User-Profile-Image
hankin
  • 5
请到[后台->外观->菜单]中设置菜单。
  • 分类
    • 靶机渗透
    • 计算机小技巧
    • 漏洞复现
    • 未分类
    • 数据结构
    • 内网渗透
    • 代码审计
    • XSS
    • WEB安全漏洞学习
    • Web
    • python
    • PHP
    • NodeJS
    • MYSQL
    • Misc
    • JavaScript
    • Docker
    • CTF相关知识点
    • CTFWP
    • Crypto
    • Cobalt Strike
  • 页面
  • 友链
    • 三哥的博客
    • Root师傅的博客
    • EDS师傅的博客
    • 天正哥的博客
    • 天尘翼师傅的博客
    • 熵增师傅的github
    • 信仰的博客
    • Jadore的博客
Help?

Please contact us on our email for need any support

Support
    首页   ›   CTFWP   ›   正文
CTFWP

Cosmos的博客后台(hgame2020)

2020-02-01 23:17:18
137  0 0

考点:php trick/文件包含/php伪协议


拿到这样的界面,常见套路伪协议读取文件内容,这里能读取到index.php,login.php,admin.php,读取不到config.php

如下伪协议读取:

http://cosmos-admin.hgame.day-day.work/?action=php://filter/read=convert.base64-encode/resource=login.php

获得三个源代码,这里我都贴出部分关键代码了

login,php

<?php
include "config.php";
session_start();

//Only for debug
if (DEBUG_MODE){
if(isset($_GET['debug'])) {
$debug = $_GET['debug'];
if (!preg_match("/^[a-zA-Z_\x7f-\xff][a-zA-Z0-9_\x7f-\xff]*$/", $debug)) {
die("args error!");
}
eval("var_dump($$debug);");
}
}

if(isset($_SESSION['username'])) {
header("Location: admin.php");
exit();
}
else {
if (isset($_POST['username']) && isset($_POST['password'])) {
if ($admin_password == md5($_POST['password']) && $_POST['username'] === $admin_username){
$_SESSION['username'] = $_POST['username'];
header("Location: admin.php");
exit();
}
else {
echo "用户名或密码错误";
}
}
}
?>

看一下登录需要的条件

$admin_password == md5($_POST[‘password’]) && $_POST[‘username’] === $admin_username

输入的密码 md5() 加密以后和数据库里的密码要一致,可我不知道数据库里的密码呀?想用 php 伪协议 读取 config.php 却看到一行 Hacker fet out! 那么就不能用这种方法读取密码了。在这里注意到有 一个 DEBUG 模式,并且第 12 行有一个 eval(var_dump($$debug)) ,这里有两个 $ ,百度搜一下以 后,发现可以在这里传入 /?action=login.php&debug=GLOBALS ,读取 php 全局变量

这里自行学习php全局变量$GLOBALS可以参照bugku的一道题

这样我们就看到$admin_password和$admin_username的值了,进行登录

密码这里应用了md5弱类型比较,具体学习可以参考https://blog.csdn.net/qq_41079177/article/details/89220068,网上一大堆介绍的

进入后读取admin.php

<?php
include “config.php”;
session_start();
if(!isset($_SESSION[‘username’])) {
    header(‘Location: index.php’);
    exit();
}

function insert_img() {
    if (isset($_POST[‘img_url’])) {
        $img_url = @$_POST[‘img_url’];
        $url_array = parse_url($img_url);
        if (@$url_array[‘host’] !== “localhost” && $url_array[‘host’] !== “timgsa.baidu.com”) {
            return false;
        }   
        $c = curl_init();
        curl_setopt($c, CURLOPT_URL, $img_url);
        curl_setopt($c, CURLOPT_RETURNTRANSFER, 1);
        $res = curl_exec($c);
        curl_close($c);
        $avatar = base64_encode($res);

        if(filter_var($img_url, FILTER_VALIDATE_URL)) {
            return $avatar;
        }
    }
    else {
        return base64_encode(file_get_contents(“static/logo.png”));
    }
}
?>

可以看到应用了parse_url()和curl函数

pase_url的学习参考https://blog.csdn.net/dylwx_2005/article/details/89174885

curl函数的学习参考https://www.cnblogs.com/bwteacher/p/5685086.html

curl函数支持file协议所以我们看到curl可以想到利用哦file协议读取本地文件

我们在仔细看admin.php中有一个insert_img函数

该函数实现了从外部url插入图片的功能,但是通过了url host的检测,限定我们只能从localhost或者timgsa.baidu.com获取外链图片,我们可以通过curl在使用file协议的情况下,file://localhost/etc/passwd 这种情况会忽略host,并且能够读取到/etc/passwd的内容,因此构造payload

file://localhost/flag

评论 (0)

点击这里取消回复。

欢迎您 游客  

近期文章
  • 记一次Docker问题排错
  • 免杀钓鱼XLSM
  • 彻底理解Kerberos认证
  • 免杀QuasarRAT
  • 密码保护:python反序列化免杀上线CS
近期评论
    文章归档
    • 2021年4月
    • 2021年3月
    • 2021年2月
    • 2021年1月
    • 2020年12月
    • 2020年11月
    • 2020年9月
    • 2020年7月
    • 2020年6月
    • 2020年5月
    • 2020年4月
    • 2020年3月
    • 2020年2月
    • 2020年1月
    分类目录
    • Cobalt Strike
    • Crypto
    • CTFWP
    • CTF相关知识点
    • Docker
    • JavaScript
    • Misc
    • MYSQL
    • NodeJS
    • PHP
    • python
    • Web
    • WEB安全漏洞学习
    • XSS
    • 代码审计
    • 内网渗透
    • 数据结构
    • 未分类
    • 漏洞复现
    • 计算机小技巧
    • 靶机渗透
    功能
    • 登录
    • 条目feed
    • 评论feed
    • WordPress.org
    分类目录
    Copyright © 2021 网站备案号: 蒙ICP备20000552号-1
    smarty_hankin 主题. Designed by hankin
    主页
    页面
    博主
    purplet 管理员
    努力并有所方向
    170 文章 0 评论 50986 浏览
    测试
    测试