網頁源碼提示用戶信息在user.php中,直接訪問是不會有顯示的,於是查找相應的備份文件,vim交換文件等,最后發現/user.php.bak
用burp采用如下配置開始爆破
最后爆破出兩個賬號
登錄之后查看源碼,發現一個被注釋的表單,看似應該存在文件上傳漏洞,在頁面按F12,更改網頁,去掉注釋
本來想上傳一句話的,但是發現就算上傳普通圖片文件和圖片文件名也會提示文件名非法,猜想這里並不是真的文件上傳,並不是用菜刀連上找flag。只是構造文件名,並且上傳到服務器成為可執行文件便可通過。所以文件內容無所謂,我直接是空的,只要構造文件名即可。
Apache 配置文件中會有
.+.ph(p[345]?|t|tml)
.+\.phps$
此類的正則表達式,文件名滿足即可被當做php解析,也就是說php3,php4,php5,pht,phtml,phps都是可以被解析的。
於是構造如下
訪問view.php,看到file?,應該是提示提交get參數,隨便提交一個
提示了flag,也提示了flag關鍵字會被過濾,所以雙寫繞過
