刷题笔记:[GYCTF2020]EasyThinking


前言

关键字:[session|thinkphp6.0|disable_function]

题解

扫了下目录,发现www.zip源码泄漏

thinkphp6.0

searchsploit搜了下没啥结果

谷歌搜搜,搜到个有关session的。

正好代码里session是可控的。

session需要32位长度

于是

先构造session

比如这样,需要在登录的时候就构造,因为不登录,那就没办法search。

然后

之后访问:

runtime/session/sess_1111111111111111111111111111.php

成功。

然后发个马过去,连蚁剑,发现没权限读。下面还有个readflag。明显,是要执行这个文件

phpinfo看一下禁用了很多函数,然后开始考虑绕过disable_function

蚁剑

掏出蚁剑大宝贝,一个一个试过去。

一键bypass!蚁剑牛逼(破音

手动

接下来手动下

https://github.com/mm0r1/exploits/blob/master/php7-backtrace-bypass/exploit.php

然后把文件上传

文件包含一下

结束。


文章作者: 巡璃
版权声明: 本博客所有文章除特別声明外,均采用 CC BY 4.0 许可协议。转载请注明来源 巡璃 !
评论
  目录