type
Post
status
Published
date
slug
summary
tags
CTF
推荐
category
CTF-WP
category (1)
icon
password
comment
ez_sqli
image-20231019124601386
先找注入点,发现更改order by会有注入点
image-20231019124655192
image-20231019124736372
给了很多的提示,大致就是堆叠+报错+execute执行
很推荐去看一下https://xz.aliyun.com/t/10594#toc-5
image-20231019125806171
这个脚本就差不多是payload了,但ez_sqli把空格过滤了,可以用/**/绕过
源码
image-20231019141057548
ez_upload
提示
image-20231019141210648
根据源码的 source = imagecreatefromgif(_FILES[‘file’][‘tmp_name’]);和imagegif($source, $filepath);可以知道是图像的二次渲染类型的文件上传漏洞。
根据ext = pathinfo(_FILES[‘file’][‘name’], PATHINFO_EXTENSION);
$filepath = userdir.md5(_FILES[‘file’][‘name’]FILES[‘file’][‘name’], PATHINFO_EXTENSION);_只返回最后一个点号后面的后缀(如果文件是a.gif.php就返回php)
然后根据$filepath = userdir.md5(_FILES[‘file’][‘name’]).’.’.$ext;拼接到新文件的末尾。我们先根据图片二次渲染的文件上传知识点做一个一句话木马,具体可以参考https://blog.csdn.net/qq_40800734/article/details/105920149
然后进行抓包上传绕过
img
最后可以连接木马了
img
ez_unserialize
果然反序列化的题目都很烦,链子看着我头大
考点为:反序列化 fast destruct 绕过
**__wakeup**最后的payload要在exp生成的字符串删去一个
}实现 fast destruct或者使用地址引用绕过__wakeup
POP 链子如下
- 作者:qetx
- 链接:http://qetx.top/article/4b981481-25f4-4b30-a21c-3442d44fc8cb
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
