BUU-bestphp‘revenge

原创

已于 2022-02-11 20:21:03 修改 · 938 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#php #开发语言 #后端

于 2022-02-11 20:19:17 首次发布

本文详细探讨了如何通过session反序列化和原生SoapClient类结合CRLF注入，实现从远程服务器的SSRF攻击。涉及的知识点包括PHP session机制、call_user_func函数的回调特性，以及利用这些技巧在WordPress环境中获取flag。

文章目录

前言

这个题主要综合了很多知识点，特别综合

考点：

session反序列化
原生类SoapClient的SSRF
变量覆盖
CRLF

WP

首页代码

<?php
highlight_file(__FILE__);
$b = 'implode';
call_user_func($_GET['f'], $_POST);
session_start();
if (isset($_GET['name'])) {
   
   
    $_SESSION['name'] = $_GET['name'];
}
var_dump($_SESSION);
$a =</

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

Z3eyOnd

关注关注

1
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

------已搬运-------BUUCTF：LCTFbestphp‘s revenge

Zero_Adam的博客

02-01

657

我弄这个题一整天了，晚上不出意外的话还得看，先这样吧。。里面还有很多疑问点，希望能有大佬指点要用到的很多很多的知识点，，， sesion反序列化–>soap(ssrf+crlf)–>call_user_func激活soap类（抄袭的，我哪能总结出来啊，，，） call_user_func函数这个我自己总结的，看看自己写的 extract extract（）函数，从数组中把变量导入当前页面，相同的变量会被覆盖。所以下面的b=extract，同时$POST是一个数组，所以符合 reset（

bestphp‘s revenge

feng的博客

03-06

1135

前言很有意思的一道题目，知识点虽然都是很常见的，但是结合到一起去思考，去解题就是很困难的了。这道题大致涉及了这些知识点： session反序列化 PHP原生类SoapClient的SSRF。变量覆盖。 CRLF WP 这题其实也是有提示的，访问一下flag.php，可以提示要127.0.0.1，暗示了SSRF。再加上session，很容易想到session反序列化，利用PHP的原生类实现SSRF。首先写一下反序列化的构造： <?php $a = new SoapClient(null,

参与评论您还未登录，请先登录后发表或查看评论

bestphp's revenge

沐目的博客

11-08

2161

1.知识点 1.1 SoapClient（待完善）这是一个php内置的类，当__call方法被触发后，它可以发送HTTP和HTTPS请求。具体的还不太懂，只知道它可以用来造成ssrf漏洞。 <?php $target = "http://127.0.0.1/flag.php"; $attack = new SoapClient(null,array('location' => $ta...

bestphp‘s revenge 1

m0_62129839的博客

02-20

290

因为$b变量已经被我们覆盖成了call_user_func，那么此时的程序，就变成了call_user_func(call_user_func,array($_session,‘welcome_to_the_lctf2018’));9. $_session这个对象，会去调用“welcome_to_the_lctf2018”这个不存在的方法，于是__call方法被。

BUU-Reveser-XMAN2018排位赛-easywasm（WebAssembly逆向分析）

05-26

在"BUU-Reveser-XMAN2018排位赛-easywasm（WebAssembly逆向分析）"这个挑战中，参赛者需要对名为"easywasm.wasm"的WASM文件进行逆向工程，理解其内部逻辑并可能找到隐藏的漏洞或解决方案。 WASM的主要特点包括： 1...

BUU-REVERSE-rsa

Nobug_的博客

05-23

533

BUU REVERSE rsa 1. 打开后发现了这两个文件不用多说flag.enc 文件应该是加密后的东西那么我们就直接先看pub.key里面的东西 -----BEGIN PUBLIC KEY----- MDwwDQYJKoZIhvcNAQEBBQADKwAwKAIhAMAzLFxkrkcYL2wch21CM2kQVFpY9+7+ /AvKr1rzQczdAgMBAAE= -----END PUBLIC KEY----- 2 猜测应该是RSA算法的一个公钥 RSA公私钥分解公钥指数及模数信

BUU-N1BOOK-Web

楼阁de猫的博客

12-11

1349

web入门[第一章 web入门]常见的信息搜集[第一章 web入门]粗心的小李 [第一章 web入门]常见的信息搜集考查知识点： 1.常规文件：robots.txt 2.gedit备份文件 3.vim备份文件首先看robots.txt：访问一下这个文件得到flag1 再看一下原始文件ihdex.php，发现什么都没有，之前用dirsearch扫了很多东西出来，试了/.git发现也不对，这里就看到书上讲到了gedit备份文件，它是以 ~ 为后缀的，试试index.php~，有东西了，拿到flag

buu-[ACTF新生赛2020]SoulLike

qaq517384的博客

04-03

1106

64位elf文件

[LCTF]bestphp‘s revenge

qq_45691294的博客

09-25

1307

知识点:session反序列化->soap(ssrf+crlf)->call_user_func激活soap类题目直接提供了index.php和flag.php的源码 //index.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'

bestphp‘s revenge/ 安洵杯Babyphp（phpsession题目）

qq_62046696的博客

11-30

1352

改变phpsessionid为我们编写代码的那个值就可以获得flag大概思路是这样，等题目上平台，再复现。

2.【BUUCTF】bestphp‘s revenge

最新发布

2401_86760082的博客

02-15

1529

SOAP 是一种基于 XML 的协议，用于在不同的应用程序之间进行通信，通常用于 Web 服务的交互。方法，如果定义了，就会调用该方法来完成实际的请求发送和响应接收操作，而不是使用默认的请求机制。这为开发者提供了更大的灵活性，可以对请求和响应进行自定义处理，例如添加额外的 HTTP 头、修改请求数据、记录日志等。这行代码允许通过 GET 请求传入任意函数名，并且将 POST 请求的数据作为参数传递给该函数。传入一些危险的函数名，如 system 、 exec 等，就可以执行任意系统命令。

bestphp‘s revenge1

alwtj的博客

09-11

1338

进入这个页面又是令人激动的代码审计环节.不过再次之前呢先补充一些弥足珍贵的知识点.

bestphp‘s revenge SoapClient php处理器反序列化 call_user_func

scrawman的博客

12-08

742

bestphp’s revenge 这道题的知识点还挺多的源码文件有两个：index.php和flag.php <?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION); $a =

LCTF2018-bestphp‘s revenge

weixin_43610673的博客

06-19

611

<?php highlight_file(__FILE__); $b = 'implode'; call_user_func($_GET['f'], $_POST); session_start(); if (isset($_GET['name'])) { $_SESSION['name'] = $_GET['name']; } var_dump($_SESSION);//打印出seesion的内容 $a = array(reset($_SESSION), 'welcome_to_the_lc

Buuctf之Web(四)

qq_50589021的博客

11-22

2620

[HFCTF2020]JustEscape WP vm2沙盒逃逸涉及到nodejs不会 [网鼎杯2018]Unfinish 脚本 # -*- coding: utf-8 -*- # @Author : Yn8rt # @Time : 2021/9/10 14:38 #coding:utf-8 import requests from bs4 import BeautifulSoup import time url = 'http://f8933a3b-5f22-4bde-bde9-7a49c4b

---------已搬运-------BUUCTF：[BJDCTF 2nd]xss之光 ------------ 反序列PHP原生类的应用 -----------git小操作

Zero_Adam的博客

02-25

362

目录：一、自己做：二、不足&&收获三、学习WP 一、自己做：就到源码泄露那里，而且我自己也不会git操作。。。 -<?php -$a = $_GET['yds_is_so_beautiful']; -echo unserialize($a); 二、不足&&收获进一步晓得了 PHP 反序列化中的原生类的应用 alert(1)不行的时候，多试试别的。什么弹cookie 啊。跳转网页啊。都试试三、学习WP 没有类的情况下，可以进行原生类反序列化参考文献：反序列化