练[GYCTF2020]EasyThinking

news2024/11/14 20:07:20

[GYCTF2020]EasyThinking

文章目录

      • [GYCTF2020]EasyThinking
      • 掌握知识
      • 解题思路
        • 还得靠大佬
        • 正式开始
      • 关键paylaod

在这里插入图片描述

掌握知识

thinkphpV6任意文件操作漏洞,代码分析写入session文件的参数,源码泄露,使用蚁剑插件disable_functions绕过终端无回显ret=127

解题思路

  1. 打开网站发现功能还挺完善,直接注册账号登录,看了看界面的功能,源码也没有泄露的hint。在找写入session文件内容的参数的时候了解到该题还存在网站源码泄露,输入www.zip可以看到网站结构

image-20231011124501518

还得靠大佬
  1. 根据https://www.cnblogs.com/yesec/p/12571861.html 该篇wp了解到写入session数据的关键参数就是搜索界面所搜索的内容,该参数会在后续的漏洞中将搜索的内容存入到构建的session文件中
public function search()
    {
        if (Request::isPost()){
            if (!session('?UID'))
            {
                return redirect('/home/member/login');            
            }
            $data = input("post.");
            $record = session("Record");
            if (!session("Record"))
            {
                session("Record",$data["key"]);
            }
            else
            {
                $recordArr = explode(",",$record);
                $recordLen = sizeof($recordArr);
                if ($recordLen >= 3){
                    array_shift($recordArr);
                    session("Record",implode(",",$recordArr) . "," . $data["key"]);    //注意这里,直接将搜索的内容写入了服务器生成的SESSION文件中
                    return View::fetch("result",["res" => "There's nothing here"]);
                }

            }
            session("Record",$record . "," . $data["key"]);
            return View::fetch("result",["res" => "There's nothing here"]);
        }else{
            return View("search");
        }
    }
}
正式开始
  1. 现在步入正题,对于该网站没啥可下手的,根据题目提示是thinking,看界面猜测是thinkphp框架,输入错误的目录报错得到框架的版本为V6,一般涉及到thinkphp框架的ctf题,都和历史漏洞离不开关系了,直接搜索历史漏洞了解到任意文件操作的漏洞

image-20231011125050710

image-20231011125109083

  1. 根据文章介绍,需要修改session的值为一个文件名,必须满足32长度。关键的点在于要找到能写入session文件内容的参数,通过上面的了解就是搜索界面了。这样子前期工作就完成了,接下来只需要搜索内容就会把搜索的内容写入到/runtime/session/sess_文件名中,只要访问该目录就能访问到该文件,所以直接写入一句话木马进行蚁剑连接
修改登录界面的session值     全局共用登录界面的session,也是后续生成的session文件名,以php结尾,满足session解析的32位
写入session文件内容的参数    通过网站泄露的源码得知,搜索界面搜索的内容会直接写入到session文件中
蚁剑连接     搜索一句话木马写入到文件中,服务器会生成保存session文件的目录为  /runtime/session/sess_文件名
到此文件名可控  文件内容可控  文件路径已知  就很明了了

image-20231011130026130

image-20231011130034860

image-20231011130039872

  1. 访问生成的session文件.../runtime/session/sess_96d042989ab86ba2f8280c9ff8dc.php,发现回显序列化字符串即代表成功成功写入文件,漏洞利用成功,直接蚁剑连接

image-20231011130133778

image-20231011130218889

  1. 查看根目录发现flag需要使用readflag读取,很是眼熟啊,打开虚拟终端,果然命令执行不会成功,回显ret=127,继续使用之前用到的蚁剑插件disable_functions,进行绕过,需要梯子下载

image-20231011130335836

image-20231011130345804

image-20231011130430841

  1. 寻找一个符合版本的模式,直接点击开始,成功绕过会弹出一个虚拟终端界面,在新终端中就能执行命令了,不会再有限制,直接运行readflag,拿下flag

image-20231011130600700

image-20231011130606046

关键paylaod

96d042989ab86ba2f8280c9ff8dc.php
<?php eval($_POST[a]);?>
/runtime/session/sess_96d042989ab86ba2f8280c9ff8dc.php

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1079882.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Android Native 开发 要点实录

Android Studio 中写 C 代码 android studio创建C项目_android studio native c-CSDN博客 项目配置参考 【CMake】CMakeLists.txt的超傻瓜手把手教程&#xff08;附实例源码&#xff09;_【cmake】cmakelists.txt的超傻瓜手把手教程(附实例源码)-CSDN博客 CMakeLists.txt 讲解…

一文区分路由策略和策略路由!

一、路由策略 在复杂的数据通信网络中&#xff0c;根据实际组网需求&#xff0c;往往需要实施一些路由策略对路由信息进行过滤、属性设置等操作&#xff0c;通过对路由的控制&#xff0c;可以影响数据流量转发。路由策略并非单一的技术或者协议&#xff0c;而是一个技术专题或…

MongoDB——centOS7环境Mongodb权限管理(图解版)

目录 一、MongDB权限概述1.1、MongDB权限概述1.2、MongDB权限列表 二、Mongodb权限管理示例2.1、创建账号2.1.1、创建管理员用户2.1.2、开启认证2.1.3、创建普通账号 一、MongDB权限概述 1.1、MongDB权限概述 mongodb是没有默认管理员账号&#xff0c;所以要先添加管理员账号…

界面组件DevExpress WPF v23.1 - 进一步升级数据处理能力

DevExpress WPF拥有120个控件和库&#xff0c;将帮助您交付满足甚至超出企业需求的高性能业务应用程序。通过DevExpress WPF能创建有着强大互动功能的XAML基础应用程序&#xff0c;这些应用程序专注于当代客户的需求和构建未来新一代支持触摸的解决方案。 无论是Office办公软件…

帝国cms改目录后打不开,帝国cms改目录生成后还是404

帝国CMS更改了网站域名或者栏目目录地址信息打不开的解决方法&#xff0c;一起来看看吧&#xff1a; 很多的小伙伴们&#xff0c;改了后台的系统设置里面的网站地址或者栏目目录地址&#xff0c;信息页就打不开的解决方法如下&#xff1a; 后台>系统>数据更新>更新信…

防雷排插的防雷应用以及解决方案

防雷排插是一种能够有效防止雷电对电器设备造成损坏的电源插座。防雷排插的应用&#xff0c;原理和作用如下&#xff1a; 地凯科技防雷排插的应用&#xff1a;防雷排插主要用于保护电脑&#xff0c;电视&#xff0c;音响等电子设备免受雷击或者电网过压的影响。防雷排插通常有…

Delphi如何为Win32位和Win64位不同的目标平台分别编译生成不同文件名的EXE可执行文件

实际上就是给编译生成的exe文件自动重命名不同的名称&#xff1a; 实测《Z-Gantt时间管理进度计划甘特图》Delphi 10.3.3 成功&#xff0c;网上说Delphi xe3 以上版本都可以&#xff0c; delphi 7 不可以。 进入 Project Options - Build Events &#xff0c; 然后在 post-bui…

华为云云耀云服务器L实例评测 | 实例评测使用之硬件参数评测:华为云云耀云服务器下的 Linux 磁盘目录分析神器 ncdu

华为云云耀云服务器L实例评测 &#xff5c; 实例评测使用之硬件参数评测&#xff1a;华为云云耀云服务器下的 Linux 磁盘目录分析神器 ncdu 介绍华为云云耀云服务器 华为云云耀云服务器 &#xff08;目前已经全新升级为 华为云云耀云服务器L实例&#xff09; 华为云云耀云服务器…

【C++进阶】:智能指针

智能指针 一.为什么需要智能指针二.智能指针的原理和使用1.RALL2.auto_ptr3.unique_ptr4.shared_ptr 一.为什么需要智能指针 主要两点原因&#xff1a; 1.为了避免写代码时忘记delete导致的内存泄漏。 2.为了避免抛异常时跳过delete导致的内存泄漏。 1.new本身有可能出现异常&…

如何导出带有材质的GLB模型?

1、为什么要使用 GLB 模型? GLB格式&#xff08;GLTF Binary&#xff09;是一种用于存储和传输3D模型及相关数据的文件格式&#xff0c;具有以下优点和作用&#xff1a; 统一性&#xff1a;GLB是一种开放标准的3D文件格式&#xff0c;由Khronos Group制定和维护。它融合了GL…

BUUCTF [BJDCTF2020]JustRE 1

查看文件信息 使用IDA打开 shift F12搜索字符串 发现类似flag的字符串 点进去 一路跟踪到汇编窗口&#xff0c;然后F5 sprintf将格式化后的字符串输出到String中 最终String的值为 printf("BJD{%d%d2069a45792d233ac}",19999,0);也就是 BJD{1999902069a45792d…

混淆技术研究笔记(四)反篡改介绍

先来看看AI的介绍&#xff0c;为了防止Java代码打包的JAR包被篡改&#xff0c;可以采取以下几种措施&#xff1a; 使用数字签名&#xff1a;可以使用Java的签名工具&#xff08;如Jarsigner&#xff09;对JAR包进行数字签名。签名可以确保JAR包的完整性和来源可信性。在验证JAR…

【eNSP】VLAN基础配置

一、基于接口划分VLAN&#xff08;Access接口和Trunk接口&#xff09; 1、创建VLAN LSW1 [LSW1]vlan batch 10 20 Info: This operation may take a few seconds. Please wait for a moment...done.LSW2 [LSW2]vlan batch 10 20 Info: This operation may take a few second…

女性必看——“黄体破裂”到底有多可怕?

前几天的亚运会上发生了这样一件事&#xff1a; 雅思敏&#xff08;化名&#xff09;是一名国外皮划艇运动员&#xff0c;在亚运会上奋力完成皮划艇比赛后&#xff0c;突然开始 剧烈腹痛、面色苍白&#xff0c;大汗淋漓&#xff0c;经过进一步检查&#xff0c;确诊卵巢黄体破裂…

三点式振荡器

相关说明 http://www.360doc.com/content/19/0527/16/61619294_838545271.shtml 高频信号发生器设计—电容三点式振荡电路_电容三点式振荡电路工作原理_北辰-尘的博客-CSDN博客 如上图所示&#xff0c;典型的Colpitts振荡电路。首先忽略所有的电阻&#xff0c;他们是用来设置…

Windows11与CentOS7.9 2009下安装配置nginx后启动整个项目

Nginx是一款高性能的开源Web服务器和反向代理服务器&#xff0c;被广泛用于构建现代化的Web应用和提供静态内容。 一、Windows11下安装配置nginx 1.1 下载 nginx官网 这里下载nginx-1.24.0-zip 下载完成后&#xff0c;解压到D:\develop\nginx-1.24.0&#xff0c;解压完成后在…

P1969 [NOIP2013 提高组] 积木大赛

思路&#xff1a; ACcode: #include<bits/stdc.h> using namespace std; #define int long long const int N1e510; int n,a[N],ans; void solve() {cin>>n;for(int i1;i<n;i)cin>>a[i];int ans0;for(int i1;i<n;i){if(a[i]>a[i-1]) ansa[i]-a[i-1…

C语言,序列中删除指定数字

题目考点&#xff1a;对continue的运用&#xff08;也可以用&#xff01;来实现&#xff09; 先创建一个数组&#xff0c;数组大小应该要根据题目要求&#xff0c;根据数据范围&#xff0c;要设立一个大小为50的数组。 接着用scanf输入n的值&#xff0c;再设一个循环&#xff…

学生台灯买什么样的好?双十一学生台灯推荐

不得不说光线会孩子的影响还是蛮大的&#xff0c;不仅会影响学习的效率&#xff0c;还会影响视力健康。很多家长认为孩子近视的主要原因是玩电子产品或者不良的坐姿、用眼习惯导致的&#xff0c;其实这些并不全是造成近视的因素&#xff0c;最主要的原因还是长时间的用眼导致的…