Struts结构移植过来并做了改进和完善,同时也借鉴了国外很多优秀的框架和模式,使用面向对象的开发结构和MVC模式,融合了Struts的思想和TagLib(标签库)、RoR的ORM映射和ActiveRecord模式。 ...
php拿站,thinkphp 3.0 爆路径漏洞
weixin_39871649的博客
03-10 412
1. thinkphp3.0 模块加载失败,出错信息爆应用程序路径。检测有两种情况1. 可执行命令,这个估计是伪3.0本?交大定票此站到可以执行命令http://webshell.cc/index.php/module/action/param1/$%7B@print(THINK_VERSION)%7D可查看本http://webshell.cc/index.php/module/action...
ctfshow thinkphp专题
Sentiment的博客
05-25 1624
web569 主要就是考察了一个url解析模式 http://localhost/index.php/模块/控制器/操作/参数/值 payload: /index.php/Admin/Login/ctfshowLogin web570 Common/Conf/config.php,发现可利用点,一个闭包路由 'ctfshow/:f/:a' =>function($f,$a){ call_user_func($f, $a); } 传参发现也能正常执行 /index.php/ctfsho
ctf 监听端口_SSRF 漏洞分析与利用(含 CTF 例题)
最新发布
06-07
SSRF(Server Side Request Forgery)漏洞是一种常见的Web安全漏洞,攻击者可以利用该漏洞伪造服务器端发起的请求,例如访问内部系统或者外部网络等,从而造成安全风险。 SSRF漏洞的利用方式有很多种,其中一种典型的方式是利用SSRF漏洞进行端口扫描。攻击者可以构造特定的请求,使目标服务器向攻击者指定的IP地址和端口发起连接,从而达到端口扫描的目的。 下面我们就来分析一下SSRF漏洞的利用过程。 一、漏洞利用过程 1. 构造恶意请求 攻击者可以构造恶意请求,将需要访问的目标URL替换成攻击者指定的URL,从而实现伪造请求的目的。 例如,以下请求中的网址参数即为存在SSRF漏洞的关键点: ``` http://example.com/?url=http://attackersite.com ``` 攻击者可以将其替换成需要访问的目标URL,例如: ``` http://example.com/?url=http://127.0.0.1:22 ``` 2. 利用漏洞进行端口扫描 当攻击者构造完恶意请求后,目标服务器会向攻击者指定的IP地址和端口发起连接,如果连接成功,说明该端口开放,否则该端口关闭。 攻击者可以通过不断尝试不同的端口,从而达到端口扫描的目的。 二、实战演练 下面我们将通过一个CTF例题来演示如何利用SSRF漏洞进行端口扫描。 1. 环境搭建 我们可以使用Docker来搭建漏洞环境,具体步骤如下: 1)拉取Docker镜像 ``` docker pull bluetonem/hackme-ssrf ``` 2)启动容器 ``` docker run -d -p 8080:80 bluetonem/hackme-ssrf ``` 2. 漏洞利用 访问http://127.0.0.1:8080/,可以看到一个简单的Web应用程序,该应用程序可以通过URL参数获取指定网址的源代码。 我们可以利用SSRF漏洞,将目标网址替换成攻击者指定的URL,从而实现伪造请求的目的。 例如,以下请求中的网址参数即为存在SSRF漏洞的关键点: ``` http://127.0.0.1:8080/?url=http://attackersite.com ``` 攻击者可以将其替换成需要访问的目标URL,例如: ``` http://127.0.0.1:8080/?url=http://127.0.0.1:22 ``` 如果该端口开放,返回的页面会显示"SSH-2.0-OpenSSH_7.9p1 Debian-10+deb10u2"等信息,说明端口开放。如果该端口关闭,则返回的页面会显示"Connection refused"等信息,说明端口关闭。 通过不断尝试不同的端口,可以实现端口扫描的目的。 三、防御措施 为了避免SSRF漏洞的产生,需要采取以下安全措施: 1. 对用户输入的URL进行严格验证,确保只访问合法的URL。 2. 对URL进行白名单验证,只允许访问指定的URL,避免访问不受信任的URL。 3. 对访问的目标URL进行限制,避免访问内部系统或者外部网络等不安全的URL。 4. 对服务器的网络端口进行限制,避免访问不受信任的IP地址和端口。 5. 对服务器进行定期的安全审计,及时发现和修复漏洞。 以上是关于SSRF漏洞分析与利用的详细介绍,希望对你有所帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值