建设局网站投诉,wordpress深度修改,百度应用搜索,阿里巴巴组织调整网上的wp已经很多了#xff0c;但wp普遍很简略。我尽量写的详细一点。 一、WEB 滴~ 拿到题目后首先右键查看源代码#xff0c;发现图片是以base64传送的 而且看url发现里面应该是包含了文件名#xff0c;并且用了某个编码。测试过后是转16进制ascii码后两层bases64 #xf…网上的wp已经很多了但wp普遍很简略。我尽量写的详细一点。 一、WEB 滴~ 拿到题目后首先右键查看源代码发现图片是以base64传送的 而且看url发现里面应该是包含了文件名并且用了某个编码。测试过后是转16进制ascii码后两层bases64 解码工具是burpsuite 用同样的规则编码index.php为TmprMlpUWTBOalUzT0RKbE56QTJPRGN3访问并查看源代码内容就是index的源码了再用base64解码。 在源代码里出现一篇文章打开后发现是一篇关于echo的我在这里绕了很长时间以为要用到echo的漏洞。 但正解是那个日期要看那个日期的文章。是关于swp的 https://blog.csdn.net/FengBanLiuYun/article/details/80913909 所以访问http://117.51.150.246/practice.txt.swp可看到里面内容 f1ag!ddctf.php通过index代码可以看到对文件名做了过滤只能是数字和字母。这个感叹号会被去掉。但还有一句$file str_replace(config,!, $file);这是为了防止读取config会把config换成。但这正好满足需求访问f1ag!ddctf.php 即可。但直接访问是空白的所以用同样的方法读源代码 extract($_GET);这里是一个变量覆盖漏洞让k和uid为空就可以了。 或者按正常使用把k指向一个文件uid和文件内容相同也能读出flag 之前的swp文件这里可以现成使用没必要自己搭个网站让他读。。有些wp就是自己现搭的网站算是很鬼畜了。。 reverse 【待续】 转载于:https://www.cnblogs.com/cnnnnnn/p/10849910.html
