摘要:
此处两种思路都可以,就不给出详细过程了 上传图片马 burp抓包改后缀 但是我所用的菜刀并不能找到flag,如图,flag.txt是空的,而且也看不到upload目录: 换蚁剑试试: 直接就找到flag了,看来菜刀有点不行了啊 此处就不给出flag的txt格式了,因为这道题每个人的flag不一样 阅读全文
摘要:
输入index.phps,有源码泄露 如下: <?php if("admin" $_GET[id]) { echo("<p>not allowed!</p>"); exit(); } $_GET[id] = urldecode($_GET[id]); if($_GET[id] == "admin") 阅读全文
摘要:
下载题目给的附件,进去文本方式打开,发现是乱码 然后看到最后有一个eval函数,接触过一句话木马的同学就应该很熟悉了,这是一个命令执行函数,执行_这个函数: 显然在这里是没什么用的,于是我们把eval改为alert,再用浏览器打开源码,先把清晰的源码得到再说: 此处我用的火狐浏览器,选中弹窗的ctr 阅读全文