湖湘杯willphp

最新推荐文章于 2022-01-22 21:32:42 发布
最新推荐文章于 2022-01-22 21:32:42 发布
阅读量328 收藏
点赞数 1
分类专栏: 笔记 文章标签: c语言 php nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_45805993/article/details/121330571
版权

给了IndexController
在这里插入图片描述

且可以看到版本为Willphp2.1.5
查了一下发现TP3.2.x 利用assign函数RCE的漏洞,因为题中的PHP框架是基于TP的,怀疑存在同样的漏洞,跟进一下发现的确,利用方式差不多只需要稍微改一下
原TP利用姿势 https://0xcreed.jxustctf.top/2021/07/ThinkPHP3-2-x-RCE%E5%A4%8D%E7%8E%B0/
调试过程
在这里插入图片描述
调用assgin会为View->_vars赋值
在这里插入图片描述
index执行view(),进入View的fetch方法
在这里插入图片描述这里会为vfile赋好默认值,不用管,然后把vfile和_vars传入Tple::render()
在这里插入图片描述在这里插入图片描述
C会去调用getConfig,检测config中有没有设置shtml_open,默认感觉是没有的,所以函数shtml_open为false,进入renderTo
在这里插入图片描述在这里插入图片描述
extract把上面设定好的cfile覆盖为传入的value,include包含

即get传入name=cfile&value=xxx时,可以包含xxx

继续审计源码
在这里插入图片描述发现debug=false时error或exception会写入log,且log名固定,所以通过报错在log写入恶意代码并包含来getshell
比赛的时候找了半天,没有发现可以报错的点,一开始发现在value处传恶意代码,框架会因为include时找不到文件名而报错,并把恶意代码(也就是文件名)报在log里,但是php好像默认对include中的内容做了转义,<、>都会被转义,所以没办法执行php代码
后面发现题目中的环境和官网下载的代码有点不一样,读了下其他文件,发现他重写了EmptyController
在这里插入图片描述
这样就多了一个抛出异常的点,我们只需要访问不存在的MODULE或者ACTION,他就会把访问的模块和方法名报在日志里,这里传入恶意代码就可以包含了
如直接访问/index.php/biodog/<?php phpinfo();?>
但由于框架的某些原因,对传入的代码做了很多莫名的过滤,大写字符会被强转成小写,且不能传/
我用了chdir跳转路径,exp类似如下

<?php
chdir(..);
chdir(..);
chdir(..);
chdir(..);
system(ls);
?>

骚操作之利用pearcmd.php
https://www.leavesongs.com/PENETRATION/docker-php-include-getshell.html#0x06-pearcmdphp

[HXBCTF 2021]easywill writeup(WillPHP源码审计+利用pearcmd.php文件包含getshell)
ShenZ的博客
04-18 855
[HXBCTF 2021]easywill [HXBCTF 2021]easywill 1.WillPHP源码审计 2.利用pearcmd.php文件包含getshell assign函数 看willphp\wiphp\View.php 最终到renderTo方法时$_vars数组的值是我们index.php中传入的$_vars[name]=value 我们只需要让name为cfile,extact变量覆盖掉下面include的$cfile,即可进行任意文件包含
一、WillPHPv2代码审计-[变量覆盖]-[文件包含]-[任意文件读取漏洞]-[pearcmd裸文件包含]
qwsn
12-12 3495
时间戳——2021.12.12 0x01 WP: 第一步:拉去本地代码审计(框架调试) 第二步:调试过程 第三步:在buuctf开启的的环境里获取flag 附:怎么配置phpstorm+phpstudy+xdebug远程调试 注意:配置一个假的远程调试,我们就把源码放到本机(也就是127.0.0.1)的网站根目录WWW下的exp/willphpv2目录下 第一步:访问https://xdebug.org/wizard,把phpinfo的内容贴进去,会返回我们可以使用的对应版本的xdebug 第二
WillPHP框架-PHP
06-20
WillPHP 框架基于MVC模式,致力于轻量级网站应用快速开发。 环境要求: 适用于PHP7+ 版本(最底支持PHP5.6版本),Mysql数据库。 框架特点: 超轻量级(<100KB)框架。 极简快速PHP模板引擎。 快捷安全的数据库操作。 数据输入自动过滤与验证。 主要功能: 路由:输入过滤简化URL。 控制器:控制与处理操作。 视图:渲染模板至浏览器。 模型:业务逻辑与数据库操作。 部件:生成与获取数据缓存。 验证器:数据验证与自动完成。 适用说明: 适用于所有PHP开发者,MVC学习,入门ThinkPHP框架学习,轻量级Web开发。
WillPHP框架 v1.0beta
09-28
为您提供WillPHP框架下载,WillPHP是一个轻量级面向对象开发MVC框架,适合PHP开发爱好者更深地学习面向对象、MVC等相关知识。是一个PHP初学者,入门ThinkPHP学习,轻量级Web开发首选的框架。
WillPHP框架 v2.0 beta
09-28
为您提供WillPHP框架下载,超轻量级PHP框架(MVC),如ThinkPHP简化版,支持php7+,大小不到70KB,开发简单,功能强大。环境要求:PHP5.6+ 版本(支持PHP7+),支持Mysql数据库。框架特点:1、大小不到70KB,开发简单,功能强大2、极简的PHP模板引擎3、快捷的数据库操作4、快速验证与补全数据主要功能:1、数据库类:连贯操作转递参数,防止sql注入2、分页类:快速生成html分页代码3、路由类
ThinkPHP 3.2.x RCE漏洞复现
m0_46616663的博客
11-29 2518
湖湘遇到一个类似的willphp题目,都审到cfile了没做出来。。。于是把这个翻出来搞了一波,过程参考了网上别的师傅的0.0 什么是ThinkPHP ThinkPHP是为了简化企业级应用开发和敏捷WEB应用开发而诞生的。最早诞生于2006年初,2007年元旦正式更名为ThinkPHP,并且遵循Apache2开源协议发布。ThinkPHP从诞生以来一直秉承简洁实用的设计原则,在保持出色的性能和至简的代码的同时,也注重易用性。并且拥有众多原创功能和特性,在社区团队的积极参与下,在易用性、扩展性和性能方面不
Thinkphp5.1 ~ 5.2代码执行漏洞
公众号shadow sock7
01-16 9878
需要在library/think/Error.php中设置: error_reporting(0); http://proxy.boomeye.com:19300/wordpress/index.php/2019/01/15/thinkphp5-1-5-2-rec/ 设置前(默认情况下): 设置后: payload: POST /thinkphp-5.1.29/html/public/ind...
ThinkPHP 5.x远程命令执行漏洞复现
WY92139010的博客
09-23 767
ThinkPHP 5.x远程命令执行漏洞复现 一、漏洞描述 2018年12月10日,ThinkPHP官方发布了安全更新,其中修复了ThinkPHP5框架的一个高危漏洞: https://blog.thinkphp.cn/869075 漏洞的原因是由于框架对控制器名没有进行足够的检测,导致在没有开启强制路由(默认未开启)的情况下可能导致远程代码执行,受影响的版本包括5.0和5.1。 ...
ctf 图片 php_CTF之PHP黑魔法总结
weixin_35723352的博客
03-09 484
php黑魔法,是以前做CTF时遇到并记录的,很适合在做CTF代码审计的时候翻翻看看。一、要求变量原值不同但md5或sha1相同的情况下1.0e开头的全部相等(==判断)240610708 和 QNKCDZO md5值类型相似,但并不相同,在”==”相等操作符的运算下,结果返回了true.Md5和sha1一样$password=$_GET['password'];if(strcmp('am0s',$...
php漏洞论坛,PHPWind超级漏洞简单用
weixin_42412910的博客
03-20 2046
题目:PHPWind超级漏洞简单用文章作者:hackest [H.S.T]&[L.S.T]&[E.S.T]此文章已发表在《***X档案》第5期杂志上后经本文作者hackest提交到邪恶八进制论坛欢迎大家转载,但请务必要记住注明此信息!一、山雨欲来风满楼近来创办了"十六进制"安全论坛,用的程序是PHPWind5.3,那天早上我正在管理自己的论坛,发现有人在发广告,禁言了他之后,就去删...
CTF 中的 PHP 漏洞利用总结
热门推荐
重新启程
10-12 2万+
基础知识 系统变量(超全局变量) 在全部作用域中始终可用的内置变量 1 2 3 4 5 6 7 8 9 $GLOBALS // 引用全局作用域中可用的全部变量 $_POST // 获取 post 数据,是一个字典 $_GET // 获取 get 数据,是一个字典 $_COOKIE // 获取 cookie $_SESSION // 获取 session $...
php漏洞函数
静水流深,沧笙踏歌
05-17 451
之前也遇到过一些,就是老忘。。 1.strcmp int strcmp ( string $str1 , string $str2 ) 参数 str1第一个字符串。str2第二个字符串。 如果 str1 小于 str2 返回 < 0; 如果 str1 大于 str2 返回 > 0; 如果两者相等,返回 0。 当其中一个是字符串,另一个是数组时,则会返回0. ...
2021第七届湖湘-web-wp
midi
11-15 4260
第七届湖湘-web-wpWeb1 easywillWeb2 Pentest in Autumn Web1 easywill 题目给的附件Pom.xml Pom.xml 中有actuator http://eci-2zedwevdyx4t10vmh85o.cloudeci1.ichunqiu.com:8888/actuator Springboot中actuator常见接口(1.x能够直接访问,2.x是在actuator目录下) 由于没有权限,接下来访问都是302 http://eci-2zedwevdy
Thinkphp2.1爆出重大安全漏洞
weixin_34261739的博客
04-01 612
thinkphp 2.1的版本 我们来分析下漏洞吧 官方发布了一个安全补丁 表述是:该URL安全漏洞会造成用户在客户端伪造URL,执行非法代码。 官方的补丁: /trunk/ThinkPHP/Lib/Core/Dispatcher.class.php   125 –$res = preg_replace(‘@(w+)’.$depr.’([^'.$depr.'/]+)@e’, ‘$var['\1']...
redis更改config set dir后save报错问题解决 报错为: Failed opening .rdb for saving: Read-only file system
weixin_45805993的博客
12-16 2525
Stack Overflow牛批,优快云上找了一周都找到解决办法 具体来说就是要改/etc/systemd/system/redis.service这个配置文件 这个配置文件中有一些关于redis允许读和写的目录,把你想允许他写的目录放在ReadWriteDirectories=后面就好了 其次权限给满,能想到的都给777 像/etc/redis /var/lib/redis, 再加root启动应该 就行了!! 参考链接https://stackoverflow.com/questions/44814.
Apahce-Shiro反序列化漏洞复现(CVE-2016-4437)
weixin_45805993的博客
09-28 1743
复现环境:vulhub 漏洞原理 Apache Shiro框架提供了记住我(RememberMe)的功能,关闭了浏览器下次再打开时还是能记住你是谁,下次访问时无需再登录即可访问。 Shiro对rememberMe的cookie做了加密处理,shiro在CookieRememberMeManaer类中将cookie中rememberMe字段内容分别进行序列化、AES加密、Base64编码操作。 在识别身份的时候,需要对Cookie里的rememberMe字段解密。根据加密的顺序,不难知道解密的顺序为 获取re
2021红明谷数据安全大赛技能场景赛 Input Monitor
weixin_45805993的博客
09-25 1701
突然想起这个题… 先用autopsy挂载给的文件 桌面有压缩包和hint 没事,我都删掉了,之前的聊天记录都被我清干净了。除非他们在监控我输入 提示要得到输入记录 用到输入法取证https://mp.weixin.qq.com/s/0p3vbLub5vPKO5Pik9zmUQ 通过对Win10系统自带中文输入法程序运行进程的分析,发现与中文输入法相关的用户词库文件主要存储在 C:\Users\Administrator\AppData\Roaming\Microsoft\InputMethod\Chs
Mybatis学习之代理
weixin_45805993的博客
01-22 1219
今天学到了mybatis的代理,感觉是一种很优秀的思路,来记录下 传统JDBC项目的数据库操作是通过先建一个Dao接口,再在DaoImpl中实现相应方法进而完成操作的(应该是吧…没接触过),我刚学习时在Mybatis中用到了类似的方式 #StudentDao.java package com.example.springdemo.dao; import com.example.springdemo.domain.Student; import java.io.IOException; import ja
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值