前言

最近对云安全这块比较感兴趣，学了一波k8s的架构和操作，正好遇上了华为云的这一场比赛，收获颇多。

(甚至通过非预期拿下了平台题目集群的最高权限)。

0x00 题目入口发现

拿到题目发现是一个类似于提供IaaS服务的站点，扫描了一波目录，发现几个文件以及路由:

phpinfo.php
robots.txt
admin/
login/
static/

一道go Web CTF赛题分析(获取管理员权限为非预期解)
赛题来源： WMCTF2020
赛题环境下载： https://mega.nz/file/YIQxVKqA#eaGTWA6yqq_PGj9I5T3dLbbHCOkI6p1a8ArwlKDp6Ws

0x01 题目逻辑分析

1. main函数初始化了数据库以及调用loadPulgin载入plugin，同时声明了相关的路由。
2. handler中定义了路由处理的方法，包括登录注册等等。
3. utils中定义了一些函数，hash，随机数生成以及用户权限控制等。
4. admin_handler中，引入了Plugin库，并且可以上传自己的plugin载入。

WEB

0x01 HappyPHP

[Description]

flag 在管理员账号下。

题目的描述表明了我们需要达到的目的就是拿到管理员账号。

进入题目发现是PHP的laravel框架。先注册了一个账号，登陆后发现页面注释中放出了该题目的github仓库地址， https://github.com/Lou00/laravel于是先将其clone到本地。

首先大致的看了一下源码，看了好久终于发现了一处突破口：

0x01 sqli-1

打开题目后， 有一行代码：

substr(md5($_GET["code"]),0,4) === 3f77

WEB

0x01 easy_php

打开题目链接发现什么都没看见，只有标题上的一句话：Where is my robots?

于是便想到了robots.txt文件（网站和爬虫之间的协议）于是进入：

http://118.24.25.25:9999/easyphp/robots.txt

WEB

0x00 谁吃了我的 flag？

这题真的 真的 做了 好久 好久。。刚开始想着是不是能从 bp 抓到的 http 头中找到些什么，结果发现一无所获。。
然后重新回去读了一下题目。
没好好关机啊。。而且还是用 vim，没保存，于是就上百度搜了一下，
找到了一道实验吧的题的 wp：
https://blog.csdn.net/wy_97/article/details/76559354
讲了关于的 vim 临时文件，.filename.swp ,于是便访问：http://118.25.111.31:10086/.index.html.swp得到 swp 文件，用vim -r 恢复一下，就看到了flag。