XCTF--WEB wtf.sh-150

wtf.sh-150

打开题目发现有注册有登录，于是乎我们先注册一个账号并进行登录
登录之后我们发现存在一个文件包含漏洞。
访问http://111.198.29.45:34109/post.wtf?post=…/得到网站源码，源码中提示我们cookie和token都要为admin如图所示。

我们访问http://111.198.29.45:51831/post.wtf?post=…/users/ 看到admin的cookie

将cookie中username 和 token都修改成admin 刷新页面登录成功。查看管理员个人资料得到一部分的flag

.通过源码可以发现对bash命令的调用，访问http://111.198.29.45:34109/wtf.sh 得到linux脚本代码
进行审计后可发现，上传wtf文件并执行，就可以控制服务器。

继续进行审计，发现reply函数也存在文件包含漏洞，并且把用户名写在了评论文件的内容中。所以将用户名定义为一段可执行代码，并且写入的文件后缀是wtf，就可以执行代码

.创建一名用户，名为$find,/,-name,ge{t}_{f}lag2,登录此用户进行回复，通过burp进行抓包并上传后门sh.wtf如图所示。访问后门路径，得到flag2的路径。再次创建一名用户，名为$/usr/bin/get_flag2,重复上一步的操作，可以得到flag2，如图所示