[NISACTF 2022]bingdundun~

2024-01-08 17:39:46

[NISACTF 2022]bingdundun~ wp

信息搜集

进入题目:

在这里插入图片描述

点一下 upload? :

在这里插入图片描述

注意看上面的 URL ,此时是 ?bingdundun=upload

随便找个文件上传一下:

在这里插入图片描述

注意看上面的 URL ,此时变成:upload.php 。

那么我有理由怀疑前面在输入 ?bingdundun=upload 时会自动添加 .php 后缀名,因为两种 URL 指向同一个页面,说明 ?bingdundun= 包含的就是 upload.php 文件。

fuzz 一下,发现确实只能上传图片和压缩包。那么猜测是用 phar 伪协议进行文件包含。

用 phar 伪协议进行文件包含

phar 伪协议无论读取什么文件,都会将其视为压缩包进行解压缩,然后作为 php 代码执行,在文件上传类漏洞中经常被用到。

先写个一句话木马,文件名为 shell.php ,再压缩成 zip 文件,因为压缩包可以上传,所以这里就不把后缀名改成图片了:

在这里插入图片描述

上传 shell.zip 文件:

在这里插入图片描述

上传的文件还是在网站根目录下,只不过换了个名字。

phar 伪协议读取上传的文件

回到 ?bingdundun= 那里,因为会自动加上后缀名 .php ,所以 payload 是:

?bingdundun=phar://66ad472f8ed84878b168fb54c37aa771.zip/shell
蚁剑连接

路径是:

http://node5.anna.nssctf.cn:28582/?bingdundun=phar://66ad472f8ed84878b168fb54c37aa771.zip/shell

在这里插入图片描述

flag 在根目录下:

在这里插入图片描述

文章来源:https://blog.csdn.net/m0_73612768/article/details/135410376
本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。