前言:
一直打buu的web有点难受呀,于是去了“i春秋”做了2题。这里主要记录一下 Zone, 不看别人wp我死也写不出来呀。冲呀,我要争取有机会去打蓝帽杯,加油!!好运来!!
0X01 解题过程
- 打开链接,弹出以下提示框
- 单击确定后进入登入页面,无论输入什么账户和密码都弹出以下提示框并且登入失败。
尝试burp抓包发现cookie中有个login,值为0,将0改为1后在访问首页,发现可以正常登入(乱码不用管)
![]()
单击 “manage” (此时还是需要用burp改login的值),发现url出现
/manages/admin.php?module=index&name=php显然module有可能存在文件包含,经过测试发现会将../替换为空,于是我们尝试一下是否可以包含使用manages/admin.php?module=....//....//....//....//etc/passwd&name=注意,name后面最好不加东西为啥我也不知道。
![]()
接着就查看nginx.conf文件,因为这里可能存在漏洞点。
![]()
接着访问包含的文件
![]()
发现可以利用的漏洞!!!因为有一个autoindex on也就是开启了目录遍历,然后alias /movie/替换匹配部分的url,也就是说如果我访问/online-movies../就会变成访问/movie/../.再加上目录遍历就可读取任意文件了。最后构造如下url获得flag/online-movies../var/www/html/flag.php
![]()
发现可以利用的漏洞!!!因为有一个autoindex on也就是开启了目录遍历,然后alias /movie/替换匹配部分的url,也就是说如果我访问/online-movies../就会变成访问/movie/../.再加上目录遍历就可读取任意文件了。最后构造如下url获得flag
flag 到手,大功告成!!
0X02 后记
虽然flag到到手了但确实还有些懵懂:
- 为什么在…/html页面时单击html会下载文件而又可以…/html/flag.php得到flag文件
- /etc/nginx/nginx.conf的配置文件
加油,冲冲冲!!!