试验一下博客园的基础功能,顺便把学校战队招新赛的Wp传一下,
alpaca_search:
直接burp爆破把密码搞出来,在burp多抓几次包会在正确的包里发现一个新的cookie名count,count记录了正确的值
,然后把它改成999再多发几次包,发到正确的那一个后就拿到了flag
RCE_ME!!!
题目直接说明了是RCE,根据ctfhub学到的经验进行代码审计,显然是通过GET方式传cmd这个参数来利用漏洞,而且eval这个函数没有被ban掉,第一个
preg_match('/data://|filter://|php://|phar://|zip:///i正则表达式基本不用管,第二个if(';' === preg_replace('/[a-z,_]+((?R)?)/', NULL, $cmd))说明是个无参数RCE(说实话这个无参数RCE看了半天才搞懂),大概就是只能用函数来利用漏洞,继续审计第三个正则,发现应该被ban的defined被写成了dfined,很明显突破口在这了,传入var_dump(current(get_defined_vars()));发现给了string(38) "var_dump(current(get_defined_vars()));" },说明可以执行shell的命令,最后用eval(end(current(get_defined_vars())));&shell=phpinfo();把phpinfo()打开,用Ctrl +F打开搜索框,输入flag就找到了,想学习无参数RCE的推荐去https://blog.csdn.net/Manuffer/article/details/120738755看看
传张图片试试
