主页

PHP 无参数实现 RCE - boring_code

bytectf boring_code F12 注释中可以看到 flag 在 index.php 文件中,而/code/index.php中直接给出了源码: <?php function is_valid_url($url) { if (filter_var($url, FILTER_VALIDATE_URL)) { if (preg_match('/data:\/\//i', $url)) { return false; } return true; } return false; } if (isset($_POST['url'])){ $url = $_POST['...

阅读更多

CTF 中常见的内存取证工具使用方法

Volatility volatility 是一款内存取证和分析工具,可以对 Procdump 等工具 dump 出来的内存进行分析,并提取内存中的文件。该工具支持 Windows 和 Linux,Kali 下面默认已经安装。volatility 的许多功能由其内置的各种插件来实现,例如查看当前的网络连接,命令行中的命令,记事本中的内容等等。 Volatility / Command Reference volatility -f <文件名> -–profile=<配置文件> <插件> [插件参数] Image Identification imageinfo imageingo 标识操作系统,Service Pack和硬件体...

阅读更多

Just something about phpinfo

Know it then do it! Memo#解读[email protected] 0x01 php.ini 上图中的 4 项配置与 php.ini 有关,php.ini 是 php 的配置文件,但并不是每个 php 环境都会有该文件,在没有指定 php.ini 配置文件的时候,php 将采用默认配置: 没有任何 php.ini 时,某个配置项默认值 使用 apt 等源管理工具安装 php, 其默认 php.ini 里配置的值 上述两种默认配置绝大多数情况下是相同的,但还是会有些许不同。 Discuz! 6.x/7.x 全局变量防御绕过导致命令执行 $_REQUEST 这个超全局变量的值受 php.ini 中 request...

阅读更多

第三届红帽杯线上赛 RedHat 2019 Writeup

Web Ticket_System 存在XXE 可读取服务器文件,F12 查看网页源代码提示查看 /hints.txt,获取到提示需要 RCE。 利用 ThinkPHP V5.2.0RC1的 POP Chain,XXE + phar://反弹 shell 后在根目录下trap "" 14使程序不会中断退出,执行 /readflag 完成 challenge 即可获取flag。 Phar exp 可参考: http://m0te.top/articles/Thinkphp%20POP/Thinkphp%20POP.html <?php namespace think\process\pipes { class Windows { pr...

阅读更多

PHP Bypass Disable_functions

disable_functions 是 php.ini 中的一个设置选项,可以用来设置 PHP 环境禁止使用某些函数,通常是网站管理员为了安全起见,用来禁用某些危险的命令执行函数等。 常见的绕过 disable_functions 的手法: 寻找未禁用的漏网函数,常见的执行命令的函数有 system()、exec()、shell_exec()、passthru(),偏僻的 popen()、proc_open()、pcntl_exec(),逐一尝试,或许有漏网之鱼. 利用环境变量 LD_PRELOAD 劫持系统函数,让外部程序加载恶意 *.so,达到执行系统命令的效果. mod_cgi 模式,尝试修改 .htaccess,调整请...

阅读更多

2019 全国大学生软件测试大赛预选赛

Web1 比比手速 文件上传 + HTTP Header HTTP Header 里含有 password 提交正确后可进入 upload.php, 对上传文件的后缀(.php)进行了黑名单过滤,结合 Apache 容器上传 shell.php.xxxx 可正常解析。 /uploads/shell.php.xxxxxxx?cmd=system('ls+../'); 获取到 flag{698539765730b69026796420b9201e03}. Web2 baby PHP 反序列化 获取到 index.php 源码: <?php @error_reporting(1); include 'flag.php'; class baby ...

阅读更多

攻防世界 ADWorld Web 部分题解(2)

0x01 blgdel CISCN-2018-Final 目录扫描发现存在 robots.txt、sql.txt 等文件,robots.txt 内容为:Disallow: /config.txt . config.txt <?php class master { private $path; private $name; function __construct(){} function stream_open($path) { if(!preg_match('/(.*)\/(.*)$/s',$path,$array,0,9)) return 1; $a =$array[1]; parse_str($array[2], $array); ...

阅读更多

攻防世界 Web_php_wrong_nginx_config

0x01 信息收集 dirsearch 扫描一下,获取如下信息: robots.txt User-agent: *Disallow: hint.php Hack.php 访问 hint.php 提示: 配置文件也许有问题呀:/etc/nginx/sites-enabled/site.conf. 访问 hack.php 空白页面,留意到 Cookie isLogin 值为 0,尝试修改为 1. /admin/、/admin/admin.php、/admin/index.php路径存在。 isLogin 置 1 时访问 /admin/admin.php 进入管理中心页面,URL 如下: /admin/admin.p...

阅读更多