[GYCTF2020]EasyThinking

最新推荐文章于 2025-02-15 19:49:29 发布
原创 最新推荐文章于 2025-02-15 19:49:29 发布 · 1.3k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#安全

本文详细解析了ThinkPHP6.0.1版本中发现的RCE漏洞,通过可控session文件名和payload注入,展示了攻击过程与防御措施,包括利用蚁剑连接、php7-gc-bypass绕过限制获取flag。

搜了一下thinkPHP6 的洞,看到一个可以RCE的洞,就赶紧试试

ThinkPHP 6.0.1 漏洞分析(任意文件操作)

利用方式大概就是首先 session文件的命名我们是可控的,通常是 sess_+ PHPSESSID 的值 命名的

注意:这里 PHPSESSID是32位

其次,会把提交的 key 写入到 session 文件,所以利用就是想办法把payload写到可控的session文件中

先注册个账号,然后抓登录的包,把 PHPSESSID改成 PHPSESSID=1234567812345678123456781236.php
在这里插入图片描述
现在写入key
在这里插入图片描述
访问 /runtime/session/sess_1234567812345678123456781236.php
在这里插入图片描述
蚁剑连上来,确实是在这里
在这里插入图片描述
在这里插入图片描述
flag被限制了读取,找个可以上传的地方传php7-gc-bypass的 exp 过 disable_functions
在这里插入图片描述
在这里插入图片描述
我们只需要包含进这个exp就可以正常读取flag了
在这里插入图片描述

[GYCTF2020]EasyThinking --不会编程的崽
不会编程的崽的博客
03-03 1021
thinkphp6.0.0 任意文件写入 GYCTF
练[GYCTF2020]EasyThinking
m0_66225311的博客
10-11 571
`thinkphpV6`任意文件操作漏洞,代码分析写入`session`文件的参数,源码泄露,使用蚁剑插件`disable_functions`绕过终端无回显`ret=127`
[GYCTF2020]EasyThinking (ThinkPHP V6.0.0)
qq_62046696的博客
01-25 1843
但是发现无法直接读取flag,应该是需要通过执行readflag得到flag,这个时候发现终端不能执行命令,这也正是本题的第二个考点。打开以后就注册一些功能,注册admin admin,成功然后尝试search这个方法是否有任意文件读取漏洞,试了试没有任何的回显。ThinkPHP6.0.0版本,直接百度搜漏洞,任意文件写入漏洞,然后想到能不能直接写入一句话马,然后得flag。然后想法就是直接找到这个文件,直接蚁建出就可以,但是这个session保存在了哪呢,然后个人中心,显示的是自己的历史命令。
BUUCTF:[GYCTF2020]EasyThinking
末初 · mochu7
03-28 4030
参考:https://www.cnblogs.com/yesec/p/12571861.html 目录扫描,存在源码泄露www.zip ThinkPHP框架 ThinPHPV6.0.0 漏洞成因:ThinkPHP6任意文件操作漏洞分析 session可控,修改session,长度为32位,session后缀改为.php(加上.php后为32位) 然后再search搜索的内容会直接保存在/ru...
[GYCTF2020]EasyThinking【TP6 + disable_functions】
D.MIND 的博客
04-30 652
文章目录TP6 任意文件操作的利用方式:disable_functions的绕过总结:参考: 题目名为:[GYCTF2020]EasyThinking 猜到是考ThinkPHP了,上来可以直接试试www.zip,发现果然有源码泄露 先随便访问一下使页面错误从而查看版本号 是TP6的版本,没审过,继续看看网站上有啥功能,发现可以注册并登录,且有一个搜索功能,搜索的结果可以查看出来,猜测这是一个被利用的功能点 上网搜一下有关TP6的漏洞,看到一篇:ThinkPHP6 任意文件操作漏洞分析 这是有关SESSI
Buu - [GYCTF2020]EasyThinking
夜风的博客
05-20 440
看到这里的PHPSESSID即为我们登录时修改的PHPSESSID值,那么我们的key会保存在 tp6 默认的session文件处。flag是在根目录下的,但是我们无法看到flag内容,发现这里有readflag文件 => 运行readflag来得到flag。格式的文件,这里的xxx是PHPSESSID(32位),而文件的内容就是session的内容。存在一个post传参,我们搜索的值也就是key的值,会保存在 PHPSESSID文件中。扫目录,发现有源码文件www.zip 访问下载。
143,【3】 buuctf web [GYCTF2020]EasyThinking
最新发布
2402_87039650的博客
02-15 469
上传这个脚本,再访问这个文件就能得到flag。这道一点都不会做,一头雾水,看wp。一开始那个题目名字就想到了框架。
[BUUCTF]PWN——gyctf_2020_some_thing_exceting
mcmuyanga的博客
01-22 946
gyctf_2020_some_thing_exceting 附件 步骤: 例行检查,64位程序,除了PIE,其他保护全开 本地试运行一下,看看大概的情况 64位ida载入,检索字符串的时候发现了有关flag的信息,由于我本地上没有创建flag文件,所以一开始输出了12行的puts 创建了一个flag,在执行,可以看到经典的堆的菜单 main(),程序主要有3个功能add,delete和show add() delete() show() 利用思路 程序一开始就读入了fl
高校战“疫”网络安全分享赛 —— Write-up
a3320315的博客
03-30 2634
Guessgame 这道题目当时没做出来,后来复现的时候,发现挺有意思的,题目中主要有三个考点 JS的大小写特征 原型链污染 redos盲注 这儿主要着重介绍一下第三个考点 JS的 exec test RegExp match replace spite可以造成redos盲注 /([a-z]+)+$/.exec('aaaaaaaaaaaaaaaaaaaaaaaaaaaa!'); /Runoo...
[GYCTF2020]Easyphp
b1ackc4t的博客
01-24 2214
知识点 反序列化pop链 反序列化字符逃逸 解题过程 www.zip 备份文件获取源码 审计代码构造pop链 <?php Class UpdateHelper{ public $id; public $newinfo; public $sql; } class User { public $id; public $age; public $nickname; public function __toString() {
[GYCTF2020]Blacklist
01-21
### GYCTF2020 Blacklist 题目解析 #### Web 应用防火墙(WAF)分析 WAF配置显示,`calc.php`文件中的过滤机制非常严格。具体来说,该PHP脚本会检测并阻止任何包含特定字符的输入请求,这些被屏蔽的字符包括但不限于空格、制表符、回车符、换行符以及常见的SQL注入元字符如单引号(`'`)、双引号(`"`)[^1]。 ```php $blacklist = [' ', '\t', '\r', '\n','\'', '"', '`', '\[', '\]', '$','\\','^']; foreach ($blacklist as $blackitem) { if (preg_match('/' . $blackitem . '/m', $str)) { die("what are you want to do?"); } } ``` 此段代码表明服务器端对于用户提交的数据进行了严格的预处理,旨在防止恶意攻击者利用特殊字符绕过安全防护措施执行非法操作。 #### SQL 注入尝试方法 尽管存在上述黑名单过滤策略,在实际渗透测试过程中仍然可以采用一些技巧来规避这种防御手段。例如,通过模糊测试(SQL Fuzzing),即向目标应用发送一系列构造好的查询字符串以观察其响应行为模式变化;这种方法有助于识别潜在的安全漏洞所在之处[^2]。 当遇到较为复杂的过滤条件时,则可能需要借助自动化工具编写自定义脚本来持续不断地试探不同类型的payload组合直至找到有效的突破点。 #### 绕过技术探讨 针对此类情况的一种常见解决方案是使用编码转换或者寻找替代表达方式实现相同功能而不触发报警机制。比如: - 利用手动URL编码或其他形式转义避开直接匹配; - 尝试替换某些敏感关键字为同义词或近似结构; - 构建多层嵌套逻辑混淆语法特征减少单一特征命中率。 最终目的是构建能够成功传递给后端解释器但仍保持原有意图的有效载荷(Payload)。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

paidx0

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值