当前位置: 首页 > news >正文

NSSCTF | [SWPUCTF 2021 新生赛]babyrce

news 2025/8/15 16:06:28

打开题目,显示了一个php脚本

我们来分析一下这个脚本是什么意思

<?php
error_reporting(0);
header("Content-Type:text/html;charset=utf-8");
highlight_file(__FILE__);
if($_COOKIE['admin']==1) 
{include "../next.php";
}
elseecho "小饼干最好吃啦!";

这个 PHP 脚本主要做了以下事情:
1. 通过 `error_reporting(0);` 关闭了错误报告。这意味着如果脚本中有任何错误,程序将不会显示错误消息。

2. 使用 `header("Content-Type:text/html;charset=utf-8");` 设置内容类型为 HTML ,并指定字符类型为 UTF-8。

3. `highlight_file(__FILE__);` 是一个用于突出显示当前脚本文件代码的 PHP 内置函数。通过 `__FILE__` 魔术常量,它可以获取当前脚本的绝对路径。

4. 程序接着会检查 'admin' 的 cookie 值是否为1。如果是,它将包含(include)"../next.php" 文件。这个 ".." 是相对路径的表示方式,表示上一级文件夹。

5. 如果 'admin' 的 cookie 值不是1,那么就会显示一句 "小饼干最好吃啦!"

这个脚本主要用于检查是否有管理员权限访问某些页面。admin 是 cookie 的名称,如果它的值为 1,则表示用户是管理员,可以包含其他 php 文件 for further processing。实质上,这个脚本实现了一个简单的访问控制机制。

那么,要绕过这个脚本进行下一步,我们需要做的就是将请求中Cookie的值设置为1

可以使用Burpsuite完成这项工作。

首先,使用Burpsuite抓取访问靶机地址的数据包,并发送到repeater。

然后,可以在右侧窗口看到一个请求cookies,把它点开

点击添加,输入名称为admin,值为1,点击添加

可以看到,左侧的请求数据包中最后已经多了一行数据

Cookie: admin=1

点击发送,查看回显,可以看到回显的最后给了我们一个文件rasalghul.php。

我们去浏览器访问一下这个文件看看

http://node5.anna.nssctf.cn:27929/rasalghul.php

可以看到,这是另一个php脚本。

 <?php
error_reporting(0);
highlight_file(__FILE__);
error_reporting(0);
if (isset($_GET['url'])) {$ip=$_GET['url'];if(preg_match("/ /", $ip)){die('nonono');}$a = shell_exec($ip);echo $a;
}
?>

这段 PHP 脚本主要执行以下操作:

  1. error_reporting(0);关闭了所有错误报告。这意味着脚本中的任何错误,程序将不会显示错误消息。

  2. 使用 highlight_file(__FILE__); 方法会输出当前脚本文件的内容,并且会突出显示语法结构。这个 __FILE__ 是魔术常量,表示当前脚本的绝对路径。

  3. 再次通过 error_reporting(0); 关闭所有错误报告。

  4. 检查 $_GET['url'] 参数是否被设置。这可能是一个从 URL 查询字符串获取的参数。

  5. 如果 $_GET['url'] 参数被设置,那么就将其值赋给 $ip 变量。

  6. preg_match("/ /", $ip) 会检查 $ip 变量的值中是否存在一个空格。如果存在空格,die('nonono'); 函数将停止脚本执行,并输出消息 'nonono'。

  7. shell_exec($ip); 函数通过 shell 命令执行 $ip 变量的值并返回输出。这是一个非常危险的行为,因为它允许任何人通过 URL 查询参数运行任意的 shell 命令。这可能会导致严重的安全问题。

  8. echo $a; 将输出 shell_exec($ip); 的结果。

总的来看,这个脚本的主要用途应该是接受来自 URL 查询参数的输入,并试图在 shell 命令行中执行该输入。不过,如果输入包含空格,则执行会被中断。

一句话,就是我们可以通过传入参数为url的命令,但是命令中不能有空格

先用ls试试看。

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=ls

可以看到,ls命令是有作用的,所以我们只要能绕过空格限制,就能够执行我们想要执行的所有命令,相当于已经获得了管理员的权限 。

如何绕过空格限制呢,可以参考这篇文章

RCE漏洞详解及绕过总结(全面)-CSDN博客

我们可以用$IFS来代替空格

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=ls$IFS/

这样就能绕过空格过滤,服务器也正常回显了根目录的文件和文件夹

我们可以看到很显眼的flag文件,直接使用cat命令查看就完了

http://node5.anna.nssctf.cn:27929/rasalghul.php?url=cat$IFS/flllllaaaaaaggggggg

本题完。

http://www.lryc.cn/news/348916.html

相关文章:

  • 环保不只是口号,绿葆自助取袋机助力1000多家医院环保行动!
  • DELL服务器配置ILO(idrac)地址、修改管理员密码
  • 如何打造个人IP?
  • 【PostgreSQL支持中文的全文检索插件(zhparser)】
  • SHAP分析交互作用的功能,如果你用的模型是xgboost
  • 瑞友科技质量改进服务事业部总经理张力受邀为第十三届中国PMO大会演讲嘉宾
  • CVE-2024-4761 Chrome 的 JavaScript 引擎 V8 中的“越界写入”缺陷
  • 字符串函数(二):strlen(求长度),strstr(查找子串),strtok(分割),strerror(打印错误信息)
  • EUCR-30S电机保护器施耐德EOCR
  • 人工神经网络(科普)
  • 宇宙(科普)
  • 安防视频/视频汇聚系统EasyCVR视频融合云平台助力智能化酒店安防体系的搭建
  • SpringCloudAlibaba:5.1Sentinel的基本使用
  • SHELL-双重循环习题练习
  • 2024年为什么很多电商商家,都想涌入视频号,究竟是什么原因?
  • Google Gemma 2B 微调实战(IT科技新闻标题生成)
  • RabbitMQ:深入理解高性能消息队列
  • 【北京迅为】《iTOP-3588开发板源码编译手册》-第4章 Android12/Linux设备树简介
  • C++ C# 贝塞尔曲线
  • 勒索软件漏洞?在不支付赎金的情况下解密文件
  • 实时“秒回”,像真人一样语音聊天,GPT-4o模型强到恐怖
  • Properties配置文件和源码
  • redis原生命令及项目使用
  • 使用VSCode生成代码、查询数据表
  • 使用 PXE+Kickstart 批量网络自动装机
  • 微信小程序交互增强:实现上拉加载、下拉刷新与一键返回顶部【代码示例】
  • leetcode刷题指南
  • hadoop学习---基于Hive的数据仓库相关函数机制及其优化方案
  • 【MySQL数据库】丨高可用之MHA集群部署
  • uniapp的底部弹出层实现保姆式教程