梦~醒🍇

[TOC] 影响版本：phpstudy 2016（php5.4/5.2） phpstudy 2018（php5.4/5.2） 漏洞原理 **漏洞：**程序包自带的PHP的php_xmlrpc.dll模块中有隐藏后门，目录在\phpStudy\php\php-5.4.45\ext 查看是否有后门： 用记事本打开php_xmlrpc.dll文件，搜索eval关键词，能看到eval危险函数 php.ini中必须要引用该模块，这样才能去复现该漏洞，若开启了xmlrpc功能，php就会加载这个php_xmlrpc.dll动态链接库文件，其中的恶意代码就会被触发 查看是否引用该模块： 方法1：通过php.ini配置文件查看，位置在\phpStudy\PHPTutorial\php\php-5.4.45\ext 方法2：通过phpinfo查看 漏洞复现环境准备先安装phpstudy2016，然后选择php5.4.45，启动服务 用记事本打开php_xmlrpc.dll文件，搜索eval关键词，能看到eval危险函数 说明存在该漏洞 攻击过 ...

攻击机: win10 192.168.192.129 靶机：DC-4 先扫描网段存活，找到靶机ip 1nmap -sP 192.168.192.0/24 进行全面扫描，查看开放端口和系统型号等主机详细信息 1nmap -A 192.168.192.142 开放了22和80端口，大概率是个服务器。系统是linux系统 22端口是ssh连接，我们不知道账号密码，先从80端口入手 打开web服务页面 猜测账户名为admin，抓包进行暴力破解，得到密码为happy 账号：admin 密码：happy 登陆进去后有个System Tools，进入command 就能看到三个命令，并且可以执行。 现在知道它能执行命令了，我们可以找找能不能执行其他命令。 抓包看一下 可以看到它是通过radio参数进行post传参的命令，我们修改这个命令看看能不能执行 发现它执行了，那么我们就可以执行我们想要的命令了。 接下来我们想要找到靶机的登录账户和密码，查看/etc/passwd和/etc/shadow shadow文件看不了，不过现 ...

[TOC] web回归基本功打开网站，根据提示，“用户代理”，想到UA伪造 于是根据图片提取内容，写成字典，如何一个一个尝试，最后发现是GaoJiGongChengShiFoYeGe 访问/Q2rN6h3YkZB9fL5j2WmX.php 得到源码： 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647 <?phpshow_source(__FILE__);include('E8sP4g7UvT.php');$a=$_GET['huigui_jibengong.1'];$b=$_GET['huigui_jibengong.2'];$c=$_GET['huigui_jibengong.3'];$jiben = is_numeric($a) and preg_match('/^[a-z0-9]+$/',$b);if($jiben==1){ ...

[TOC] misc签到 TGCTF{Efforts_to_create_the_strength, attitude_determines_altitude.} next is the end下载附件，压缩包里面是一个文件夹，里面就是很长的目录，可以手动打开到目录最后一级，得到flag。 where it is 图寻题 百度识图学校门口那部分，找到如下相似图片 定位地点：内湖高工 TGCTF{港墘站} 这是啥？解压文件，通过文件头发现是一张gif图片。 对gif图片进行帧分离，得到一堆图片。 发现后面9张图片的左上角都有一部分二维码的图片 将他们提取拼好后，扫描得到 根据提示提到了time（时间），可能跟gif图片帧间隔有关。于是提取帧间隔 [‘840’, ‘710’, ‘670’, ‘840’, ‘700’, ‘1230’, ‘890’, ‘1110’, ‘1170’, ‘950’, ‘990’, ‘970’, ‘1170’, ‘1030’, ‘1040’, ‘1160’, ‘950’, ‘1170’, ‘1120’, ‘950’, ‘1190’, ‘ ...

[TOC] Phar相关基础Phar是将php文件打包而成的一种压缩文档，类似于Java中的jar包。它有一个特性就是phar文件会以序列化的形式储存用户自定义的meta-data。以扩展反序列化漏洞的攻击面，配合phar://协议使用。 Phar是PHP的归档格式，类似Java的JAR或是.NET的ZIP。Phar文件可以在不需要解压的情况下在PHP中运行。Phar文件可以用于分发PHP代码，就像你分发Python代码时使用的是.pyc或.whl文件。 Phar伪协议是PHP的一个特性，它允许直接从Phar归档中读取文件，而不需要将Phar文件解压。这样可以直接从Phar文件运行PHP脚本，而无需在服务器上物理地提取文件。 Phar文件结构 a stub是一个文件标志，格式为 ：xxx。 manifest是被压缩的文件的属性等放在这里，这部分是以序列化存储的，是主要的攻击点。 contents是被压缩的内容。 signature签名，放在文件末尾。 就是这个文件由四部分组成，每种文件都是有它独特的一种文件格式的，有首有尾。而__HALT_COMPILER();就是相当于图片中的文件 ...

[TOC] 无参数RCE题目特征123if(';' === preg_replace('/[^\W]+\((?R)?\)/', '', $_GET['star'])) { eval($_GET['star']);} 正则表达式 1[^\W]+\((?R)?\) 匹配了一个或多个非标点符号字符（表示函数名），后跟一个括号（表示函数调用）。其中 (?R) 是递归引用，它只能匹配和替换嵌套的函数调用，而不能处理函数参数。使用该正则表达式进行替换后，每个函数调用都会被删除，只剩下一个分号 ;，而最终结果强等于；时，payload才能进行下一步。简而言之，无参数rce就是不使用参数，而只使用一个个函数最终达到目的。 12scandir()可以使用里面不含参数scandir('1')不可以使用，里面含有参数1，无法被替换删除 相关函数简要介绍1234567891011121314scandir() :将返回当前目录中的所有文件和目录的 ...