BUUCTF:[GYCTF2020]EasyThinking

最新推荐文章于 2024-07-31 11:47:44 发布
最新推荐文章于 2024-07-31 11:47:44 发布
阅读量3.5k 收藏 7
点赞数 6
分类专栏: CTF_WEB_Writeup
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mochu7777777/article/details/105160796
版权

参考:https://www.cnblogs.com/yesec/p/12571861.html
在这里插入图片描述
目录扫描,存在源码泄露www.zip
在这里插入图片描述
ThinkPHP框架
在这里插入图片描述
ThinPHPV6.0.0

漏洞成因:ThinkPHP6任意文件操作漏洞分析

session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位)
然后再search搜索的内容会直接保存在/runtime/session/目录下,getshell

  1. 先注册一个账户
  2. 登录这个账户抓包,修改session
    在这里插入图片描述
  3. 在搜索框写入一句话
    在这里插入图片描述
    key的值会被写入到session文件当中
    在这里插入图片描述
    在这里插入图片描述
    访问shell路径
/runtime/session/sess_1234567890123456789012345678.php

在这里插入图片描述
得到shell,但是发现和BUUCTF:[极客大挑战 2019]RCE ME这一题一样,有disable_function限制,php版本
在这里插入图片描述
disable_function绕过exp

连上蚁剑,找个能上传文件的地方,上传exp,这里我还是和之前一样上传到/var/tmp/目录当中
在这里插入图片描述
修改我们exp执行命令为执行/readflag
在这里插入图片描述
最后包含这个文件即可得到flag
在这里插入图片描述

末 初
关注
专栏目录
[GYCTF2020]EasyThinking
nefelibataadad的博客
09-15 841
[GYCTF2020]EasyThinking Thinkphp框架——ThinkPHP6任意文件操作漏洞分析 参考:https://paper.seebug.org/1114/ 任意文件写入 首先扫描目录,得到www.zip的源码 发现可能是think.php框架, 随便试个报错看看think.php的框架 V6.0.0版本,直接上网搜资料发现有任意文件写入 参考https://www.cnblogs.com/0daybug/p/13747867.html 根据网上的漏洞复现,这个在登录的时候在se
BUUCTF:[GYCTF2020]Ezsqli --过滤了information_schem ------ 无列明注入之过滤了union 使用ascii偏移来做
Zero_Adam的博客
03-15 1497
一、自己做: 直截了当的sql注入,先用fuzz字典跑一下: information_schema.table等被过滤了, 而且union 也被过了, 尝试了 || 和&& 等没有过滤,并且strsub,limit等都没有过滤,初步判断盲注应该时可以的。 但是 information_chema等被过滤了,表和 列都查不出来, 二、学到的&&不足: 当information_schema等被过滤的时候,能够查出数据库的名字,但是表明不知道,这时可以用这个来sys.schem
[GYCTF2020]FlaskApp (pin码,jinja2绕过注入)
最新发布
weixin_73399382的博客
07-31 1222
对于非docker机每一个机器都会有自已唯一的id,linux的id一般存放在/etc/machine-id或/proc/sys/kernel/random/boot_i,有的系统没有这两个文件,windows的id获取跟linux也不同。PIN 机制在 [Flask debug 模式 PIN 码生成机制安全性研究笔记](https://www.cnblogs.com/HacTF/p/8160076.html) 一文中有详细的研究。我是在/etc/machine-id下找到的,也就是第三个payload。
buuctf-[GYCTF2020]Ezsqli(异或注入无列名)
m0_62094846的博客
05-18 656
尝试过后发现只有1,2可以,3以上会显示错误 尝试一下slq注入,但是输入不是1,2的就会显示错误 尝试异或注入 被过滤了 过滤了for,in在information里也被过滤了 可以用这种方式获得当前数据库,但是information不能用了,也没什么绕过的方式,就不能查表之类的了 id=1^(ascii(substr(database(),1,1))=103)^1 换成 innodb_table_stats 也没用 聊一聊bypass in...
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询
weixin_44632787的博客
06-19 708
BUUCTF之[GYCTF2020]Blacklist--------堆叠查询 启动挑战项目,发现前端界面显示Black list is so weak for you,isn’t it 又是一道用堆叠查询的题目,看来CTF也很喜欢考这类型的题目呀! 首先爆出数据库:1’;show databases; 然后爆出表名:1’; show tables; 然后显示某个表里面列的信息:1’;show columns from FlagHere; 接下来的才是重点,在MYSQL数据库中: 可以用handl
BUUCTF gyctf_2020_borrowstack
BengDouLove的博客
04-22 830
第一个read的只能溢出0x10字节,也就是刚好覆盖返回地址,如果要ROP地方肯定不够 所以栈迁移到bank,在那里ROP 之前没遇到过这样的题,怎么迁过去我苦思冥想,最终还是看了wp,,用两个leave来控制rsp和rbp寄存器,太妙了 leave是个伪代码,,分解开就是 mov rsp,rbp pop rbp 如果把栈构造成这样 ‘A’ * 0x60 bank_addr leave_...
BUUCTF:bjdctf_2020_babyrop2(write up)
qq_44768749的博客
08-26 928
BUUCTF:bjdctf_2020_babyrop20x01 文件分析0x02 运行0x03 IDA0x04 思路0x05 exp 0x01 文件分析 64位程序,开启栈不可执行、canary、部分RELRO保护 0x02 运行 输入两次字符串 0x03 IDA main函数 调用了下面三个函数 init函数 初始化,输出提示 gift函数 存在格式化字符串漏洞 vuln函数 存在栈溢出漏洞 0x04 思路 开启canary保护 可利用gift函数
练[GYCTF2020]EasyThinking
m0_66225311的博客
10-11 402
`thinkphpV6`任意文件操作漏洞,代码分析写入`session`文件的参数,源码泄露,使用蚁剑插件`disable_functions`绕过终端无回显`ret=127`
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1634
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
[GYCTF2020]EasyThinking --不会编程的崽
不会编程的崽的博客
03-03 874
thinkphp6.0.0 任意文件写入 GYCTF
[GYCTF2020]EasyThinking【TP6 + disable_functions】
D.MIND 的博客
04-30 576
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考: 题目名为:[GYCTF2020]EasyThinking 猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露 先随便访问一下使页面错误从而查看版本号 是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点 上网搜一下有关TP6的漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析 这是有关SESSI
buuctf ACTF2020 Include
09-16
根据提供的引用内容,buuctf ACTF2020的Include功能可能存在文件包含漏洞。通过将URL中的参数修改为"?file=php://filter/convert.base64-encode/resource=flag.php",可以尝试读取flag.php文件并将其内容以Base64编码形式返回。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

末 初

谢谢老板!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值