[GYCTF2020]EasyThinking

最新推荐文章于 2024-03-03 11:24:16 发布
最新推荐文章于 2024-03-03 11:24:16 发布
阅读量897 收藏
点赞数
分类专栏: CTF 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_62905261/article/details/126018356
版权
本文详细描述了在ThinkPHP6.0.0环境中发现的任意文件操作漏洞,通过测试、审计和蚁剑工具,作者展示了如何利用这个漏洞进行文件操作并获取flag。涉及的技术包括session管理、登录验证和漏洞利用步骤。
摘要由CSDN通过智能技术生成

[GYCTF2020]EasyThinking

随便测试一下发现网页框架thinkphp v6.0.0,可能存在任意文件操作漏洞

除此之外没有发现什么东西,f12也没有发现什么异常,dirsearch扫描一下发现了www.zip

访问下载文件

在web/home/controller有一个Member.php,得到网页源码:

<?php
namespace app\home\controller;

use think\exception\ValidateException;
use think\facade\Db;
use think\facade\View;
use app\common\model\User;
use think\facade\Request;
use app\common\controller\Auth;

class Member extends Base
{

    public function index()
    {
        if (session("?UID"))
        {
            $data = ["uid" => session("UID")];
            $record = session("Record");
            $recordArr = explode(",", $record);
            $username = Db::name("user")->where($data)->value("username");
            return View::fetch('member/index',["username" => $username,"record_list" => $recordArr]);
        }
        return view('member/index',["username" => "Are you Login?","record_list" => ""]);
    }

    public function login()
    {
        if (Request::isPost()){
            $username = input("username");
            $password = md5(input("password"));
            $data["username"] = $username;
            $data["password"] = $password;
            $userId = Db::name("user")->where($data)->value("uid");
            $userStatus = Db::name("user")->where($data)->value("status");
            if ($userStatus == 1){
                return "<script>alert(\"该用户已被禁用,无法登陆\");history.go(-1)</script>";
            }
            if ($userId){
                session("UID",$userId);
                return redirect("/home/member/index");
            }
            return "<script>alert(\"用户名或密码错误\");history.go(-1)</script>";

        }else{
            return view('login');
        }
    }

    public function register()
    {
        if (Request::isPost()){
            $data = input("post.");
            if (!(new Auth)->validRegister($data)){
                return "<script>alert(\"当前用户名已注册\");history.go(-1)</script>";
            }
            $data["password"] = md5($data["password"]);
            $data["status"] = 0;
            $res = User::create($data);
            if ($res){
                return redirect('/home/member/login');
            }
            return "<script>alert(\"注册失败\");history.go(-1)</script>";
        }else{
            return View("register");
        }
    }

    public function logout()
    {
        session("UID",NULL);

        return "<script>location.href='/home/member/login'</script>";
    }

    public function updateUser()
    {
        $data = input("post.");
        $update = Db::name("user")->where("uid",session("UID"))->update($data);
        if($update){
            return json(["code" => 1, "msg" => "修改成功"]);
        }
        return json(["code" => 0, "msg" => "修改失败"]);
    }

    public function rePassword()
    {
        $oldPassword = input("oldPassword");
        $password = input("password");
        $where["uid"] = session("UID");
        $where["password"] = md5($oldPassword);
        $res = Db::name("user")->where($where)->find();
        if ($res){
            $rePassword = User::update(["password" => md5($password)],["uid"=> session("UID")]);
            if ($rePassword){
                return json(["code" => 1, "msg" => "修改成功"]);
            }
            return json(["code" => 0, "msg" => "修改失败"]);
        }
        return json(["code" => 0, "msg" => "原密码错误"]);
    }

    public function search()
    {
        if (Request::isPost()){
            if (!session('?UID'))
            {
                return redirect('/home/member/login');            
            }
            $data = input("post.");
            $record = session("Record");
            if (!session("Record"))
            {
                session("Record",$data["key"]);
            }
            else
            {
                $recordArr = explode(",",$record);
                $recordLen = sizeof($recordArr);
                if ($recordLen >= 3){
                    array_shift($recordArr);
                    session("Record",implode(",",$recordArr) . "," . $data["key"]);
                    return View::fetch("result",["res" => "There's nothing here"]);
                }

            }
            session("Record",$record . "," . $data["key"]);
            return View::fetch("result",["res" => "There's nothing here"]);
        }else{
            return View("search");
        }
    }
}

审计代码发现了session:ThinkPhP6 会默认在 /runtime/session 创建一个sess_xxxx格式的session文件,这里的xxxx就是PHPSESSID(32位),而文件的内容就是session的内容,也就是key的内容。并且发现了:

if ($userId){
                session("UID",$userId);
                return redirect("/home/member/index");
            }

这里把uid写入当前的session中,即我们本来构造的PHPSESSID=1111111111111111111111111111.php的session是没有uid的,没办法实现search功能,这里可以把uid赋给session,即可以在搜索页面写入马(都要放包那里修改并且放包,这样才会上传马)

蚁剑连接:http://xxxxxx.node4.buuoj.cn:81/runtime/session/sess_1111111111111111111111111111.php

连接上利用disabled_functions插件获取flag

 至此结束,撒花

一夜至秋.
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1609
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3488
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
PHP登录环节防止sql注入的方法浅析
10-25
主要介绍了PHP登录环节防止sql注入的方法,需要的朋友可以参考下
[GYCTF2020]EasyThinking【TP6 + disable_functions】
D.MIND 的博客
04-30 499
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考: 题目名为:[GYCTF2020]EasyThinking 猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露 先随便访问一下使页面错误从而查看版本号 是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点 上网搜一下有关TP6的漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析 这是有关SESSI
练[GYCTF2020]EasyThinking
m0_66225311的博客
10-11 393
`thinkphpV6`任意文件操作漏洞,代码分析写入`session`文件的参数,源码泄露,使用蚁剑插件`disable_functions`绕过终端无回显`ret=127`
[GYCTF2020]EasyThinking --不会编程的崽
最新发布
不会编程的崽的博客
03-03 862
thinkphp6.0.0 任意文件写入 GYCTF
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 807
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
[GYCTF2020]Easyphp
b1ackc4t的博客
01-24 2098
知识点 反序列化pop链 反序列化字符逃逸 解题过程 www.zip 备份文件获取源码 审计代码构造pop链 <?php Class UpdateHelper{ public $id; public $newinfo; public $sql; } class User { public $id; public $age; public $nickname; public function __toString() {
十年磨一剑
数据库天地
01-16 318
一年轻人上山拜师学剑,见到师父后问师父, “师父,假如我努力学习,要多久才可以学成?” “我想,学十年就差不多了。” “师父,家父年事已高,我要服侍他,假如我加强训练,那需要多长时间可以练成?” “那么,大概要三十年了。” “啊,师父你刚才说十年,现在说要三十年。我不惜任何代价也要在最短的时间内学成。师父……” “如果是这样的话,那要学七十年啊” “呃??????” 中国有句古...
i春秋2020新春疫战 SQL注入类型 writepup
a3320315的博客
02-24 954
招聘简历 这道题目是比较常见的bool注入 打开题目是一个注册登录界面 我们先尝试一下有没有注入点 我们先注册一个账号 这个时候我们在登录页面试一下有没有注入点 很明显的bool注入,1=1是恒成立的,如果and后面的条件不成立,就会返回登录失败~~ exp: # encoding=utf-8 import requests url = 'http://d3be80acd6b647538ef87...
GYCTF2020_Writeup
Lethe's Blog
03-15 2582
Blacklist 一到注入题,和2019强网杯的随便住基本一致,但是多过滤了set、prepare、alter、rename: return preg_match("/set|prepare|alter|rename|select|update|delete|drop|insert|where|\./i",$inject); 获取表名和列名的方式与原题一致,而获取数据可以参考这篇文章:http...
ctf中MD5绕过详细总结及例题[BJDCTF2020]Easy MD5
m0_56691564的博客
10-18 4913
MD5()函数简单了解及ctf中常见绕过技巧,结尾附加例题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值