擂台赛A组WP

SQL注入

cron.php处存在一处很明显的SQL注入，data['type'] 完全可控，而且数据自带加密，不需要考虑宝塔WAF的问题

SQL注入+反序列化

由于该点为盲注，跑数据太麻烦，直接跟下面的逻辑，尝试利用union select注入脏数据，发现在执行 exec_shedule_plan 函数时会对数据进行反序列化操作

而且存在 es_session 类，在析构函数中会写入指定的session值

结合后台的登录认证，只需要 adm_id 不等于 0 即可

通过构造特定的数据，直接向 cron.php 发送一个数据包，即可将当前的session设置为登陆后的管理员

条件竞争 getshell

通过分析后台的功能，发现存在一个接口可以上传zip包，并对其进行解压

但解压完后会移动文件并且删除原文件

这里可以构造一个时间差，利用解压还没删除时进行不断的请求，直接获取写入一个新的webshell

webshell只需要双向的base64编码即可绕过宝塔的检测

FastCGI bypass disable_function

拿到webshell后发现disable了一堆的函数，无法直接执行命令，通过分析环境发现使用的FastCGI形式的调用

上传一个直接调用unix sock的脚本

通过FastCGI的PHP_ADMIN_VALUE参数，修改extension，加载msf生成的后门so文件

请求后直接拿到msf的session

后续提权翻了一圈也没发现有好的东西，最近的sudo漏洞可能可以拿来利用