[GYCTF2020]EasyThinking

最新推荐文章于 2024-03-03 11:24:16 发布
最新推荐文章于 2024-03-03 11:24:16 发布
阅读量914 收藏
点赞数 1
分类专栏: buuctf 文章标签: CTF web安全 thinkphp漏洞
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/pakho_C/article/details/126914579
版权

在这里插入图片描述
扫目录扫出来www.zip
在这里插入图片描述
下载解压
在这里插入图片描述
在readme文件中发现这是一个ThinkPHP6的框架
搜索框架漏洞:ThinkPHP 6.0.1 漏洞分析(任意文件操作)
审计操作可以参考上面的链接和bfengj佬的:[GYCTF2020]EasyThinking
漏洞利用方法:注册一个账号,登陆时抓包,修改session字段(长度必须为32位)
在这里插入图片描述
然后在search页面上传木马
在这里插入图片描述
文件所在位置:runtime/session/sess_rrrrrrrrrrrrrrrrrrrrrrrrrrrr.php
在这里插入图片描述
执行成功
蚁剑连接,在根目录找到flag和readflag文件
在这里插入图片描述
要执行readflag文件
但是在PHPinfo中看到disable_functions中禁用了很多函数
可以自己下载脚本:php7-backtrace-bypass/exploit.php
也可以蚁剑下载插件(需要fq)

在这里插入图片描述
点击开始后会进入伪shell模式:
在这里插入图片描述

pakho_C
关注
专栏目录
[GYCTF2020]Blacklist 1(详细做题过程)
lunan的博客
05-24 2776
[GYCTF2020]Blacklist 1(详细做题过程) 文章目录[GYCTF2020]Blacklist 1(详细做题过程)1、考点2、解题过程1、寻找`注入点`2、尝试`堆叠注入`3、尝试`联合注入`4、尝试`双写绕过`5、尝试`大小写绕过`6、传统方法行不通,看别人的wp中提到了`Handler`3、Handler语法 1、考点 1、堆叠注入 2、 Handler语法 心得:学会新的姿势Handler的sql查询方法 2、解题过程 1、寻找注入点 http://3c6e5317-cd37-4
[GYCTF2020]Ez_Express
snowlyzz的博客
09-03 665
JavaScript 原型链学习
[GYCTF2020]EasyThinkingThinkPHP V6.0.0)
qq_62046696的博客
01-25 1660
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
BUUCTF:[GYCTF2020]EasyThinking
末初的CSDN博客
03-28 3557
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
[GYCTF2020]FlaskApp
missht0的博客
01-31 505
[GYCTF2020]FlaskApp 官方write up说看到根据hint1,失败乃成功之母,应该能想到flask的debug模式。 debug模式的情况下可以抛出详细异常信息 base64解密界面随意输入字符串,导致解码报错 提示存在ssti注入 flask模板注入框架 查看根目录 {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init__.__glo
[GYCTF2020]FlaskApp 1(SSTI,PIN)
weixin_45577185的博客
10-20 1354
f12发现了提示,但是我对PIN没有了解所以没反应过来 扫了一下网站,发现了一个网站打开 非预期解: 本题存在SSTI注入 加密 {{7+7}} e3s3Kzd9fQ== 解密 回显14 说明是SSTI python-Flask模版注入攻击SSTI(python沙盒逃逸) 查看根目录: {% for c in [].__class__.__base__.__subclasses__() %}{% if c.__name__=='catch_warnings' %}{{ c.__init_
GYCTF2020 FlaskApp
汗的博客
09-04 1796
GYCTF2020 FlaskApp,老规矩,还是buu的平台 知识点 flask的SSTI ssti的绕过(拼接字符串,倒序切片,内置对象、函数) pin码的生成 信息收集 因为题目名flask,所以先不进行常规信息收集,而是观察功能点,寻找易发生ssti的功能 提示里貌似没有什么信息,考虑到功能异常抛出常见于解密环节,所以随便输段不能解密的 直接报错抛出debug信息,看来是开启了debug模式 参见该文章:Flask开启debug模式等于给黑客留了后门 而且读到了app.py的部分代码 大致的
练[GYCTF2020]EasyThinking
m0_66225311的博客
10-11 416
`thinkphpV6`任意文件操作漏洞,代码分析写入`session`文件的参数,源码泄露,使用蚁剑插件`disable_functions`绕过终端无回显`ret=127`
[GYCTF2020]EasyThinking --不会编程的崽
最新发布
不会编程的崽的博客
03-03 891
thinkphp6.0.0 任意文件写入 GYCTF
[GYCTF2020]Easyphp
东隅的博客
10-31 767
nickname),那这个类它反序列化出来字符串大括号{}里面只有俩元素,一个age的键值对一个nickname的键值对(这么说也不太严谨,就是那个意思吧),然后操作空间就来了,紧接着这个反序列化好的字符串进到safe函数里进行一个反序列化字符串的逃逸,nickname可以很长,union被替换成hacker等方式都可以用来进行逃逸。这个是放在Info类的nickname里作为字符串出现的,为了保证Info类序列化的可用性,我们需要把这些字符串逃逸到Info类的第三个属性$CtrlCase里。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值