Global Page writeup

Райтап от тиммейта Jarvis.

Адрес таска http://globalpage.chal.ctf.westerns.tokyo

Зайдя на страницу и глянув в урл, можно увидеть потенциальную уязвимость LFI. Попробуем несколько распостраненных способов тестирования этого вектора:
- Null Byte
- Слеши и точки для перехода по директориям
- Врапперы и фильтры
- Подключение внешних файлов
[+] Null Byte

Global Page writeup

Global Page writeup


Видно, что нулевой байт работает как надо
[+] Слеши и точки
http://globalpage.chal.ctf.westerns.tokyo/?page=/etc/passwd

Global Page writeup

Слеши фильтруются, та же ситуация и с точками.. double encoding так же не принесло результатов.
[+] Врапперы и фильтры, подключенные извне скрипты так же не прокатят, так как обрезаются слеши и точки.

Но можно заметить странную ошибку на странице, после недолгих размышлений, ошибка

Global Page writeup

возникает, на основе параметра, взятого из заголовка Accept-Language.

Global Page writeup

Изменим параметр

Global Page writeup

Чудно. Значит в этом параметре так же есть LFI

Что же получается, запрос к файлу языков происходит путем складывания строки, состоящей из параметра, находящегося в GET запросе, слеша, и параметра, отправляющегося в заголовках. Пустой параметр page указать нельзя, иначе отправляет на страницу по дефолту. Пробел, табуляция и прочий пустой символ в page тоже не прокатил, значит надо написать там что то адекватное. Но при тестировании оказалось, что не фильтруются ни слеши ни точки. А вот нулевой байт по непонятным причинам не работает. Значит можно инклудить только пхп файлы(

Попробуем подключить внешний пхп файл, к примеру главную страницу моего сайта http://hack-quest.com/index.php.

Global Page writeup


Шелл не получится загрузить..совсем грустно становится :(
На худой конец остались фильтры. Попробуем

Global Page writeup

Ураа! Наконец то получилось пробить.

Декодировав base64 видим, что инклудится файл flag.php.

Global Page writeup

Декодировав base64 видим файл flag.php. Инклудим его и получаем флаг

<?php 
$flag = "TWCTF{I_found_simple_LFI}";

скачать dle 10.5фильмы бесплатно

  • Автор: drakylar
  • Комментарии: 0
  • Просмотры: 2973

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!