逐語大きな柱 https://www.dazhuanlan.com/2019/08/26/5d6339834b65e/
こっちを見て、あなたがここに私のピットを踏んでいます
最初の応答は、サーバへのソースコードは、書き込みのPHPトロイの木馬確かに役に立たない悪い動きを書き、23333ウェブシェル見るためにする必要があります
参考大佬的EXP:<のhref =」https://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2017/babyfirst-revenge/exploit.py」ターゲット=」 _blank」のrel =」」nofollowをhttps://github.com/orangetw/My-CTF-Web-Challenges/blob/master/hitcon-ctf-2017/babyfirst-revenge/exploit.py </ A
最初の使用ラインは、実行するSHで書かれたbashスクリプトを壊すカールIPで、自分のVPS上で書かれたシェルコマンドをリバウンドします| bashの配信実行するためにはbash
このコマンドカールまず考えは、PHPのソースコードを使用すると、5つのコマンドよりも、もはや時間を入力することができない、LSのデフォルトのソートは確かに問題が発生します
だから、時系列降順にグラムスクリプトの名前を入力し、スクリプトのLS -tgを書くために(lsの-t | tacg昇順)
たとえば、この入力:
最終面でのLSは、と我々のニーズを満たしていません
前面にLSする方法を探します:
bashは_そのようなエラーは、実行を継続するために、直接文句を言うでしょう出会いを実施するための時間になりますが、LS -tg最終のbashの実行には影響しません
[OK]を、ここではピット監督を言います:
いくつかは、私が見つけると言うでしょう、あなたが操作のコマンドlsのソートを再生すると、あなたが同じでないと([時々、時々痙攣ない] Ubuntuでのローカル環境のWLSから上図)
そう(Ubuntuの18の仮想マシンから)であってもよいです。
彼らはLinuxのコマンドのPHPによって生成されたコンテンツおよびシーケンスの下で同じ行を生成しないので、辞書に応じてソートLSは、LS_COLLATEと呼ばれ、関連
楽しい、23333を再生することができますLS_COLLATE =のC LSを入力します。
その後、ウェブシェルVPS上に書かれ反発しました
Pythonスクリプト:
2回目のピットのために、[OK]:
あなたのIPアドレスは、背中に書かれたポイント数が出てエスケープされ、無効であるので、注意を払うためにスプリットタイム、1を書きますが、このような小さな数の0.1を記述してくださいVPS。
そこフラッシュバックを書き込むコマンドカール
あなたのVPS上のポート8080をリスニングNCスクリプトの実行:
NC -lvvp 8080
[OK]を、第三のピットのために:
もともと私のVPS centos6とインストールNC指令の上では、あまりにも多くのゴミをのみ、そのソースを取り、直接のUbuntuを変更していません
8080またはtcpdumpの-i eth0の「ポート8080」、学習の研究:xsserの首長は、発散的思考であると言われ、PHP -S IPを変更しないでNC
豚のマスターが-nは何の人物像が存在しない、なぜそれが問題のDNSを引き起こす、未使用のドメイン名を言って、DNS解決を閉じたDNSによって引き起こされる問題があり、...
NC -lvvnp 8080その上に、
また、使用することができます。
-lvvp 8080 NCATは、任意の問題を見つけることができませんでした
、と言う、その後リバウンドウェブシェルを取得します
/ homeディレクトリにあるディスカバリー・データベース・パスワードとヒント:
データベースに接続:
[OK]を、第四のピットのために:
MySQLのパスワードがで入力され、応答しなかった、一度立ち往生していると考えられ、それは、書き込みexitコマンドを食べ、エコーメッセージに行きましたMySQLのステートメントに判明しました
フラグを取得します。
