首页
社区
课程
招聘
[原创] KCTF2020 第八题 牛刀小试
发表于: 2020-4-30 15:39 6814

[原创] KCTF2020 第八题 牛刀小试

2020-4-30 15:39
6814

下载压缩文件后获得服务器地址

访问后得到php源码
进行代码审计发现两个可能存在的漏洞

写webshell,只要name不为data,value里面放一句话木马即可

然后写了个python脚本上传文件(Postman代理没配好,浪费时间了)

上传成功后发现一句话木马不见了,那就是成功被执行了
图片描述

用蚁剑连接
图片描述

然后在根目录下找到了flag
图片描述
PS:一定要认真读题啊,我还一直以为flag在apache的目录下,一直没找到flag...

然后写了个找flag的脚本。。。 IQ-100

全篇完。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

最后于 2020-4-30 15:42 被xjklewh编辑 ,原因: 调整代码格式
收藏
免费 3
支持
分享
最新回复 (4)
雪    币: 10944
活跃值: (7329)
能力值: ( LV12,RANK:219 )
在线值:
发帖
回帖
粉丝
2
大佬厉害厉害
2020-5-1 20:31
0
雪    币: 403
活跃值: (798)
能力值: ( LV4,RANK:58 )
在线值:
发帖
回帖
粉丝
3
neilwu 大佬厉害厉害
安卓大佬过奖了
2020-5-1 21:10
0
雪    币: 5568
活跃值: (3208)
能力值: ( LV12,RANK:407 )
在线值:
发帖
回帖
粉丝
4
大佬出手,就是厉害
2020-5-1 21:10
0
雪    币: 403
活跃值: (798)
能力值: ( LV4,RANK:58 )
在线值:
发帖
回帖
粉丝
5
htg 大佬出手,就是厉害
现学现卖,感谢大佬关注
2020-5-1 21:22
0
游客
登录 | 注册 方可回帖
返回
//