定位的时候坑了土师傅……唉……真是坑了早知道不定位了
where is my cat
最坑的一题没有之一
!!!
首先在证书详情里发现了HOST
再是发现了cookie里有HOST字段
因此猜测
HOST=where_is_my_cat.ichunqiu.com
就可以直接拿到flag可是flag没有直接回显………………
pcat^(* ̄(oo) ̄)^一直说我笨可是我的burp装了证书也抓不到https我也很绝望哇
我日…………找了好久好久好久…………………………然后开了chrome的network去找到了Flag
写一写看一看
好吧我承认智商有点欠缺,没审出什么东西,然后就google源码吧。找到了hitcon2015的题
原以为要拿2血了…………结果????疯狂改题…………
我擦payload都准备一整套了……
重新看一遍发现path那里可以构造/var/www/html/
那就顺理成章的命令执行就可以了
http://106.75.34.78:2081/exec.php?shell[]=aa%0a&shell[]=tar&shell[]=cvf&shell[]=pathvarpathwwwpathhtmlpathtmppathbertrams&shell[]=pathvarpathwwwpathhtmlpathtmppath
压缩到tmp目录下,然后下载文件就可以了
但是中途好几次题目都挂了
题目一修复又挂了,手速不够,人品来凑
写个急速提交访问脚本然后down下flag
额 审计了一个通宵一直以为有SQL注入
然而最后都没发现有注入
好吧然后再看了一眼题目是mail……
猜测mail函数有问题
土师傅给了hint
PHITHON师傅的文章
https://www.leavesongs.com/PHP/php-bypass-disable-functions-by-CVE-2014-6271.html
发现mail可以命令执行shellshock
可是缺个env
然后在function.php发现了存在putenv($timezone)
那就找到修改$timezone的功能就可以了
很容易发现option.php那里有一个php array的传参
可以插入Timezone
执行得到flag
