-
-
[原创] KCTF2020 第八题 牛刀小试
-
发表于:
2020-4-30 15:39
6814
-
下载压缩文件后获得服务器地址
访问后得到php源码
进行代码审计发现两个可能存在的漏洞
写webshell,只要name不为data,value里面放一句话木马即可
然后写了个python脚本上传文件(Postman代理没配好,浪费时间了)
上传成功后发现一句话木马不见了,那就是成功被执行了
用蚁剑连接
然后在根目录下找到了flag
PS:一定要认真读题啊,我还一直以为flag在apache的目录下,一直没找到flag...
然后写了个找flag的脚本。。。 IQ-100
全篇完。
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
最后于 2020-4-30 15:42
被xjklewh编辑
,原因: 调整代码格式