记录一道ctf web题

简介: 记录一道ctf web题

0x00    前言

某同学发在群里一道不知道什么ctf的web题



0x01    bypass open_basedir

开始没想那么多,看到了可以执行phpinfo,直接先eval一个一句话上去看看什么情况:

接着发现了没有权限去读取/var/www/html以外的目录,那么我开始想的print_r(scandir(''));用这个去跨目录也不可以了

打开index.php,只能先看看源码

看到了还有个GET参数src,他之前估计没告诉我,没什么用,遂回去看一下phpinfo有什么提示

关于open_basedir

open_basedir是php.ini中的一个配置选项 它可将用户访问文件的活动范围限制在指定的区域, 假设open_basedir=/home/wwwroot/home/web1/:/tmp/,那么通过web1访问服务器的 用户就无法获取服务器上除了/home/wwwroot/home/web1/和/tmp/这两个目录以外的文件。

果然这里限制了,接着看了一下system(),exec(),此类函数也被禁用了

查看disable_functions:

至此这里没有什么利用点了,这道题肯定是需要绕过这个目录限制的,到这里先应该绕过目录限制,php的版本是7.2.19,搜索了一下网上bypass open_basedir的方法有:glob伪协议、symlink()函数等,这里都不可行,所以这里用国外大佬公布的一个方法:

按他所说,我们构造绕过open_basedir的payload:


mkdir('/tmp/flag1');chdir('/tmp/flag1');ini_set('open_basedir','..');chdir('..');ini_set('open_basedir','/');print_r(scandir('/'));

然后,成功列出来根目录下的文件:

为了简单的看清楚到底是怎么跨过来的,可以echo一下:

接着发现了/readflag和/flag文件,那么按照常理来说,我们读取这两个文件就能getflag了,但是事情没有这么简单..


我们进行读取,发现是一个二进制文件,WTF??那么现在怎么办呢 困扰了半天,这里肯定这个文件有flag,既然读取不了,那么应该就需要执行这一个二进制文件,查看flag,那我们就需要绕过上面的disable_function了

0x02    bypass disable_functions

这里试了网上的LD_PRELOAD之类的也无法绕过

所以使用了一个利用三年前的PHP垃圾回收的BUG来绕过disable_functions的exp:

GitHub:https://github.com/mm0r1/exploits/tree/master/php7-gc-bypass

所以我们把exp文件写入tmp目录,然后include包含这个文件就可以执行任意的系统命令了。

效果:

成功getflag


0x03    总结

这个题其实也算简单的,考察基础,自己也做了一晚上,关于bypass open_basedir,原理大家可以查看https://skysec.top/2019/04/12/从PHP底层看open-basedir-bypass/

这文章算是一个记录做题过程,也算一个writeup吧,虽然我不知道这个是哪里的比赛。

相关文章
|
4月前
|
PHP 数据安全/隐私保护
*CTF 2023 web jwt2struts 题解wp
*CTF 2023 web jwt2struts 题解wp
37 4
|
7月前
|
SQL XML 安全
BugKu CTF(Web):sqli-0x1 & baby lfi & baby lfi 2
BugKu CTF(Web):sqli-0x1 & baby lfi & baby lfi 2
|
JavaScript 前端开发
Bugku CTF web 你必须让他停下来 解题思路
Bugku CTF web 你必须让他停下来 解题思路
115 2
|
7月前
|
域名解析 Linux PHP
[CTF]ctfshow web入门
[CTF]ctfshow web入门
|
7月前
|
SQL 前端开发 Java
《CTF攻防世界web题》之茶壶我爱你(2)
《CTF攻防世界web题》之茶壶我爱你(2)
60 0
|
7月前
|
前端开发 Java 计算机视觉
《CTF攻防世界web题》之我什么都不会(1)
《CTF攻防世界web题》之我什么都不会(1)
65 0
|
SQL 安全 PHP
SNERT预备队招新CTF体验赛-Web(SWCTF)
SNERT预备队招新CTF体验赛-Web(SWCTF)
85 0
|
SQL 安全 网络安全
CTF夺旗赛(WEB)-Guess Next Session
CTF夺旗赛(WEB)-Guess Next Session
Bugku CTF web GET 解题思路
Bugku CTF web GET 解题思路
111 0
|
2月前
|
XML JSON API
ServiceStack:不仅仅是一个高性能Web API和微服务框架,更是一站式解决方案——深入解析其多协议支持及简便开发流程,带您体验前所未有的.NET开发效率革命
【10月更文挑战第9天】ServiceStack 是一个高性能的 Web API 和微服务框架,支持 JSON、XML、CSV 等多种数据格式。它简化了 .NET 应用的开发流程,提供了直观的 RESTful 服务构建方式。ServiceStack 支持高并发请求和复杂业务逻辑,安装简单,通过 NuGet 包管理器即可快速集成。示例代码展示了如何创建一个返回当前日期的简单服务,包括定义请求和响应 DTO、实现服务逻辑、配置路由和宿主。ServiceStack 还支持 WebSocket、SignalR 等实时通信协议,具备自动验证、自动过滤器等丰富功能,适合快速搭建高性能、可扩展的服务端应用。
169 3