IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> 一次代码审计【禁止套娃(改)】考核 -> 正文阅读

[PHP知识库]一次代码审计【禁止套娃(改)】考核

代码审计

首先我们打开这个题目链接:http://1.15.152.9:1111/sre-winter/,之后直接看到这个页面:1

分析一下代码:

先说file_get_contents:

该函数是把整个文件读入一个字符串中的首选方法。同时其中的$filename参数不仅仅为本地文件路径,还可以是一个网络路径URL

那么我们向下面看到

if(isset($resolve)&&(file_get_contents($resolve,'r')==="try hard to become a redrocker"))

这里需要我们传入一个文件且其内容为try hard to become a redrocker才可以进入下一步,上面说过file_get_contents()中的$filename还可以是一个URL,于是我们可以利用data://伪协议来绕过

再说data://伪协议:

作用:自PHP>=5.2.0起,可以使用data://数据流封装器,以传递相应格式的数据。通常可以用来执行PHP代码。一般需要用到base64编码传输

于是利用伪协议:

?resolve=data://text/plain;base64,dHJ5IGhhcmQgdG8gYmVjb21lIGEgcmVkcm9ja2Vy
//dHJ5IGhhcmQgdG8gYmVjb21lIGEgcmVkcm9ja2Vy 解码后为--->try hard to become a redrocker

接着我们注意到unserialize(),这是一个反序列化函数,那么我们如果将一个序列化后的对象即一串字符串传给$fxl,那么我们会得到一个实例对象,wow!好神奇!!

于是构造:

3

得到:

O:3:"SRE":1:{s:8:"document";s:12:"printenv.php";}

所以:

?resolve=data://text/plain;base64,dHJ5IGhhcmQgdG8gYmVjb21lIGEgcmVkcm9ja2Vy&fxl=O:3:"SRE":1:{s:8:"document";s:12:"printenv.php";}

url后加入以上语句后得到:

4

右键查看源码,看到:

5

那我们再来分析一下这个源码,看要怎么搞

首先看到4个if然后才是一个eval那说明我们需要同时满足这四个条件才行;

首先是if(isset($_GET['st']))判空,如果不为空则执行下面的语句;

然后是if (!preg_match('/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i', $_GET['st']))在这里过滤了data、filter、php等伪协议,防止使用伪协议读取文件,

接着是if(';' === preg_replace('/[a-z,_]+\((?R)?\)/', NULL, $_GET['st']))这里表示只能通过无参数的函数;

最后是if (!preg_match('/es|info|bin|hex|log|dec|oct|na|os|pi/i', $_GET['st']))这里匹配掉了好多个关键字,搞得好多函数都不可以使用了。

那么,

首先利用scandir()函数得到当前目录下的文件并用print_r()函数输出。localeconv()函数返回一包含本地数字及货币式信息的数组。

?st=print_r(scandir(current(localeconv())));

得到6

发现了文件redrock.php,这个应该就是flag。

那么我们接下来该怎么弄呢?

查阅资料并冥思苦想许久,突然想到:

我们可以用readfile外加一个随机函数 array_rand(array_flip()) 进行读取:

?st=readfile(array_rand(array_flip(scandir(current(localeconv())))));

array_flip():交换数组的键和值。

array_rand():从数组中随机取出一个或多个单元,不断刷新访问就会不断随机返回,本题目中scandir()返回的数组只有5个元素,刷新几次就能刷出来。

多刷新几次而已嘛,无伤大雅:

最后我们得到10

然后成功拿到flag

flag{Congratulation!The task completed}

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-14 20:53:46  更:2022-02-14 20:54:26 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 6:08:15-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计