[NISACTF 2022]bingdundun~

[NISACTF 2022]bingdundun~ wp

信息搜集

进入题目：

点一下 upload? ：

注意看上面的 URL ，此时是 ?bingdundun=upload 。

随便找个文件上传一下：

注意看上面的 URL ，此时变成：upload.php 。

那么我有理由怀疑前面在输入 ?bingdundun=upload 时会自动添加 .php 后缀名，因为两种 URL 指向同一个页面，说明 ?bingdundun= 包含的就是 upload.php 文件。

fuzz 一下，发现确实只能上传图片和压缩包。那么猜测是用 phar 伪协议进行文件包含。

用 phar 伪协议进行文件包含

phar 伪协议无论读取什么文件，都会将其视为压缩包进行解压缩，然后作为 php 代码执行，在文件上传类漏洞中经常被用到。

先写个一句话木马，文件名为 shell.php ，再压缩成 zip 文件，因为压缩包可以上传，所以这里就不把后缀名改成图片了：

上传 shell.zip 文件：

上传的文件还是在网站根目录下，只不过换了个名字。

phar 伪协议读取上传的文件

回到 ?bingdundun= 那里，因为会自动加上后缀名 .php ，所以 payload 是：

?bingdundun=phar://66ad472f8ed84878b168fb54c37aa771.zip/shell

蚁剑连接

路径是：

http://node5.anna.nssctf.cn:28582/?bingdundun=phar://66ad472f8ed84878b168fb54c37aa771.zip/shell

flag 在根目录下：