最近练车,没时间打呜呜呜,GK回家后已经结束了,还好题在buu,还可以玩,BJD就难受了,没时间就玩了几道题,希望有源码复现吧,当天回家后就开始搞GK了,最后还是败在了node.js的那两个题,js还是顶不住,接触的太少了,现在就总结过一个原型链污染,快快学起来,做题过程记录一下8

CheckIN
<title>Check_In</title>
<?php 
highlight_file(__FILE__);
class ClassName
{
        public $code = null;
        public $decode = null;
        function __construct()
        {
                $this->code = @$this->x()['Ginkgo'];
                $this->decode = @base64_decode( $this->code );
                @Eval($this->decode);
        }

        public function x()
        {
                return $_REQUEST;
        }
}
new ClassName();

给了源码,审计还是比较简单的,REQUEST方式Ginkgo传参,payload还需要base64加密一下,通过Eval进行RCE

直接一句话getshell

Payload: ?Ginkgo=ZXZhbCgkX1BPU1RbY21kXSk7

但是根目录里的flag里面啥都没有,还有一个readflag,这个程序里可能有flag,而且终端里面也有一定的限制,有可能要提权,或着说ban了一些函数

看了看phpinfo,确实ban了不少函数

先是想到直接脚本提权,感觉so应该也可以bypass

脚本:https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php

脚本稍微改一下 :pwn(“/readflag”);

包含这个马

cve版签到

考点:cve2020-7066

介个没啥好说的,跟BJD那道题基本一模一样

原理:%00截断get_headers()函数中的内容

提示ip必须有123

真送的分啊

老八小超市儿

一打开是个商场哈,扫目录扫到了很多东西

readme发现是一ShopXo开源的框架,没听过hh

robots泄露也没什么特别敏感的信息,只有后台了

在爆破的时候,先去搜了一下这个框架的漏洞。好多。。。

用哪个?8知道,先进后台好了,我的字典没有这个框架的一些默认的口令,没爆出来,上网搜了一下默认的,还给进去了

username:admin    passwd=shopxo

最先看见那个sql控制台,试了半天,没啥发现哈

最后还是google找到了一个这个框架getshell的方法

http://www.nctry.com/1660.html

(ps:看了官方wp,发现参考的也是这个hh)

上传主题,主题中加上自己的马,getshell

注意路径:public/static/index/default/new1.php

结果拿到了个假flag,还给了提示flag在/root

aaa?但www-data没有root权限。又要提权?

根目录下还有个hint,其实一样的嗷

本来想找脚本提权的时候,看见群里有师傅在说根目录下的auto.sh

打开看了一下,wtf,这flaghint还是实时的???每60s执行一下

那就去看一下这个脚本

ohh!这个就是留的利用点?(群里的师傅们讨论的都那么激烈了,肯定是吧hhh)

看了看权限果然,makeflaghint.py是有root权限的

(这里sleep 60应该就是执行makeflaghint.py)

照猫画虎,读取的flag写在hint里,那提权可以嘛?应该可以的8,整个做完了,回来再试一下

EZ三剑客-EzWeb(notsolve)

输入url?ping注入?先想到的是ping注入,测了半天,全是别这样

看网页源码,发现了个hint

?secret后给了靶机的ip地址????

url换成靶机的ip地址,什么也没有……没思路,咕咕咕了,明天再来补吧

—-补

看别的师傅说是内网探测,哇,我昨天晚上咋就没想到呢??????

在.11开了个服务,还给了hint(懒的跑字典了,群里的师傅们已经告诉我了)

在6379端口也开了个服务

报错了?查了一下是redis,6379也是redis的端口,ooo

利用直接放学习链接了:https://byqiyou.github.io/2019/07/15/%E6%B5%85%E6%9E%90Redis%E4%B8%ADSSRF%E7%9A%84%E5%88%A9%E7%94%A8/

EzTypecho

Typecho1,1反序列化漏洞

https://www.cnblogs.com/Mikasa-Ackerman/p/Typecho11fan-xu-lie-hua-lou-dong-fu-xian.html

有个坑,没有设置session,但是反序列化前还需要检查session

绕过的方法:

https://www.php.net/manual/en/session.upload-progress.php


0 条评论

发表评论

电子邮件地址不会被公开。 必填项已用*标注